HackTheBox-Machines--Bank

文章目录

  • 0x01 信息收集
  • 0x02 文件上传漏洞利用
  • 0x03 权限提升
    • 方法一:SUID提权
    • 方法二:配置不当提权

Bank 测试过程

0x01 信息收集


1.端口扫描

发现 ssh(22)、DNS(53)、HTTP(80) 端口

nmap -sC -sV 10.129.29.200

在这里插入图片描述

访问 80 端口,页面为Apache2 Ubuntu 默认页面

在这里插入图片描述

猜测域名可能为 bank.htb

echo "10.129.29.200 bank.htb" | sudo tee -a /etc/hosts

  访问 bank.htb 重定向到 bank.htb/login.php
  登录表单尝试:爆破、sql注入失败,尝试进行其他方式。
在这里插入图片描述

2. 目录扫描

./gobuster dir -u http://bank.htb -w directory-list-2.3-medium.txt -x php -t 50 
  • /support.php 重定向到 login.php。

  • /uploads 重定向到 /uploads/,并且返回 403 禁止的页面。

  • /assets 重定向到 /assets/启用了目录列表的位置。

  • /inc 重定向到/inc/

  • header.php 返回 302 login.php,这会导致浏览器转到/inc/login.php不存在的位置。我怀疑所有页面都有这个标头,它检查有效会话,如果没有则重定向。其他三个返回空页(这是有道理的,因为它们应该被包含在内)。

  • /balance-transfer 提供了一个包含很多.acc文件的目录列表,每个文件都是32个十六进制字符。

在这里插入图片描述

在这里插入图片描述

Christos Christopoulos:chris@bank.htb:!##HTBB4nkP4ssw0rd!##

在这里插入图片描述

在这里插入图片描述

0x02 文件上传漏洞利用

1. 文件上传功能利用

  上传 phpinfo.php 文件,上传失败,显示只能上传 image 文件。

在这里插入图片描述

2. 绕过文件上传限制

  使用burpsuite抓包,尝试绕过对上传文件的限制。失败

  在检查http://bank.htb/support.php网页源代码时发现一条注释:
  以.htb文件会以php格式运行

在这里插入图片描述

  将 phpinfo.php 改为 phpinfo.htb 继续尝试,成功绕过上传限制

在这里插入图片描述
在这里插入图片描述

3. 上传反弹shell,获取权限

  服务端执行监听,上传反弹 shell 文件,上传成功后点击Click Here 成功执行shell文件,获取到权限

在这里插入图片描述

在这里插入图片描述

0x03 权限提升

1. 将shell升级为PTY

python -c 'import pty;pty.spawn("bash")'

在这里插入图片描述

在这里插入图片描述

方法一:SUID提权

  1.检查以root权限运行具有SUID权限的二进制文件

find / -type f -user root -perm -4000 2>/dev/null

在这里插入图片描述

  2.运行 /var/htb/bin/emergency 会返回root
在这里插入图片描述

方法二:配置不当提权

  1.检查密码文件,发现 passwd文件任何人都可写
在这里插入图片描述

  2.使用openssl为密码 password 生成密码哈希

openssl passwd -1 password

在这里插入图片描述

  3.添加一个 uid 和 gid 为0的 root 用户

echo 'test123:$1$JW6KCfwL$atWohn9aRfb/uLULAQkSX1:0:0:pwned:/root:/bin/bash' >> /etc/passwd

上述命令的格式是冒号分隔的用户名(不能以数字开头)、密码哈希、用户 ID、组 ID、注释、主目录、shell。

在这里插入图片描述

  4.使用 su 切换到test123用户,获取root权限
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/13384.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

免费、无限量出图!字节跳动旗下这款国产AI工具,居然这么好用!(强烈推荐)

文章首发于公众号:X小鹿AI副业 大家好,我是程序员X小鹿,前互联网大厂程序员,自由职业2年,也一名 AIGC 爱好者,持续分享更多前沿的「AI 工具」和「AI副业玩法」,欢迎一起交流~ 之前X小鹿一直在各…

软考--试题六--抽象工厂模式(Abstract Factory)

抽象工厂模式(Abstract Factory) 意图 提供一个创建一系列相关或相互依赖对象的接口,而无须指定他们具体的类 结构 适用性 1、一个系统要独立于它的产品的创建、组合和表示时 2、一个系统要由多个产品系统中的一个来配置时 3、当要强调一系列相关的产品对象的设…

Python中使用C扩展详解

文章目录 1. Python/C API示例2. Cython示例3. ctypes关于C扩展的进一步讨论安全性和兼容性性能优化策略调试C扩展发布和分发C扩展 应用实例:加速矩阵乘法运算1. 准备C扩展代码2. 编译C扩展3. 在Python中使用C扩展 在Python中,使用C扩展是一种提高程序性…

Leetcode - 130双周赛

目录 一,3142. 判断矩阵是否满足条件 二,3143. 正方形中的最多点数 三,3144. 分割字符频率相等的最少子字符串 四,3145. 大数组元素的乘积 一,3142. 判断矩阵是否满足条件 本题题意,满足每一列的数全部…

【Linux系统编程】第十九弹---进程状态(下)

​​​​​​​ ✨个人主页: 熬夜学编程的小林 💗系列专栏: 【C语言详解】 【数据结构详解】【C详解】【Linux系统编程】 目录 1、僵尸进程 2、孤儿进程 3、运行状态 4、阻塞状态 5、挂起状态 6、进程切换 总结 1、僵尸进程 上一弹…

网工路由基础——动态路由协议(RIP)

一、动态路由协议的分类 1.按工作区域分类: 动态路由协议按用途分类可以分为内部网关协议(IGP)和外部网关协议(EGP)。一个Internet网可以被分成多个域或多个自治系统,各自治系统通过一个核心路由器…

基于语义感知的对象草图绘制

摘要 抽象是素描的核心,因为线条画的简单和最小化特性。抽象涉及识别对象或场景的基本视觉属性,这需要语义理解和对高级概念的先验知识。因此,抽象表现对艺术家来说是具有挑战性的,对机器来说更是如此。我们提出了CLIPasso&#…

软考--试题六--访问者模式(Visitor)

访问者模式(Visitor) 意图 表示一个作用于某对象结构中的各元素的操作。它允许在不改变各元素的类的前提下定义作用于这些元素的新操作 结构 适用性 1、一个对象的结构包含很多类对象,他们有不同的接口,而用户想对这些对象实施一些依赖于其具体类的操…

STL <string>--------String的OJ题目

1.题目截图(把字符串转换成整数----atoi) 1.1题目解析(在代码里) class Solution { public:int myAtoi(string str) {// 100% 97.45% int len str.size();if(len 0)return 0;int i 0, flag 1, isSignal 0, res 0;while(…

小红书孕妇宝妈暴力拉新玩法,每日两小时,单日收益500+

哎呀,你好呀,亲爱的小伙伴们!我今天心血来潮,想和你们分享一个超级棒的方法,这个方法我亲自试过,超级有效!就是在小红书上针对孕妇和宝妈们进行引流的方法。听起来是不是很有趣呀?&a…

PyCharm运行程序遇到‘[WinError 1455] 页面文件太小’的问题

最近在云环境的PyCharm运行程序,第一次遇到了WinError 1455的问题,感谢大神们给出的解决方法,特此记录一下。 错误提示是‘页面文件小’导致的问题,那么将页面调大即可。 电脑默认情况下没给D盘分配虚拟内存, 如果Python装在D盘…

【工具】macOS、window11访问limux共享目录/共享磁盘,samba服务安装使用

一、samba服务安装 Samba是一个免费的开源软件实现,使得非Windows操作系统能够与Windows系统进行文件和打印服务共享。它实现了SMB/CIFS协议,并且能够在Linux、Unix、BSD等多种系统上运行。 安装 samba: sudo yum install samba配置 samba…

裁员大盘点:2023年50家知名企业到底“减少”了多少员工?

面对裁员传闻,各家都有各家的说法。 什么“人员盘点”、“广进计划、”“优化”、“毕业”、“正常人员调整”、“瘦身”、“寒冬”…… 那么,国内知名企业在过去一年到底增加or减少了多少人? 博主翻查了一些知名上市企业2023年的财报&#…

【SRC实战】findsomething未授权修改密码

挖个洞先 https://mp.weixin.qq.com/s/i6R7OZ-5h9V5o3Kfho7QWA “ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ” 01 — 漏洞证明 1、网站只有账号密码登录功能,没有注册,忘记密码 2、利用findsomething发现修改密码接口 find…

2024 年第四届长三角高校数学建模竞赛赛题B题超详细解题思路+问题一二代码分享

2024年第四届长三角数学建模竞赛B题详细解题思路 赛道B:人工智能范式的物理化学家 长三角分享资料(问题一代码论文思路)链接(18点更新): 链接:https://pan.baidu.com/s/1lteKvIWNZ4v-Gd7oOcg…

visual studio 2017重命名解决方案或项目名称

1.解决方案->右键->重命名->新的名字 2.项目->右键->重命名->新的名字 3.修改程序集和命名空间名称 项目->右键->属性->修改程序集名称和命名空间名称 4.搜索换名 Ctrl-F->输入旧名称->搜索->将所有旧名称改为新名称(注意是整…

弘君资本股市分析|巴菲特“神秘持仓”曝光!盘后大涨

巴菲特“神秘持仓”揭晓。 当地时间5月15日周三,巴菲特旗下伯克希尔哈撒韦提交的13F美股持仓文件显现,一季度伯克希尔持有2592万股安达稳妥(Insurer Chubb),持仓市值超67亿美元(约合人民币485亿元&#xf…

一套智慧水务平台大概多少钱?

在当今日益发展的水务行业中,如何实现高效、智能的管理,成为了摆在水务企业和相关部门面前的一大挑战。而智慧水务平台作为新时代的解决方案,以其强大的功能和卓越的性能,赢得了广泛的关注。那么,一套智慧水务平台大概…

Metasploit基本命令

1. 开启控制台 命令: msfconsole2. 搜索模块 命令: search ms17-010 # 模块名这里以搜索 ms17-010 为例, auxiliary 开头的为测试模块,也就是 POC,看看存不存在漏洞, exploit 开头的为攻击模块 3. 调…

一款开源简历设计生成器,内置两款设计器,多种免费模板选择,还可以自定义模板、主题等等,支持导出PDF、JSON数据。

🚀 项目简介 91化简是一个开源免费的简历设计制作以及提供模板下载的网站,当前项目为前端项目,完全开源免费。 网站内置有两款设计器,可以方便快捷的制作出精美的简历,除此之外,网站还提供有完整的后台管…