Linux/Academy

116911d0daf94762960e2a0a77b53986.png

Enumeration

nmap

首先扫描目标端口对外开放情况

nmap -p- 10.10.10.215 -T4

发现对外开放了22,80,33060三个端口,端口详细信息如下

a4105d68b5cc4149a46077934387dbb7.png

结果显示80端口运行着http,且给出了域名academy.htb,现将ip与域名写到/et/hosts中,然后从http入手

TCP/80

访问站点,看到了HTB的图标还怀疑了10秒钟

eb7e9d3028e44479b05e734faca72bd5.png

站点有一个登录口,一个注册口,通过查看网页源代码中的后缀名得知使用php语言

389ae0b5d2f94a1c99463ded807e26a6.png

既然有注册页面,那就先注册一个账号,然后登录看看

42f6e80dd877429ca8d7dc6df6443436.png

登录后点击一些链接也没有反应,使用dirsearch来检查是否存在其他目录

d3a60836fad14d5a9a55cce9cd363e7b.png

其中admin.php与之前的登录页面相同,但是用刚才注册的账户无法登陆,尝试重新注册一个用户,并用burp拦截数据包

27f4d566ee884ff49bf81eee86214c99.png

发现数据包中不止有在表单中填入的参数,还有一个roleid,猜测该参数可能是控制账户权限的,因为之前创建的账 户权限id为0,因此无法登陆admin.php的登录页面

尝试修改roleid为1,并发送请求包,可以看到服务器仍在正常响应

e7265aeaa23a452f96290272be4df730.png

再次尝试在admin.php中登录,发现登录成功,登陆成功后发现又是一个计划表

其中前五项都已经完成,最后一个是待定,在/etc/hosts中添加该域名,dev-staging-01.academy.htb

4392006efc6a4b48a0f7d420ee79167a.png

访问得到如下结果

5f9d1cb99aee45f8b145b16b54fef3a7.png

可以看到使用了php框架Laravel

8f36dd5c898e4a2f97831ed3b6ec278d.png

Exploition

CVE-2018-15133

发现该框架有一个漏洞,可以直接远程执行代码,条件是要知道程序秘钥,在上文中发现了APP_KEY,可能就是这个秘钥

005b573cd414443b8a7906f015400e49.png

在metasploit中可以直接配置攻击,利用对应程序

2d14cc0156ae469faf29023557f8fcc7.png

设置如下内容

3b8e9ee738da467f8a558cdb1067220f.png

执行程序后即可获取一个shell

24058e73b52a47468f16f6bc5648756f.png

使用python获取一个交互式shell

f011eac3a05d44678cf411e4558a8848.png

Lateral Movement

在web目录下,发现了一个.env文件,里面有一个数据库密码,考虑密码复用

e4db83c2e9d2405280c487dbbe800709.png

查看存在的用户

ded835fe89814983b136b65131fccd15.png

发现找到的密码适用于cry0l1t3用户,成功登录

6f61374f46b2415a89b5ba829b595d2e.png

并且在该用户目录下发现了第一个flag

5040f4c19d8f40c081d78f5d16ba057c.png

发现该用户属于adm组,作为非root用户,可以审查日志

6b567617402f49c6b577ea1578159afe.png

首先列出日志文件

e58fd390c6964d53b23d3a2c89f8660a.png

Linux 内核会记录很多内容,但默认情况下它不会记录 TTY 输入,而审计日志允许系统管理员记录这一点。如果启用了TTY 输入日志记录,则包括密码在内的任何输入都将以十六进制编码形式存储在 /var/log/audit/audit.log 内。可 以使用 aureport 程序来查询和检索 TTY 输入的记录。

b29c251db65e42199ba6812dbea623bd.png

发现了mrb3n的登录密码,登录该用户

80a2339581524690aaec4a0d40109824.png

Privilege Escalation

执行sudo -l,发现mrb3n可以以root身份运行composer

6fb80f8a9e18488abe5d033a0e16b22d.png

然后在GTFOBins中发现该程序可以用来提权

075067b8ea414e9ea2b7cf1defac08e7.png

按照上图中执行,即可获取root权限

ee1e3e609c674cf3a0aeef6979a2b8bb.png

在root目录中除了root.txt还有一个academy.txt,看起来挺有趣

de025b6ddae147f1b630171429322db2.png

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/350242.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

负载均衡-Ribbon-自定义负载均衡算法

1.Ribbon 是什么 SpringCloud Ribbon 是基于 Netflix Ribbon 实现的一套客户端负载均衡的工具主要功能是提供客户端的软件负载均衡算法,将 Netflix 的中间服务处连接在一起Ribbon的客户端组件提供一系列完整的配置项,如:连接超时、重试等。简…

TCP通信流程以及套接字函数

TCP和UDP的特点: 对于单播,多播,广播的解释: 单播: 一对一通信,目标地址唯一。多播: 一对多通信,目标地址是一个特定的组。广播: 一对全部通信,目标地址是整…

vue3之 websoket发送消息

1.封装websoket var ws null; //建立的连接 var lockReconnect false;//是否真正建立连接 var timeout 6 * 1000 * 5;//30秒一次心跳 var timeoutObj null;//心跳心跳倒计时 var serverTimeoutObj null;//心跳倒计时 var timeoutnum null;//断开 重连倒计时 var global_…

win10安装redis并配置加自启动(采用官方推荐unix子系统)

记录,为啥有msi安装包,还这么麻烦的用linux版本redis的安装方式,是因为从github上下载别人制作的msi报毒,还不止一处,这种链接数据库的东西,用别人加工过的,都报毒了还用就是傻逼了。 所以采用…

Linux---文件系统

在基础IO中,我们所讲的都是对被打开文件的管理,但是不是所有的文件都是被打开的,对那些在磁盘中保存的没有被打开的文件,我们同样也需要管理,这个就像是快递站中等待被人取走的快递,我们需要将它们分门别类…

赋值运算符

注意点:复合赋值运算符,会进行强制类型转换,不会报错 byte b 2; b 3; b; b 2; b为byte类型 b 3; 等价于b b 3;而b3的结果为int类型; 但在此过程中存在强制类型转换,b(byte)(b3);因而不会报错

电脑提示找不到opencl.dll无法继续执行的多种解决方法,实测有效

Opencl.dll文件的丢失可能会引发一系列系统运行与软件功能上的问题。作为一款重要的动态链接库文件,Opencl.dll在计算机中扮演着关键角色,它主要负责支持和实现OpenCL(开放运算语言)标准,该标准允许程序能够利用多种不…

C/C++ LeetCode:跳跃问题

个人主页:仍有未知等待探索-CSDN博客 专题分栏:算法_仍有未知等待探索的博客-CSDN博客 题目链接:45. 跳跃游戏 II - 力扣(LeetCode) 一、题目 给定一个长度为 n 的 0 索引整数数组 nums。初始位置为 nums[0]。 每个元…

eNSP学习——利用三层交换机实现VLAN间路由

目录 背景 实验内容 实验目的 实验步骤 实验拓扑 实验编址 实验步骤 基本配置 配置三层交换机实现VLAN间通信 背景 虽说单臂路由可以实现不同VLAN之间主机的通信,但该技术存在一些局限性,比如带宽、转发效率等。 三层交换机在原有二层交换机…

备忘录模式-C#实现

该实例基于WPF实现,直接上代码,下面为三层架构的代码。 目录 一 Model 二 View 三 ViewModel 一 Model using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks;namespace 设计模式练…

阅读go语言工具源码系列之gopacket(谷歌出品)----第二集 layers-巧妙的抽象与无聊的协议包

上一集中我们讲到了wpcap.dll的go封装方法,对于linux系统下libpcap的go封装采用的是常用的cgo方式,想了解的可以看看pcap文件夹中的pcap_unix.go。 我们得到了wpcap.dll的go调用,就可以利用它来进行列举所有网络设备,例如以下代码…

韦东山嵌入式Liunx入门笔记一

文章目录 一、嵌入式Linux二、Ubuntu系统2-1 安装软件2-2 Linux文件(1) 文件架构(2)文件属性(3)文件命令(4) 解压、压缩文件(5) 网络命令 2-3 vi编辑器2-4 Ubuntu下包管理 三、配置网卡四、安装后续学习使用的软件4-1 MobaXterm4-2 FileZilla4-3 Source Insight4.04-4 下载BSP4…

vivado 定义和配置I/O端口、

定义和配置I/O端口 您可以使用Vivado IDE导入、创建和配置I/O端口,如中所述以下部分。 导入I/O端口 根据项目类型,可以使用以下方法导入I/O端口: •I/O规划项目:您可以将XDC和CSV文件导入空的I/O规划项目当您使用文件导入功能…

Java Lock源码解读

一,概述 多线程问题本质是多个线程共同访问了同一块内存,导致该内存状态不确定而产生了一系列问题。concurrent包中提供的Lock类本质是对线程对象进行监督、排队,调度,确保lock只能有一个线程或共享线程成功返回,否则…

幻兽帕鲁游戏服务器搭建by阿里云服务器4核16G和32G配置价格表

如何自建幻兽帕鲁服务器?基于阿里云服务器搭建幻兽帕鲁palworld服务器教程来了,一看就懂系列。本文是利用OOS中幻兽帕鲁扩展程序来一键部署幻兽帕鲁服务器,阿里云百科aliyunbaike.com分享官方基于阿里云服务器快速创建幻兽帕鲁服务器教程&…

go 引用fork后的模块的两种方式(replace和工作区)

很久没更新了,一是工作琐碎,二是处在舒适区,但最近看着身边的同事一个个离开,危机感骤然而生,不得不重拾书本,毕竟生活还得继续,不卷是不可能的,谁让我们生在这个卷中卷的国度&#…

3d gaussian splatting介绍整理

3D 高斯分布是用于实时辐射场渲染的 3D 高斯分布中描述的一种光栅化技术,它允许实时渲染从小图像样本中学习到的逼真场景。 paper github 本文翻译整理自: blog: Introduction to 3D Gaussian Splatting DDPMs - Part 2 给出一些2D图片,用…

「阿里云」幻兽帕鲁个人服务器已上线,3分钟快速搭建

基于阿里云搭建幻兽帕鲁服务器方法,1到2分钟部署完成,稳定运行无卡顿,阿里云服务器网aliyunfuwuqi.com分享保姆级手把手教程,基于阿里云计算巢、云服务器或无影云桌面都可以: 基于阿里云幻兽帕鲁服务器创建教程 基于…

WLAN

前言 今天给大家讲一个不一样的实验,生活息息相关,特别有意思的,顺便让大家放松放松 实验 一.引入 实验拓扑图: 明眼人已经知道我没要干嘛了,WIFI无线路由器 所有的PC设备都换成WIMP300N模块无线接收 成功后你们的拓扑图就会和我的一样 二、配置Linksys WRT300N   配置pc3…

循环测试之旅——深度解析Pytest插件 pytest-repeat

在软件开发中,测试的重要性不言而喻。而为了提高测试的鲁棒性和可靠性,Pytest插件 pytest-repeat 应运而生。这个插件可以帮助你轻松实现测试用例的循环运行,以更全面地评估代码的稳定性。本文将深入介绍 pytest-repeat 插件的基本用法和实际案例,助你更好地利用循环测试,…