hackthebox靶机记录-redpanda

最新推荐文章于 2024-07-23 10:00:17 发布
最新推荐文章于 2024-07-23 10:00:17 发布
阅读量857 收藏
点赞数
文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44499830/article/details/127273554
版权

hackthebox靶机 redpanda

ip 10.10.11.170

信息收集
./nmapautomator.sh -H 10.10.11.170 -t All

22、8080端口开放

8080是一个网页

这么大一个搜索框,第一反应就是sql、xxe、ssti
各种payload放进burp打一遍
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master

然后发现有SSTI注入,一部分字符被过滤了,但是#和是可以的
#(55)
*(1+7)

接下来就是找远程命令执行的payload了
还是用上面github的资源

最低0.47元/天 解锁文章
weixin_44499830
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HackTheBox -- RedPanda
weixin_52270928的博客
09-13 2387
HackTheBox——RedPanda(writeup)
HackTheBox RedPanda SSTI攻击获取shell,代码审计提权
Ba1_Ma0的博客
10-17 1257
ssti的意思是服务端模板注入攻击,那什么是模板呢简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐这是一个名为jinja模板引擎的示例,用流行的python框架(如django和flask)如果用户的输入的成为模板的一部分,那么我们就有一个大问题,因为模板有能力执行任意代码,所以用户可以在服务器上获得一个shell。
Hack The Box - Redpanda 利用Spring Boot SSTI漏洞获取初始访问权限,Linux系统内核漏洞(CVE-2022-2588)提权,XXE漏洞获取root私钥
Zyu0
12-02 1250
Hack The Box - Redpanda 利用Spring Boot SSTI漏洞获取初始访问权限,Linux系统内核漏洞(CVE-2022-2588)提权,XML外部实体(XXE)注入提权
HackTheBox:Pandora靶场
qq_45855975的博客
05-22 1126
HackTheBox:Pandora靶场 这个靶场是一台linux机器,上边搭载了两个cms,其中涉及到对信息搜集、ssh证书登录、suid提权、sql注入等知识的考验 信息搜集 nmap走一遍什么也没
Hack The Box——Ready
江左盟的博客
01-10 1万+
简介 信息收集 使用nmap --min-rate 10000 -A -sC -p- 10.10.10.220扫描目标主机端口及服务发现开启22和5080端口,操作系统为Ubuntu,5080端口运行着HTTP服务,标题存在GitLab单词,且存在robots.txt文件,如图: 访问页面发现是GitLab,查看robots.txt文件内容如下: # See http://www.robotstxt.org/robotstxt.html for documentation on how .
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
hack me please靶机攻略.docx
10-19
"hack me please靶机攻略" 本资源为一份详细的靶机攻略文档,涵盖了从主机发现到获取 root 权限的整个过程。下面是从文档中提取的关键知识点: 一、主机发现 * 使用 nmap 工具进行主机发现和端口扫描,命令为:...
靶机GoldenEye-V1练习报告1
08-08
靶机GoldenEye-V1练习报告1
HackTheBox:Hack The Box笔测试和挑战
03-08
哈克盒子 Hack The Box笔测试和来自挑战 在这里,我们有Hack The Box的演练。
redpandaRedpanda是现代应用程序的实时引擎
02-05
红熊猫 Redpanda是用于关键任务工作负载的流媒体平台。 兼容Kafka:registered:,不需要Zookeeper:registered:,不需要JVM,也不需要更改代码。 使用所有您喜欢的开源工具-快10倍。 我们正在为现代应用程序构建实时流引擎-从企业到在她的笔记本电脑上为React应用程序制作原型的单独开发人员。 我们超越了Kafka协议,进入了使用内联WASM转换和地理复制的分层存储进行流传输的未来。 一个新的平台可与您一起扩展,从最小的项目到在全球分布的PB级数据。 社区 是社区实时互动的主要方式:) 是进行较长时间,异步,周到的讨论的首选 仅保留用于实际问题。 请使用邮件列表进行讨论。 ,为社会的行为准则
HackTheBox-Oopsie
LYJ20010728的博客
07-27 572
HackTheBox-Oopsie连接配置信息搜集路径泄露网页登陆越权文件上传反弹webshell升级shell横向移动提权下一场景相关信息 连接配置 参考之前写的连接配置,文章链接 信息搜集 Kali中使用Nmap进行扫描:nmap -sS -A 10.10.10.28 ┌──(kali㉿kali)-[~/Desktop] └─$ sudo nmap -sS -A 10.10.10.28 [sudo] password for kali: Starti
[HackTheBox系列] 取证分析 - Marshal in the Middle Writeup
mole_exp的博客
05-16 323
[HackTheBox系列] 取证分析 - Marshal in the Middle Writeup
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
[HTB]HackTheBox-Pandora 渗透实战靶场
学习记录!大佬速速离开
04-17 1万+
🧟无风祭酒🧟 小医救人😈大医济世 ☣️先礼后兵☢️ 👻警👻 🦧文章为笔者学习所整理的内容,本意希望通过知识输出方式达到巩固、筑牢基础的效用。如若有过,还望大哥哥海涵。 微信公众号:acesec 🦾nmap扫描 🪶欢迎nmap急先锋大佬登场🛵: (nmap:“小样的!老弟一边站着,看哥哥我的表现~”) ┌──(root㉿kali)-[/home/kali/Desktop] └─# nmap -sS -p- -sC -sV -A --min-rate=5000 10.10.11...
hack the boxredeemer靶机
zr1213159840的博客
05-23 1923
好久没有打靶机了,手头的事忙完了,先从简单的开始。 rededmer靶机,难度very easy,是新手村的靶机redeemer的意思是救世主。 看第一个问题: 问:tcp开了什么端口 答:6379,麻了,扫了一个小时没扫出来,最后看后面说redis,想起来以前做过,redis在6379端口。 第二问: 问:跑了什么服务? 答:redis 第三问: 问:redis的数据库类型是什么? 答:in-memory database 第四问: 问:使用什么工具去连接redis 回答:redis-cli 第
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8349
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
微软蓝屏”事件暴露了网络安全哪些问题?
最新发布
2301_79339087的博客
07-23 1456
微软蓝屏事件不仅暴露了软件更新中的问题,更是一次对全球网络安全和系统稳定性的严峻考验。通过加强风险管理、质量控制、冗余设计和应急响应,我们可以在未来减少类似事件的发生,提高整体网络安全水平。各行业应加强合作,信息共享,共同提升应对重大系统故障的能力,构建更加稳固和安全的网络环境。在未来,我们需要更加关注软件更新过程中的风险管理和质量控制,通过引入更多的自动化工具和流程,提高测试的覆盖率和效率,确保软件的安全性和稳定性。
hack the box three
07-28
回答: 根据提供的引用内容,我了解到"Hack The Box"是一个在线平台,提供了一系列的虚拟机供用户进行渗透测试和漏洞利用的训练。根据引用\[1\]中的信息,可能涉及到nmap扫描、访问靶机地址、查看/etc/hosts、使用gobuster工具等操作。此外,引用\[2\]提到了一种利用fail2ban进行提权的方法,可以通过该链接了解更多细节。引用\[3\]中提到了读取/etc/passwd文件和尝试读取/home/michael/user.txt文件的尝试。请注意,这些信息仅供参考,具体的操作和步骤可能需要进一步的研究和实践。 #### 引用[.reference_title] - *1* [Hackthebox Three](https://blog.csdn.net/lixiangshidie/article/details/128482447)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Hackthebox Trikc攻略](https://blog.csdn.net/qq_44641654/article/details/127249782)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值