- 博客(48)
- 收藏
- 关注
RSS订阅原创 HTB Jab
HTP Jab 本靶机考察了 openfire 应用如何进行渗透,xmapp协议的测试,以及常见的域内攻击如用户名枚举,以及ASRoasting攻击
2024-02-29 21:13:36
1488
原创 HTB Devvortex
把新的子域名加入hosts 解析记录 dev.devvortex.htb。此时进入了一个类似vim的界面,进入命令模式 输入!也存在这个linux用户 ,那么接下来就爆破密码hash。google搜索存在CVE-2023-23752 漏洞。这个程序是一个用来检查系统问题的python脚本。数据库里面还有一个 logan 用户的凭证。存在 22,80 开放 经典两端口。看来这个子域名是一个joomla应用。简单枚举,感觉就是一个静态页面。这就跟vim提权一样一样~经典先检查sudo -l。
2023-12-08 23:12:27
590
原创 HTB Ouija
k 的值是在 /opt/auth/api.key 当中 , 我们是获取不到这个key的内容的 但是长度我们可以知道 程序使用了 sha256 加密 并且知道了其中一个明文 以及加密的密文。也很简单,如果我们创建一个目录名是php代码的目录,然后修改对应的输入并且跳转最终写入php文件到web目录,这样最终写入的日志中也包含我们的目录名即php代码。其中 触及 没有 了解过的知识 比如hash 拓展长度攻击 (在知道明文 和密文的情况下 如果还知道key的长度,可以替换明文具有同等效力加密的密文)
2023-12-08 23:06:22
2282
原创 HTB Napper WriteUp
系统开放了 9200 和 9300 端口,9200默认是elasticsearch服务的端口,并且在 Programa Files 也看到了 elasticsearch 相关的文件夹,所以肯定是启动了一个这个服务,通过搭建frp代理到内网。仔细看源代码,调用的是Run 方法,我们这里主要的逻辑都在Main 方法里面,修改ReverseShell代码。目录下面还有文章,我们可以看到一个是介绍 后门的 另一个是介绍 自己实现LAPS,本地保护策略,也是就。看到pass的字样,估计是生成密码用的一个程序。
2023-11-23 23:11:27
3592
原创 HTB Codify WriteUp
总体来说比较简单,web 通过简单的bypass 拿到shell,搜索相关信息,拿到joshua 用户的凭据。这个脚本的逻辑就是通过通配符一直匹配密码,直到最后没有匹配的了,那么就退出。但是这里判断在 shell语言中是可以使用通配符 * 的。尝试用这个密码ssh登录,成功拿到 userflag。这个脚本的逻辑是判断输入的密码和 预订的密码一不一样。把db文件下载到本地,读取后,发现了密码。a* 会匹配成功 ,b*会失败。ab* 会成功,ac* 会失败。有点像nosql 注入。root 还算有意思。
2023-11-23 22:53:58
695
原创 HTB Drive WriteUp -- add intented way(pwn)
在探索里面,看到有两个用户,其中一个叫martinCruz 和 我们ssh martin名字很像,使用相同密码,发现可以登录。在web目录下旁边的backups文件夹下,有好几个文件,应该是备份文件和现在用的db文件, 把db文件拿下来。可以看到这里是有两个读取字符的位置,一个读取v8,一个v9,分别对应 username 以及 password。v8读取16个字节,而v9读取400个字节,明显有栈溢出漏洞,但是有canary保护,这上面有几个功能点,上传文件,存储文件,取消存储文件,查看文件内容。
2023-10-25 21:47:01
357
原创 HTB Analytics WriteUp
看见.dockerenv 存在.dockerenv 目录下,,感觉应该是在一个docker容器里面。简单收集了一波信息,没有可以利用suid,没有sudo -l ,尝试内核提权吧。发现新的子域名,所以马上尝试vhost碰撞,这也是是一个思路。虽然回显显示sql执行失败报错,但是实际命令是成功执行的。一眼看上去就感觉是一个组件类似的东西,google。经典两端口 22 80 ,80 重定向到。然后把这个子域名加入hosts文件。读取env的内容,存在用户和密码。这个也是ok的,就一个sh脚本。
2023-10-08 23:54:15
3259
10
原创 HTB Clicker WriteUp
当我们把传入的前半部分都进行url编码 包括=号的时候,这样在后端判断的时候,就只会把我们传入的部分只当作 key,而value 为空,所以相当于我们传入的数据 (urlencode(role=‘Admin’)=>NULL),所以其实就是我们拥有了控制整个sql的权利,这里存在sql注入。,仔细看了看绕过的利用方式,并没有存在md5函数包裹,也就是这里我们不可以bypass,而且其实也没有什么作用,这个php只是返回了一些环境变量的信息。尝试用引号包裹起来,好像成功了,那么我们重新登录一下账号。
2023-10-01 18:30:11
2002
原创 HTB (hackthebox)Coder Insane靶机 User Flag WriteUp
HTB Coder 靶机 UserFlag WriteUp
2023-04-06 20:45:31
8676
7
原创 HTB (hackthebox )Socket WriteUp ---- Season 靶机
HTB (hackthebox )Socket WriteUp ---- Season 靶机
2023-03-28 23:43:02
5686
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人