hack the box - Analytics

最新推荐文章于 2024-09-14 16:21:49 发布
最新推荐文章于 2024-09-14 16:21:49 发布
阅读量502 收藏
点赞数 17
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73968711/article/details/135048790
版权

目录扫描 就开放了22端口与80端口,直接去看80端口,

先绑定hosts

访问80 端口,直接就是这种页面,想观看一下,查看源代码是否有cms 等网站组件信息但是没有发现(hackthebox最新制作的靶机大概率是新出来的cve漏洞,我们可以通过这种方式学习新的漏洞利用)

点击login,登陆 。发现这个metabase组件,在百度搜索一下,果然有最新的漏洞

根据里面的复现流程,shell反弹得到权限

反弹得到权限后,在env得到一个账号与密码 metalytics:An4lytics_ds20223#

登陆成功

没有sudo

uname -a 查看系统版本

百度搜一下漏洞

【漏洞复现】CVE-2023-2640 Ubuntu本地权限提升 | CN-SEC 中文网

得到最终flag

 

开始的开始q
关注
[渗透测试学习] Analytics - HackTheBox
rev1ve的博客
12-18 637
它旨在为非技术用户提供一种简单的方式来探索和分析数据,无需编写复杂的查询语句或使用复杂的分析工具。Metabase提供了一个直观的用户界面,允许用户通过简单的拖放和点击操作来创建和定制数据仪表板、报表和查询。token是刚刚得到的,然后记得修改Content-Type为json。我用的是curl本地反弹shell的sh文件,在本地开启服务。发现两个端口,22端口为ssh服务,80端口有http服务。直接ssh连接,得到user的flag。看了下其他师傅的wp,用的是内核提权。然后修改为POST请求,访问。
Comparison of Big Data OLAP DB : ClickHouse, Druid, and Pinot
程序员光剑
11-17 8883
In this post I want to compareClickHouse,Druid, andPinot, the three open source data stores...
Hack The Box-Analysis
m0_52742680的博客
01-25 1393
HackTheBox季节性靶场第三篇
HackTheBoxAnalytics靶机
NSUwg的博客
11-06 333
一台新的Linux机器,在HTB官方难度为easy模式。这台机器难度比较简单 前期通过nday getshell但是那个时候 我们进去的是docker 容器里面 需要查找env配置文件得到ssh连接的账号密码。真正的拿下机器的普通用户权限。然后通过内核提权的方式进行权限提升。
Hack The Box-Analytics
m0_52742680的博客
12-27 657
发现存在22、80端口。
Hack The Box-Resource
m0_52742680的博客
08-06 2268
HackTheBox S6赛季靶场第一篇
2017 Unite大会总结
御雪妃舞
05-16 5927
Keynote主题演讲消息点:  Unity目前支持18种平台  舞蹈技术:MIRADA公司,real sense技术 公司网址:http://mirada.com/ 其它主要介绍了Unity新版本5.6在Lighting, Animation ,Analysis ,Navigation方面的更新。EditorVR设计经验总结——Timoni West Unity
经典825篇英文IT文章及其网址推荐 (公号回复“英文IT文章”可下载PDF典藏版资料)
数据简化DataSimp社区
08-01 8195
经典825篇英文IT文章及其网址推荐 (公号回复“英文IT文章”可下载PDF典藏版资料) 原创: 秦陇纪 数据简化DataSimp 今天 数据简化DataSimp导读:A.2016年英文IT文章列表;B.640篇英文IT文章列表;C.数据简化DataSimp公众号。(文章列表里的标题文字带链接,按“ctrl+点击标题”可跳转浏览器,微信限制外链,请下载PDF使用链接)。如有错误或疏漏(包括...
基于高通主板的ARM架构服务器
D404234的博客
09-11 1307
但高通在服务器市场面临激烈竞争,联发科在手机芯片市场挑战高通,苹果加快自研芯片使用步伐给高通压力,服务器市场英特尔占主导,高通要成功需克服诸多困难。高通在服务器芯片领域面临挑战,有收购与专利问题,博通收购后高通削减“非核心业务”支出,Intel 市占率高且 Arm 生态和软件不完善,高通在 Arm 服务器芯片市场进展不大,2018 年高通服务器芯片部门裁员约 280 名,占部门总人数一半左右,业务前景充满不确定性。易获取部署,众多供应商,90%主流软件适配,兼容性强,常见系统和程序可顺畅运行。
Linux:五种IO模型
MaoRuofeng的博客
09-09 1147
阻塞IO: 在内核将数据准备好之前,系统调用会一直等待.所有的套接字,默认 都是阻塞方式。非阻塞 IO: 如果内核还未将数据准备好, 系统调用仍然会直接返回, 并且返回EWOULDBLOCK 错误码。 非阻塞 IO 往往需要循环的方式反复尝试读写文件描述符(对于CPU会有较大的浪费), 这个过程称为轮询。 信号驱动 IO: 内核将数据准备好的时候, 使用 SIGIO 信号通知应用程序进行 IO操作。IO 多路转接: 虽然从流程图上看起来
chattr:修改文件的特殊属性
qq_38641599的博客
09-12 420
​chattr​命令用于改变文件的特殊属性,也称为"chattr 属性"。这些属性可以提供额外的安全性和控制,如设置文件为不可修改、只允许在文件末尾添加数据等。‍。
怎么选择适合的服务器
2403_86998484的博客
09-14 342
大家都知道,不管是公司还是个人,在数字化浪潮已经席卷全球的环境下,大家对服务器的需求是日渐增长的。很多人在买服务器的时候,多少都有点选择困难,今天我们就来对比下物理服务器和弹性云服务器,看看选哪个更省心。业务规模:如果你的业务还在起步阶段,或者只是想自己倒腾点东西,比如建steam游戏的服务器、建个人博客、论坛等,那么云服务器应该更适合你。想象一下,物理服务器就像你家的老式冰箱,虽然样子有点过时,但性能稳定,用起来心里踏实。而弹性云服务器,就像是你的智能手机,随时随地,想怎么用就怎么用。
【银河麒麟高级服务器操作系统】虚拟机服务器执行systemctl提示timeout——分析全过程及处理建议
银河麒麟操作系统的博客
09-10 1213
了解全新产品,请点击访问产品信息产品名称银河麒麟高级服务器操作系统(海光版)V10ISO环境信息主机型号虚拟机systemd崩溃,后续systemd连接异常,systemctl失败。需要查明systemd崩溃原因根据sosreport中的messages信息,systemd发生了coredump,收到了信号SIGQUIT。见图2.1.1图2.1.1使用gdb分析systemd的coredump文件,显示systemd是收到了SIGQUIT后发生的coredump。并未调用错误处理函数。
Zabbix自定义监控项与触发器
henanchenxuyuan的博客
09-11 1432
Zabbix 中内置了很多监控参数(Key),我们可以通过在客户端配置文件中定义 key,获取监控对象中的系统、CPU、网络、内存、文件系统等信息。Key(键)是 zabbix 标记 item 的键,是一种标识符。利用 key 可以定义一个监控对象,那么这个监控对象肯定是采集数据的,但是采集数据的时候可能存在很多节点与 server 交互,那么需要具体采集哪个节点,就可以用 key 进行采集。
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
不会编程的猫星人
09-14 664
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
集群聊天服务器项目【C++】(二)Json的简单使用
最新发布
xaiobai123的博客
09-14 417
Json是一种轻量级的数据交换格式(也叫数据序列化方式)。Json采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 Json 成为理想的数据交换语言。易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。在网络传输中,一般有3中常见的序列化格式:XML,Json、ProtoBufProtoBuf:数据压缩编码传输,占用带宽小,复杂Json:相比与ProtoBuf更简单,但性能差一点XML:性能差本项目使用Json完成网络数据的序列化与反序列化。
在 Ubuntu 下通过 Docker 部署 Misskey 服务器
shelby_loo的博客
09-11 505
Docker 是一个开源的应用容器引擎,它可以让开发者将应用及其依赖打包成一个标准化的容器,从而实现一致的开发、测试和生产环境。使用 Docker 部署应用可以极大地简化环境配置和版本管理。Misskey 是一个基于 Node.js 的社交媒体平台,支持多种功能,如发布状态、评论、私信等。它有着友好的用户界面和强大的扩展性,非常适合个人和小型社区使用。通过 Docker 部署 Misskey,我们可以快速搭建自己的社交媒体平台,而无需深入了解复杂的安装过程。
hackthebox - reel
11-03
HackTheBox - Reel是一个在黑客社区非常受欢迎的虚拟机靶场。这个靶场的目标是通过渗透测试和攻击手法,找到并获得系统的管理员权限。靶场基于漏洞存在和网络安全问题,提供了一个真实的环境来练习和提升安全技能。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值