HTB Beep[Hack The Box HTB靶场]writeup系列5

最新推荐文章于 2023-12-28 19:19:25 发布
最新推荐文章于 2023-12-28 19:19:25 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: HTB靶场 文章标签: Hack The Box HTB Beep 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fastergohome/article/details/104165920
版权
本文是Hack The Box(HTB)靶场中的Beep靶机攻破writeup,详细记录了从信息搜集、业务探测、漏洞分析到web攻击和提权的全过程。通过端口扫描发现12个开放端口,80端口运行elastix freepbx和roundcube webmail,10000端口运行webmin。在漏洞分析阶段,利用roundcube的0.3.1版本CSRF漏洞及webmin的漏洞,最终成功取得webshell并完成提权,拿到user权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本题是retire机器的第五台了

目录

0x00 靶场信息

0x01 信息搜集

0x02 业务探测

80端口主页:elastix freepbx

80端口mail业务:roundcube webmail

10000端口:webmin

0x03 漏洞分析

elastix

roundcube

 webmin

0x03 web攻击

roundcube

webmin

elastic

0x04 提权

0x00 靶场信息

我们可以看到这个靶机point值是20,难度在1-4之间,属于初级-中级之间的水平吧。

0x01 信息搜集

我们先做下端口扫描,看下结果如下:

root@kali:~# nmap -T5 -A -v 10.10.10.7
Starting Nmap 7.80 ( https://nmap.org ) at 2020-02-02 21:39 EST
NSE: Loaded 151 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 21:39
Completed NSE at 21:39, 0.00s elapsed
Initiating NSE at 21:39
Completed NSE at 21:39, 0.00s elapsed
Initiating NSE at 21:39
Completed NSE at 21:39, 0.00s elapsed
Initiating Ping Scan at 21:39
Scanning 10.10.10.7 [4 ports]
Completed Ping Scan at 21:39, 0.31s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 21:39
Completed Parallel DNS resolution of 1 host. at 21:39, 0.26s elapsed
Initiating SYN Stealth Scan at 21:39
Scanning 10.10.10.7 [1000 ports]
Discovered open port 110/tcp on 10.10.10.7
Discovered open port 25/tcp on 10.10.10.7
Discovered open port 3306/tcp on 10.10.10.7
Discovered open port 80/tcp on 10.10.10.7
Discovered open port 22/tcp on 10.10.10.7
Discovered open port 993/tcp on 10.10.10.7
Discovered open port 995/tcp on 10.10.10.7
Discovered open port 111/tcp on 10.10.10.7
Discovered open port 443/tcp on 10.10.10.7
Discovered open port 143/tcp on 10.10.10.7
Discovered open port 10000/tcp on 10.10.10.7
Discovered open port 4445/tcp on 10.10.10.7
Increasing send delay for 10.10.10.7 from 0 to 5 due to 423 out of 1057 dropped probes since last increase.
Completed SYN Stealth Scan at 21:39, 7.34s elapsed (1000 total ports)
Initiating Service scan at 21:39
Scanning 12 services on 10.10.10.7
Completed Service scan at 21:42, 167.37s elapsed (12 services on 1 host)
Initiating OS detection (try #1) against 10.10.10.7
Retrying OS detection (try #2) against 10.10.10.7
Initiating Traceroute at 21:42
Completed Traceroute at 21:42, 0.41s elapsed
Initiating Parallel DNS resolution of 2 hosts. at 21:42
Completed Parallel DNS resolution of 2 hosts. at 21:42, 0.90s elapsed
NSE: Script scanning 10.10.10.7.
Initiating NSE at 21:42
Completed NSE at 21:42, 37.18s elapsed
Initiating NSE at 21:42
Completed NSE at 21:45, 156.81s elapsed
Initiating NSE at 21:45
Completed NSE at 21:45, 0.00s elapsed
Nmap scan report for 10.10.10.7
Host is up (0.28s latency).
Not shown: 988 closed ports
PORT      STATE SERVICE    VERSION
22/tcp    open  ssh        OpenSSH 4.3 (protocol 2.0)
| ssh-hostkey: 
|   1024 ad:ee:5a:bb:69:37:fb:27:af:b8:30:72:a0:f9:6f:53 (DSA)
|_  2048 bc:c6:73:59:13:a1:8a:4b:55:07:50:f6:65:1d:6d:0d (RSA)
25/tcp    open  smtp       Postfix smtpd
|_smtp-commands: beep.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, ENHANCEDSTATUSCODES, 8BITMIME, DSN, 
80/tcp    open  http       Apache httpd 2.2.3
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.2.3 (CentOS)
|_http-title: Did not follow redirect to https://10.10.10.7/
|_https-redirect: ERROR: Script execution failed (use -d to debug)
110/tcp   open  pop3       Cyrus pop3d 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4
|_pop3-capabilities: UIDL TOP STLS PIPELINING IMPLEMENTATION(Cyrus POP3 server v2) AUTH-RESP-CODE USER EXPIRE(NEVER) APOP LOGIN-DELAY(0) RESP-CODES
111/tcp   open  rpcbind    2 (RPC #100000)
143/tcp   open  imap       Cyrus imapd 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4
|_imap-capabilities: QUOTA THREAD=ORDEREDSUBJECT NO X-NETSCAPE URLAUTHA0001 NAMESPACE OK CHILDREN IDLE UIDPLUS LISTEXT LIST-SUBSCRIBED CONDSTORE ACL MAILBOX-REFERRALS MULTIAPPEND ANNOTATEMORE THREAD=REFERENCES RENAME LITERAL+ Completed ID SORT=MODSEQ STARTTLS ATOMIC RIGHTS=kxte IMAP4 SORT IMAP4rev1 CATENATE UNSELECT BINARY
443/tcp   open  ssl/https?
|_ssl-date: 2020-02-03T03:44:17+00:00; +1h01m28s from scanner time.
993/tcp   open  ssl/imap   Cyrus imapd
|_imap-capabilities: CAPABILITY
995/tcp   open  pop3       Cyrus pop3d
3306/tcp  open  mysql      MySQL (unauthorized)
4445/tcp  open  upnotifyp?
10000/tcp open  http       MiniServ 1.570 (Webmin httpd)
|_http-favicon: Unknown favicon MD5: 74F7F6F633A027FA3EA36F05004C9341
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-title: Site doesn't have a title (text/html; Charset=iso-8859-1).
Aggressive OS guesses: Linux 2.6.9 - 2.6.24 (95%), Linux 2.6.9 - 2.6.30 (95%), Linux 2.6.27 (likely embedded) (95%), Linux 2.6.20-1 (Fedora Core 5) (95%), Linux 2.6.5 - 2.6.12 (95%), Linux 2.6.18 (95%), Linux 2.6.18 - 2.6.32 (95%), Linux 2.6.22 - 2.6.23 (95%), Linux 2.6.27 (95%), Linux 2.6.30 (95%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 0.527 days (since Sun Feb  2 09:06:18 2020)
Network Distance: 2 hops
TCP Sequence Prediction: Difficulty=203 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Hosts:  beep.localdomain, 127.0.0.1, example.com

Host script results:
|_clock-skew: 1h01m27s

TRACEROUTE (using port 8080/tcp)
HOP RTT       ADDRESS
1   408.95 ms 10.10.14.1
2   408.45 ms 10.10.10.7

NSE: Script Post-scanning.
Initiating NSE at 21:45
Completed NSE at 21:45, 0.00s elapsed
Initiating NSE at 21:45
Completed NSE at 21:45, 0.00s elapsed
Initiating NSE at 21:45
Completed NSE at 21:45, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 376.74 seconds
           Raw packets sent: 1502 (67.588KB) | Rcvd: 1127 (46.584KB)

开放的端口比较多,扫出来12个端口, 看起来有点像渗透测试用的多业务靶机,漏洞应该不少。

看到开了80,那么就先扫描一下目录

我的网络状态确实太慢了,就扫描了一下主要的部分。也可

最低0.47元/天 解锁文章
htb-beep
m0_55772907的博客
09-15 1058
一般
HTB系列Beep
Ms08067安全实验室
12-08 1338
这次挑战的是 HTB 的第5靶机Beep,评分很高,难度中等靶机描述Beep 运行了大量的服务,这对正确发掘入口点有一定的挑战,由于存在大量的攻击向量,或许会让你不知所措,幸运地是,...
oscp——HTB——Beep
王嘟嘟的博客
05-09 526
0x00 前言 难度 入门1级 0x01 信息收集 0x02 Web——Rootshell 先看一下80端口,是一个登录界面,尝试了弱口令以及SQL注入 搜索一下Elastix的历史漏洞 首先看到了一个LFI的洞,下载下来,然后看一下 利用payload进行测试 这里找到了一个admin的密码 jEhdIekWmdjE 可以尝试登录一下ssh,原本先尝试的admin,但是失败了,又尝试了下root,就可以成功的连接上了。 ...
HTB Lame[Hack The Box HTB靶场]writeup系列1
重新启程
02-01 3169
首先祈祷一下SARS病情尽快过去,武汉加油!湖北加油! 为了不给国家添乱,所以我在HTB订阅了VIP,准备搞下Retired Machines的靶机。 目录 0x00 靶场介绍 0x01 扫描端口 0x02 ftp服务 0x03 smb服务 0x00 靶场介绍 我们从第一个lame开始。 如何注册账号,购买vip,网上有大把文章,这里我就不再记录了。 这个系列主要是...
HTB Legacy[Hack The Box HTB靶场]writeup系列2
重新启程
02-01 1772
Retired Machines的第二台,前面的靶机都是比较简单的,通常都是适应性的训练,找到合适的突破点就可以了。 目录 0x00 靶场介绍 0x01 端口扫描 0x02 samba服务 0x03永恒之蓝 0x00 靶场介绍 Legacy这台靶机是windows靶机,我们之前在Vulnhub上使用的靶机基本上都是linux操作系统。那么我们就来看看这台靶机是什么情况。 先看下...
HTB Popcorn[Hack The Box HTB靶场]writeup系列4
重新启程
02-02 4765
本题是retire的第四题Popcorn 目录 0x00 靶机情况 0x01 扫描端口 0x02 web目录文件扫描 0x03 get webshell 0x04 提权 0x00 靶机情况 本题是linux的靶机,整体看起来难度在3-4之间,比之前的题目有了一些难度,不过做过vulnhub的题目之后,linux的题目基本上怎么做都心里有数了。 0x01 扫描端口 先看下端口...
HTB Optimum[Hack The Box HTB靶场]writeup系列6
重新启程
02-04 3483
这是HTB retire machine的第六台靶机 目录 0x00 靶机情况 0x01 信息搜集 端口扫描 检索应用 0x02 get webshell 0x03 提权 mfs中查找提权程序 执行systeminfo 执行windows-exploit-suggester.py 执行ms16-098 0x00 靶机情况 可以看到这台靶机是windows的靶机,难...
【low】Bee-box writeup---html injection-reflected(get)
Ray
03-22 1347
1 html injection-reflected(get) 0x00: 因为题目是HTML注入,所以看到登录框不要以为是sql注入了,特意查看页面源代码,请求方式是get,处理页面是本页显示,所以根本没有数据库交互,源码其他的就是加载一些css样式和一些Google js的apl了。源码截图如下:   0x01: 当然接下来就进入正题了,既然是HTML注入,那就在输入框中输入
SSRF之bee-box练习
qq_43571759的博客
02-29 2070
SSRF (Server-side Request Forgery,服务器请求伪造)漏洞,是一种攻击者构造请求,是一种攻击者发起的伪造由服务器发起请求的一种攻击。 SSRF危害 * 端口扫描 * 利用file文件协议 读取本地文件 * 内网web 应用指纹识别 * 攻击内网web 端口扫描和读取文件的危害会在等下练习的时候体现出来; 漏洞发现: 其中对外发起网络请求的地方都可能存在SSRF漏洞...
php xpath注入工具,bee-box xPath注入学习之靶场练习
weixin_39634480的博客
04-07 419
在bwapp中,对应的xPath注入bug是XML/XPathInjection (Search),这个漏洞的引用文件是xmli_2.php,直接先看下这份文件的源码:首先从get请求中接收到表单的值,然后$genre送入到xmli中,进行一次字符过滤,由于这里使用的安全等级为最低级,所以没有进行任何过滤就返回了data。接收到返回的data值之后,php文件加载xml文件,使用simplexml...
No.115-HackTheBox-Linux-SolidState-Walkthrough渗透学习
qq_34801745的博客
05-26 383
** HackTheBox-Linux-Miral-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/85 靶机难度:中级(4.5/10) 靶机发布日期:2017年10月18日 靶机描述: SolidState is a medium difficulty machine that requires chaining of multiple attack vectors in order to get a privileg
Hack The Box 系列域渗透之靶机Multimaster
二狗的博客
02-03 1791
本小白最近在学域渗透,决定把Hack The Box的Active Directory 101系列域渗透靶机打完,并详细记录当中用到的工具、知识点及其背后的原理。本篇文章是该系列的第九篇,靶机名字为Multimaster,这是一台疯狂难度的靶机
HackTheBox - Medium - Windows - Escape
最新发布
M1n9K1n9的博客
12-28 462
Escape 是一台中等难度的 Windows Active Directory 计算机,它以 SMB 共享开始,经过来宾身份验证的用户可以下载敏感的 PDF 文件。在PDF文件中,临时凭据可用于访问计算机上运行的MSSQL服务。攻击者能够强制 MSSQL 服务向他的计算机进行身份验证并捕获哈希值。事实证明,该服务在用户帐户下运行,并且哈希值是可破解的。拥有一组有效的凭据,攻击者能够使用 WinRM 在计算机上执行命令。枚举计算机时,日志文件会显示用户“ryan.cooper”的凭据。
Webmin LFD to LFI
weixin_30361641的博客
02-18 160
Webmin < 1.290 / Usermin < 1.220 - Arbitrary File Disclosure (Perl) https://www.exploit-db.com/exploits/2017/ Actually it's not just a local file disclosure vulnerability, It's a LFI-like vuln...
HackTheBox-CTF2022
Blazing-Angel的博客
05-21 3058
Before 五天的比赛,总共61道赛题,11道web题目,队友依旧给力,pwn,re,misc等都ak了,最后写出了59道题目,位于7014支队伍的第7名。 目前是周四下午18.30,距离比赛结束还有2h,结束五天沉迷解题的状态,下载附件、代码审计、发现异常、搜索漏洞、构造payload、本地测试, 一个字:爽。不过web这回算是个败笔了,差一题AK,啧啧啧,我太菜了 Kryptos Support 逻辑漏洞 XSS The secret vault used by the Longhir’s ..
HTBHackTheBox-medium-Popcorn 国外渗透实战靶场
学习记录!大佬速速离开
04-14 3539
Majority Papers为笔者学习所整理的内容,本意希望借此知识输出方式达到筑牢基础的效用。如若有不足之处,还望大哥哥海涵。向值得学习的人学习,向前辈们致敬! 🌑🌕暗黑模式,解锁加倍沉浸式阅读快乐🥤 🦾祭神器--Nmap ┌──(root💀kali)-[/home/kali/桌面] └─# nmap -sS -A -sC -sV -p- --min-rate 5000 10.10.10.6 ​​​​​​ Nmap scan report for 10.10.10.6 Ho...
hackthebox(HTB) precious 靶机!
qq_58869808的博客
12-08 1864
hackthebox preicous 靶机
【漏洞分析】流行开源电子邮件程序Roundcube v1.2.2命令执行漏洞分析
Anprou的博客
12-23 2793
简介 Roundcube是一款被广泛使用的开源的电子邮件程序,在全球范围内有很多组织和公司都在使用。 在过去的1年里,仅SourceForge上的镜像文件被下载次数就超过26万,这还仅仅是实际使用群体中的一小部分。 在服务器上成功安装Roundcube之后,它会提供给用户一个web接口,通过验证的用户就可以通过Web浏览器收发电子邮件。 在本文中,我们将看到攻击者是如何仅仅
HTB靶场系列 linux靶机 Beep靶机
m0_57221101的博客
01-15 1342
这个靶场真的很厉害,学到了非常多的东西 需要学习的技能 nmap扫描具体端口 -sC -sV -p 223 searchspoilt 打开文件 -x sslscan ip 探测目标机器 ssl版本 勘探 首先还是一样用nmap大致扫描,再用nmap对扫出的端口进行细致扫描 nmap nmapshows a bunch of ports open on the box: root@kali# nmap -sT -p- --min-rate 5000 -oA nmap/alltcp 10..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值