Usage - hackthebox

2024-06-01 02:20
文章标签 usage hackthebox

本文主要是介绍Usage - hackthebox,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

简介

靶场:hackmyvm

靶机:Usage(10.10.11.18)

难度:Easy

靶机链接:https://app.hackthebox.com/machines/Usage

攻击机1:ubuntu22.04 (10.10.16.21)

攻击机2:windows11(10.10.14.33)

扫描

nmap起手

nmap -sT --min-rate 10000 -p- 10.10.11.18/32 -oA nmapscan/ports ;ports=$(grep open ./nmapscan/ports.nmap | awk -F '/' '{print $1}' | paste -sd ',');echo $ports >> nmapscan/tcp_ports;
nmap -sT -sV -sC -O -p$ports 10.10.11.18 -oA nmapscan/detail
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-21 19:27 CST
Nmap scan report for 10.10.11.18
Host is up (0.16s latency).PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   256 a0:f8:fd:d3:04:b8:07:a0:63:dd:37:df:d7:ee:ca:78 (ECDSA)
|_  256 bd:22:f5:28:77:27:fb:65:ba:f6:fd:2f:10:c7:82:8f (ED25519)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://usage.htb/
|_http-server-header: nginx/1.18.0 (Ubuntu)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 4.15 - 5.8 (96%), Linux 5.3 - 5.4 (95%), Linux 2.6.32 (95%), Linux 5.0 - 5.5 (95%), Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (95%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%), Linux 5.0 (93%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelOS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 18.82 seconds

linux靶机啊。总之从80端口开始,先把域名加入hosts,加个路由表就能上了

image-20240521193524460

http

爆破子域名

ffuf  -u http://10.10.11.18:80  -w  $HVV_PATH/8_dict/SecLists-master/Discovery/DNS/subdomains-top1million-5000.txt  -c -H "Host:FUZZ.usage.htb"  -t 10 -fw 6

image-20240521193830908

发现子域名admin。其实主界面上就能点进去……

sql注入

看看用户界面会是什么样。

image-20240521194514879

emmmm,怎么说呢,至少知道是laravel框架了?

laravel几个经典RCE都打不通,试试几个点注入一下,发现在http://usage.htb/forget-password有一个报错注入,依次输入以下两句:

' ORDER BY 8;-- -
' ORDER BY 9;-- -

前一句输入网页还正常显示“没有匹配记录”,下一条直接爆500了。

image-20240523144224894

直接起手sqlmap,爆出所有信息

image-20240523203436988

image-20240523204944763

得到密码是whatever1

image-20240523205111890

getshell

收集组件版本信息,laravel本身版本太高了没啥戏,但是encore/laravel-admin是版本1.8.18,查了一下发现一个非常接近的RCE

image-20240531172139350

https://flyd.uk/post/cve-2023-24249/

说到底其实就是文件漏洞,主要是管理员更换头像的功能

image-20240531172317333

我们先以jpg格式正常上传一个头像

image-20240531172429400

第二次则直接加上后缀.php即可

image-20240531173209819

复制链接地址就能得到shell路径了

image-20240531173227994

http://admin.usage.htb/uploads/images/1.jpg.php

image-20240531173847276

值得一提的是,这服务器删文件真的快……连上去赶快弹个shell维权

然后在dash用户目录下找到了user.txt

image-20240531175555796

提权

先把攻击机的ssh公钥写进authorized_keys,用ssh直接连上去即可

image-20240531180203579

image-20240531180216140

信息收集一波,发现dash开了monitrc服务,然后配置文件为.monitrc,里面存储了密码:3nc0d3d_pa$$w0rd

image-20240531184833628

成功登录用户xander

image-20240531184936483

sudo -l,发现可以无密码执行usage_managent

xander@usage:/tmp$ sudo -l
Matching Defaults entries for xander on usage:env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_ptyUser xander may run the following commands on usage:(ALL : ALL) NOPASSWD: /usr/bin/usage_management

拉下来用ida看看,发现是备份程序,其中输入1的话会备份网站

image-20240531190659317

-snl: 这个选项是为了在压缩文件中存储符号链接(如果存在的话)而不是链接指向的实际文件。

-mmt: 启用多线程压缩,这可以加速压缩过程,但可能会增加压缩文件的大小。

–: 这是一个常用的命令行习惯,用于分隔命令行选项和后面的参数。这可以确保后面的内容(即使它们以 - 开头)被视为文件名,而不是命令行选项。

*: 这是一个通配符,表示当前目录下的所有文件和子目录。所以这个命令会压缩当前目录下的所有内容。

几乎可以说锁死一切可能,遇到这种情况怎么办呢?

cd /path/to/7z/acting/folder
touch @root.txt
ln -s /file/you/want/to/read root.txt

然后就能通过报错泄露信息了。原理就是@root.txt把root.txt定义成目录文件,这样当7z用目录形式读取它的时候就会报错然后显示其所链接的文件的内容。

image-20240531195222407

b26d9f463d705ae9bf861577e1253d55

这篇关于Usage - hackthebox的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1019721

相关文章

监控flash_recovery_area的使用情况(V$FLASH_RECOVERY_AREA_USAGE,V$RECOVERY_FILE_DEST)

--监控flash_recovery_area的使用情况(V$FLASH_RECOVERY_AREA_USAGE,V$RECOVERY_FILE_DEST)SYS@PROD1> select * from V$FLASH_RECOVERY_AREA_USAGE;FILE_TYPE PERCENT_SPACE_USED PERCENT_SPACE_RECLAIMABLE NUMBER_OF

HackTheBox-MonitorsThree【更新中】

总体思路 信息收集&端口利用 nmap -p1-10000 monitorsthree.htb 目标主要开放了22和80端口,还有一个8084的websnp端口 先看80端口,是一个产品界面,介绍了他们的一些防火墙、网络解决方案等等 注意到界面中有一个登录按钮,点击查看 在尝试弱口令和万能密码无果后,看到下方还存在一个忘记密码的界面,打开它 这里提示我们需要输入用户

【实践经验】端口被占用问题:listen tcp:bind:only one usage of each socket address

文章目录 一. 问题描述二. 分析1. 适用错误 三. 解决方法1. 打开控制台2. 查看端口的使用情况2.1 不知道端口号——查看所有运行的端口2.2 知道端口号 3. 查看使用进程的程序4. 杀死进程5. 验证端口是否释放 一. 问题描述 goland启动项目后报错:“listen tcp:bind:only one usage of each socket addr

V$TEMPSEG_USAGE 中SEGTYPE的理解

今天用到视图V$TEMPSEG_USAGE,看到有好多对象类型,发现有如下几种临时sort segment type: SEGTYPEVARCHAR2(9)Type of sort segment: SORT  排序HASH  hash join(unindexed joins)DATA  temporary tablesINDEX  temporary indexsLOB_DATA

HackTheBox-Linux基础

Linux 结构 历史       许多事件导致了第一个 Linux 内核的创建,并最终创建了 Linux 操作系统 (OS),从 1970 年 Ken Thompson 和 Dennis Ritchie(当时都在 AT&T 工作)发布 Unix 操作系统开始。伯克利软件发行版 (BSD) 于 1977 年发布,但由于它包含 AT&T 拥有的 Unix 代码,因此由此产生的诉讼限制了 BS

Runner - hackthebox

简介 靶机名称:Runner 难度:中等 靶场地址:https://app.hackthebox.com/machines/598 本地环境 靶机IP :10.10.11.13 linux渗透机IP(kali 2024.2):10.10.16.17 windows渗透机IP(windows11):10.10.14.20 扫描 fscan起手 ___

MySQL权限USAGE和ALL PRIVILEGES的含义和用法

USAGE 含义:USAGE权限是一个非常基础的权限,它实际上并不赋予用户执行任何数据库操作的权限,如查询、插入、更新或删除数据等。它的主要目的是允许用户连接到MySQL服务器,但除此之外没有其他操作权限。当你只想让用户能够登录到数据库,而不希望他们进行任何数据操作时,就会使用这个权限。 用法:通常在创建用户时,如果你不想立刻指定具体的权限,而又希望用户能够登录验证,可以使用USAGE权限。

[渗透测试学习] IClean-HackTheBox

IClean-HackTheBox 信息搜集 nmap扫描一下 nmap -sV -v 10.10.11.12 -Pn 扫描结果 PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)80/tcp open http

SolarLab - hackthebox

简介 靶机名称:SolarLab 难度:中等 靶场地址:https://app.hackthebox.com/machines/SolarLab 本地环境 靶机IP :10.10.11.16 ubuntu渗透机IP(ubuntu 22.04):10.10.16.17 windows渗透机IP(windows11):10.10.14.20 扫描 nmap起手 nmap -sT -

[渗透测试学习] SolarLab-HackTheBox

SolarLab-HackTheBox 信息搜集 nmap扫描端口 nmap -sV -v 10.10.11.16 扫描结果如下 PORT STATE SERVICE VERSION80/tcp open http nginx 1.24.0135/tcp open msrpc Microsoft Windows RPC13