hackthebox --Previse

最新推荐文章于 2022-11-28 00:03:39 发布
最新推荐文章于 2022-11-28 00:03:39 发布
阅读量301 收藏 1
点赞数
分类专栏: hackthebox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47156475/article/details/119757523
版权

文章目录

前言

前言就是,没有前言

一、信息收集

在这里插入图片描述
在这里插入图片描述
nmap扫描发现开放了22跟80端口,搜索了一下,没有找到可以利用的服务漏洞,也可能使我太菜了,接下来扫一下目录
在这里插入图片描述

在这里插入图片描述
发现一个accounts.php的重定向页面,尝试使用一些技巧访问因为这个页面因为这个页面可能跟账号有关,说不定可以得到一些账号密码,account的中文意思就是账号
在这里插入图片描述
在这里插入图片描述
然后修改返回的状态码为200 Ok
在这里插入图片描述

二、getshell

可以得到如下的页面:
在这里插入图片描述
注册一个新的账号,登录进去,可以看到一个压缩包,下载打开
在这里插入图片描述
打开后得到如下的文件:
在这里插入图片描述
得到数据库的账号密码
在这里插入图片描述
接下来就是寻找能够返回shell的地方,最终找到了这个地方
在这里插入图片描述
抓包修改
在这里插入图片描述
监听
在这里插入图片描述
成功返回shell并且进入数据库
在这里插入图片描述
在数据库里搜索,得到一个普通用户的账号跟密码,不过密码需要解密
在这里插入图片描述
在这里插入图片描述
保存哈希值,用john解码,成功得到密码
在这里插入图片描述
使用ssh连接
在这里插入图片描述
成功连接

三、提权

sudo一下,看看有什么可以利用的
在这里插入图片描述
发现可以利用gzip提权
在这里插入图片描述
成功获取root权限

总结

声明:hackthebox系列的文章,均是本人根据真实做题经历,并参考国内或国外文章制作而成,如有冒犯之处,请联系我进行修改

weixin_47156475
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hackthebox - Previse 靶场实战
路西菲尔的故事汇
08-09 1917
Hackthebox - Previse 靶场实战 靶场信息 靶场类型 信息搜集 使用nmap进行端口扫描 ┌──(root????root)-[~/Desktop] └─# nmap -A -sS -sC -sV -p- 10.10.11.104 Starting Nmap 7.91 ( https://nmap.org ) at 2021-08-08 22:27 CST Nmap scan report for 10.10.11.104 Host is up (0.25s latency). No
HackTheBox 简单盒子 之 Previse (一点TM不简单...)
rainrinser的博客
12-26 2192
Previse黑盒子重点: 1. php exec() 问题 2. unsanitized 用户输入 3. burp拦截给自己浏览器的回复 4. hashcat 5. path injection提权
HackTheBox-Previse WP
h1nt的博客
09-07 530
0x01 信息收集 端口信息: 目录扫描: 0x02 打靶 在之前的收集信息中,可以发现有很多存在的页面,但是由于重定向跳回了login.php进行登录验证。 我们使用burp可以渲染页面,可以看到很多页面是有有用的信息的。 账户注册界面: 服务器状态浏览界面: 在文件浏览界面可以发现网站的源码: 也可以发现下载的链接,但是访问会跳回login.php进行登录验证,无奈只能先注册账户。 访问一开始的accounts.php,同时让burp拦截响应,将响应包状态码修改成2
【Hack The Box】linux练习-- Previse
人间体佐菲的博客
11-28 590
【Hack The Box】linux练习-- Previse
HackTheBox | Previse
Purpose_7的博客
08-07 987
HackTheBox previse
算机科学与技术 基于Java的医务室病例管理小程序的设计与实现.docx
07-20
算机科学与技术 基于Java的医务室病例管理小程序的设计与实现
物联网工程_基于NBIOT的白洋淀水质实时监测系统.docx
07-20
物联网工程_基于NBIOT的白洋淀水质实时监测系统
国企数字化转型解读及赋能三套材料.pptx
07-20
国企数字化转型解读及赋能三套材料.pptx
搞金融的同学三小时快速入门python从零入门量化交易系列.doc
最新发布
07-20
Python
某国字头央企市场化与数字化转型(交付版).pptx
07-20
某国字头央企市场化与数字化转型(交付版).pptx
java基于ssm+jsp网上药品售卖系统源码 带毕业论文+PPT
07-20
【资源说明】 1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
1203GM-VB一种N-Channel沟道SOP8封装MOS管
07-20
1203GM-VB;Package:SOP8;Configuration:Single-N-Channel;VDS:30V;VGS:20(±V);Vth:1.7V;RDS(ON)=11mΩ@VGS=4.5V;RDS(ON)=8mΩ@VGS=10V;ID:13A;Technology:Trench;
开启MATLAB Web API之门:打造自定义接口的艺术
07-20
Matlab是由MathWorks公司开发的一款高性能的数值计算和可视化软件环境。它被广泛应用于工程计算、算法开发、数据分析、可视化、仿真以及其他数学和科学领域。Matlab的核心特点是其强大的矩阵操作能力,这使得它在矩阵计算和线性代数方面非常高效。 ### Matlab的主要特点包括: 1. **矩阵操作**:Matlab的语法是基于矩阵的,这使得进行复杂的矩阵运算变得简单直观。 2. **编程语言**:Matlab拥有自己的编程语言,支持变量、控制结构(如循环和条件语句)、函数和数据结构。 3. **数值计算**:提供广泛的数值分析功能,包括傅里叶分析、数值积分、微分方程求解等。 4. **符号计算**:Matlab的Symbolic Math Toolbox支持符号运算,可以进行符号微分、积分和方程求解等。 5. **数据可视化**:Matlab提供了丰富的图形和可视化工具,可以创建二维和三维图形、图表和动画。 6. **算法开发**:用户可以利用Matlab开发和测试算法,然后将其嵌入到其他应用程序中。 7. **模型仿真**:Matlab的Simulink提供了一个交互式
全国大学生电子设计竞赛心得体会感悟.md
07-20
全国大学生电子设计竞赛心得体会感悟.md
wx470校园保修系统小程序-springboot+vue+uniapp.zip(可运行源码+sql文件+文档)
07-20
基于web的校园报修系统使用Java语言进行编码,使用Mysql创建数据表保存本系统产生的数据。系统可以提供信息显示和相应服务,总之,基于web的校园报修系统集中管理信息,有着保密性强,效率高,存储空间大,成本低等诸多优点。它可以降低信息管理成本,实现信息管理计算机化。 学生信息管理页面,此页面提供给管理员的功能有:学生信息的查询管理,可以删除学生信息、修改学生信息、新增学生信息,还进行了对用户名称的模糊查询的条件。维修人员管理页面,此页面提供给管理员的功能有:查看已发布的维修人员数据,修改维修人员,维修人员作废,即可删除,还进行了对维修人员名称的模糊查询 维修人员信息的类型查询等等一些条件。故障上报管理页面,此页面提供给管理员的功能有:根据故障上报进行条件查询,还可以对故障上报进行新增、修改、查询操作等等。论坛信息管理页面,此页面提供给管理员的功能有:根据论坛信息进行新增、修改、查询操作等等。
半自动组装线-迴流線(3D)_包括零件图_机械3D图可修改打包下载.zip
07-20
半自动组装线-迴流線(3D)_包括零件图_机械3D图可修改打包下载.zip
驾驭动力之芯:PIC微控制器电机控制实战指南
07-20
PLC是可编程逻辑控制器(Programmable Logic Controller)的缩写,它是一种用于自动化控制的数字电子设备。PLC广泛应用于工业控制领域,用于控制机械加工、生产线、机器人等自动化设备。 PLC的主要特点包括: 1. **可编程性**:PLC的程序可以根据需要进行编写和修改,以适应不同的控制需求。 2. **实时性**:PLC能够快速响应输入信号的变化,并及时输出控制信号。 3. **可靠性**:PLC设计用于工业环境,具有较高的抗干扰能力和稳定性。 4. **灵活性**:PLC可以通过编程实现复杂的控制逻辑,适应不同的控制场景。 5. **扩展性**:PLC系统可以通过添加模块来扩展其功能和容量。 6. **易于维护**:PLC的程序可以通过软件工具进行监控和修改,便于维护和故障诊断。 PLC通常由以下部分组成: - **中央处理单元(CPU)**:执行程序逻辑和处理数据。 - **输入/输出(I/O)模块**:接收外部信号并输出控制信号。 - **电源模块**:为PLC系统提供稳定的电源。 - **编程工具**:用于编写、修改和下载PLC程序的软件。
计算机科学与技术_基于微信小程序的党员在线学习系统设计与实现.docx
07-20
计算机科学与技术_基于微信小程序的党员在线学习系统设计与实现

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值