Hack The Box - Forge 通过黑名单混淆执行针对ftp服务器的SSRF攻击获取用户私钥,利用SUID提权得到root权限

已于 2022-11-29 16:08:51 修改
阅读量874 收藏
点赞数
分类专栏: # Medium 文章标签: 服务器 web安全 网络安全 linux
于 2022-11-29 16:05:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42587307/article/details/128099433
版权

Hack The Box - Forge

在这里插入图片描述

Hack The Box开始使用流程看这篇

文章目录

整体思路

1.Nmap扫描

通过命令nmap 10.10.11.111 -p- -v --min-rate=10000扫描得到,靶场开启22和80端口,再使用命令

nmap 10.10.11.111 -A -sC -sV -T4 -p 22,80

查看开启端口的详细信息

在这里插入图片描述

这里观察到80端口会重定向到http://forge.htb,将forge.htb添加到/etc/hosts中,访问域名,点击右上角的上传图片路径

在这里插入图片描述

这里尝试上传url:http://forge.htb或http://127.0.0.1,弹出提示说上传的URL中包含黑名单地址

在这里插入图片描述

尝试上传本地ip,监听到访问

在这里插入图片描述

使用burpsuite大小写混淆可以得到输出,得到一个URL,但在浏览器中访问该URL返回404

在这里插入图片描述

2.针对FTP服务器的SSRF攻击

尝试curl访问URL,可以得到该页面源代码,我们考虑这个地方可能存在SSRF漏洞

在这里插入图片描述

使用命令file:///etc/passwd获取passwd文件内容,得到响应上传的url仅支持http或https协议

在这里插入图片描述

这里写一个重定向语句,尝试访问Lab本地ftp服务器

在这里插入图片描述

并不支持直接访问ftp服务器

在这里插入图片描述

接下来使用gobuster进行子域名枚举,用grep筛选可以成功访问的域名(grep用法看这篇)

在这里插入图片描述

访问admin.forge.htb(记得添加/etc/hosts)

在这里插入图片描述

提示我们仅本地允许访问,这回应该能用SSRF了,上传子域名URL

在这里插入图片描述

使用curl查看返回的内容(注:上传的URL最后要有/,否则curl会报404)

在这里插入图片描述

接着再继续访问刚得到的announcements链接,得到一个用户凭据user:heightofsecurity123!,并且它说/upload支持ftp上传,使用**?u=**添加参数

在这里插入图片描述

构造访问内部ftp服务器URL:http://adMin.ForGe.htb/upload?u=ftp://user:heightofsecurity123!@127.0.0.1/

在这里插入图片描述

提示URL中包含黑名单地址,修改ftp大小写,但仍然是这个结果,可能是127.0.0.1需要修改,试一下127.1,这里用0x7f000001也可以

在这里插入图片描述

在这里插入图片描述

上传修改后URL成功进入到ftp服务器内部

在这里插入图片描述

获取ssh登录密钥id_rsa,ssh登录用户user,至此SSRF攻击完成。

在这里插入图片描述

想详细了解SSRF可以去看我的这篇文章

3.SUID提权

使用命令sudo -l尝试sudo提权

在这里插入图片描述

进入到这段代码内部看一下,首先选取1025-65535中的某个随机端口,建立socket连接,把这个密码先记一下

在这里插入图片描述

运行代码,输入给定密码后,按照源代码,我们输入随机字符可以进入python的pdb调试,在这里执行/bin/bash提权,成功得到root权限。

在这里插入图片描述

再简单介绍一下pdb,pdb是The Python Debugger的缩写,为Python标准库的一个模块。该模块规定了一个Python程序交互式源代码调试器,支持设置断点,也支持源码级单步调试,栈帧监视,源代码列出,任意栈帧上下文的随机Python代码估值。

conda-forge.github.io:conda-forge网站
03-20
如果您有任何疑问或需要帮助,请查看我们的文档以获取。 构建文档 该文档基于GitHub Actions构建,并运行.ci_scripts/update_docs脚本。要在本地构建文档,您应该执行以下操作: conda env create -f ./.ci_scripts...
FTP在ssrf中的应用
Karka_的博客
08-15 235
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Hack The Box新手教程
最新发布
WRplayeR的博客
12-13 1383
ftp协议、ftp命令SMB协议、smbclient 命令redis数据库、redis-cli命令DRP远程桌面协议、xfreerdp工具命令gobuster的使用mongo数据库、mogon shell、NoSQLrsync协议、命令。
如何使用SSRF控制FTP服务器攻击内网的mongodb
读万卷书,行万里路。
02-07 754
文章目录1 背景2 环境搭建2.1 搭建mongo环境(宿主机和虚拟机)2.2 flask(宿主机)2.3 mongo数据包(虚拟机)2.4 FTP服务器(虚拟机)3 攻击 1 背景 最近在尝试做 starCTF 中的 oh-my-bet,需要使用 CRLF 漏洞来控制 FTP 向 mongodb 中发送数据包来修改 mongodb 中的内容。我尝试着自己手动构建了一个简易的环境来实现大致的流程。 2 环境搭建 使用虚拟机 + 主机两台机器来实现整个流程: 宿主机(Web 服务器) 虚拟机(用来攻击的服务
CTF-Forge HackTheBox渗透测试(四)
ALLEN'Blog
03-28 348
Forge是一个CTFLinux盒子,在HackTheBox平台的难度范围内被评为“中等”。该靶场内容涵盖了子域枚举、SSRF攻击和用于特权升级的python脚本的逆向工程。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking。
一道题学习ssrf利用ftp被动模式打fpm
m0_62422842的博客
10-17 1575
听别的师傅说ssrf打ftp已经是常考点了,所以今天结合陇原战“疫“的一道赛题学习一下ssrf利用ftp的被动模式攻击fpm的技巧。
node-forge-server:在服务器上发布 `forge` 对象
07-11
本文将深入探讨`Forge`库,一个流行的JavaScript加密库,以及如何在服务器环境中使用`node-forge-server`来发布并利用`Forge`对象。 `Forge`是一个全面的开源密码学库,它包含了加密、解密、数字签名、证书管理、...
laravel-forge-bot:这是Telegram的聊天机器人。 它可以帮助您管理Laravel Forge服务器,并可以向您发送部署通知
02-05
Laravel Forge电报机器人 是Telegram Messenger的非官方Laravel Forge聊天机器人。 动机 几年前,我开始使用Laravel Forge来部署我和我的客户的项目。 我发现Laravel Forge无法将部署通知发送给Telegram messager,...
forge2d:Box2D的Dart端口
03-19
Forge2D-Box2D物理引擎的Dart端口 Box2D物理引擎是一个相当著名的开源物理引擎,这是我们的Dart端口。 您可以在的帮助下,在Dart或项目中独立使用它。 一些与火焰一起使用的文件可以在找到。 时间线 Box2D最初是用C...
The-Forge:Forge跨平台渲染框架PC,Linux,Ray Tracing,macOS iOS,Android,XBOX,PS4,PS5,Switch,Stadia
02-01
Forge是一个跨平台的渲染框架,支持个人电脑Windows 10 使用DirectX 12 / Vulkan 1.1 使用DirectX Ray Tracing API 支持Windows 7的DirectX 11后备层(未经广泛测试) 具有Vulkan 1.1和RTX Ray Tracing APILinux ...
evilFTP:evilFTP是一组脚本,旨在扩展利用SSRF问题时所具有的功能
03-04
evilFTP是一组脚本,在利用服务器端请求伪造(SSRF)问题时,会对过度信任的FTP客户端实施一些攻击,以扩展我们的功能。 脚本托管着一个恶意的FTP服务器,并且运行攻击所需的全部就是让客户端与FTP服务器进行交互(例如,下载文件,列出目录内容)。 尽管前提条件很简单,但在实践中让攻击者具有引导客户端与FTP服务器进行交互的能力并不是很常见。 在少数可能的情况下,这是在Web浏览器的上下文中,因为页面的内容可以由攻击者控制,并且可能包含对FTP服务器托管资源的引用。 另一个有趣的情况是,当我们处理SSRF问题时,这也是evilFTP的主要目标。 使用evilFTP并提供一种SSRF,您还可以获得: 可靠的TCP端口扫描 TCP服务标语披露 服务器专用IP披露 可靠的TCP端口扫描: 这是FTP反弹攻击的一种变体,但是由于我们在攻击客户端,所以我们使用被动模式,而不是使用主动模式。
SSRF详解(包含多种SSRF攻击)
Zyu0
11-28 6006
服务器端请求伪造(也称为 SSRF)是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能会强制服务器连接到任意外部系统,从而可能泄露授权凭证等敏感数据。如果攻击者能够将url参数更改为localhost,这可能允许他们查看服务器上托管的本地资源,从而使其容易受到服务器端请求伪造的攻击。滥用易受攻击服务器与其他系统之间的信任关系绕过 IP 白名单。
[Hackthebox] Fawn (FTP)
weixin_63231007的博客
06-28 1256
1、三个字母缩写 FTP 代表什么? 答案:File Transfer Protocol 2、FTP服务通常监听哪个端口?答案:21FTP监听 TCP端口号为21,数据端口为203、FTP 的安全版本使用什么首字母缩写词?答案:SFTP4、我们可以使用什么命令来发送 ICMP 回显请求以测试我们与目标的连接?答案:ping 5、根据您的扫描,目标上运行的 FTP 版本是什么?答案:vsftpd 3.0.3 6、根据您的扫描,目标上正在运行什么操作系统类型?根据第五个问题 nmap的扫描结果可知 操作系统类型
Hack The BoxLinux练习-- Forge
人间体佐菲的博客
11-28 581
Hack The BoxLinux练习-- Forge
hackthebox - Access (考点:ftp & Access 文件解析 & telnet & runas)
冬萍子癸水
05-14 859
1 扫描 21想到ftp利用,80进web搜集信息,23用telnet远程连接 PORT STATE SERVICE VERSION 21/tcp open ftp Microsoft ftpd | ftp-anon: Anonymous FTP login allowed (FTP code 230) |_Can't get directory listing: PASV failed: 425 Cannot open data connection. | ftp-syst: |_ SY
hackthebox - hawk(考点:ftp/openssl解密/drupal/端口转发/h2)
冬萍子癸水
04-08 381
nmap 端口21/22/80/8082,看/21想到进入ftp搜有什么文件,22想到利用ssh,8082是个高冷端口,运行着数据库h2,可能为突破点 先看21 ftp 10.10.10.102 需要账户密码,输入anonymous,也就是匿名登录 找到这个txt.enc,输入get .drupal.txt.enc 把它下载到本机 本机要在文件夹设置里打开显示隐藏,否则看不到它 enc肯定是 ...
0x01 HackTheBox系列之Forge实战
boss111的专栏
01-08 2616
HackTheBox系列之Forge实战
SSRF的利用方式
mingyqf的博客
11-06 7487
r3kind1e2021-03-10 03:30:32133923 SSRF的利用方式 本文对ctfhub和SSRF_Vulnerable_Lab中SSRF的利用方式进行了总结。 0x00 技能树 SSRF 常利用的相关协议 http://:探测内网主机存活、端口开放情况 gopher://:发送GET或POST请求;攻击内网应用,如FastCGI、Redis dict://:泄露安装软件版本信息,查看端口,操作内网redis访问等 file://:读取本地文件 Bypa...
SSRF攻击姿势汇总
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-29 1382
前言 这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request smuggle、SSO任意跳转,Url解析不一致导致的安全问题。一方面由衷地佩服演讲人的脑洞和安全功底,另外一方面又在笔者又在反思,如果是我,我会怎么去发现此类漏洞,解决方案又是什么。本文不同于各大公众号千篇一律的复现、验证漏洞文章,会加入自己的思考和心得。鉴于文章会存在一些敏感内容,笔者会本着在删除敏感内容的前提下,尽量让大家都能看懂的标准
conda install av -c conda-forge在Ubuntu中无法执行
05-27
如果在Ubuntu中无法执行该命令,可能是因为您的conda环境配置有误或conda-forge源未正确添加到您的配置文件中。您可以尝试以下步骤来解决此问题: 1. 确认您已激活conda环境。 2. 确认您已添加conda-forge源到您的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zyu0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值