Linux/Academy

116911d0daf94762960e2a0a77b53986.png

Enumeration

nmap

首先扫描目标端口对外开放情况

nmap -p- 10.10.10.215 -T4

发现对外开放了22,80,33060三个端口,端口详细信息如下

a4105d68b5cc4149a46077934387dbb7.png

结果显示80端口运行着http,且给出了域名academy.htb,现将ip与域名写到/et/hosts中,然后从http入手

TCP/80

访问站点,看到了HTB的图标还怀疑了10秒钟

eb7e9d3028e44479b05e734faca72bd5.png

站点有一个登录口,一个注册口,通过查看网页源代码中的后缀名得知使用php语言

389ae0b5d2f94a1c99463ded807e26a6.png

既然有注册页面,那就先注册一个账号,然后登录看看

42f6e80dd877429ca8d7dc6df6443436.png

登录后点击一些链接也没有反应,使用dirsearch来检查是否存在其他目录

d3a60836fad14d5a9a55cce9cd363e7b.png

其中admin.php与之前的登录页面相同,但是用刚才注册的账户无法登陆,尝试重新注册一个用户,并用burp拦截数据包

27f4d566ee884ff49bf81eee86214c99.png

发现数据包中不止有在表单中填入的参数,还有一个roleid,猜测该参数可能是控制账户权限的,因为之前创建的账 户权限id为0,因此无法登陆admin.php的登录页面

尝试修改roleid为1,并发送请求包,可以看到服务器仍在正常响应

e7265aeaa23a452f96290272be4df730.png

再次尝试在admin.php中登录,发现登录成功,登陆成功后发现又是一个计划表

其中前五项都已经完成,最后一个是待定,在/etc/hosts中添加该域名,dev-staging-01.academy.htb

4392006efc6a4b48a0f7d420ee79167a.png

访问得到如下结果

5f9d1cb99aee45f8b145b16b54fef3a7.png

可以看到使用了php框架Laravel

8f36dd5c898e4a2f97831ed3b6ec278d.png

Exploition

CVE-2018-15133

发现该框架有一个漏洞,可以直接远程执行代码,条件是要知道程序秘钥,在上文中发现了APP_KEY,可能就是这个秘钥

005b573cd414443b8a7906f015400e49.png

在metasploit中可以直接配置攻击,利用对应程序

2d14cc0156ae469faf29023557f8fcc7.png

设置如下内容

3b8e9ee738da467f8a558cdb1067220f.png

执行程序后即可获取一个shell

24058e73b52a47468f16f6bc5648756f.png

使用python获取一个交互式shell

f011eac3a05d44678cf411e4558a8848.png

Lateral Movement

在web目录下,发现了一个.env文件,里面有一个数据库密码,考虑密码复用

e4db83c2e9d2405280c487dbbe800709.png

查看存在的用户

ded835fe89814983b136b65131fccd15.png

发现找到的密码适用于cry0l1t3用户,成功登录

6f61374f46b2415a89b5ba829b595d2e.png

并且在该用户目录下发现了第一个flag

5040f4c19d8f40c081d78f5d16ba057c.png

发现该用户属于adm组,作为非root用户,可以审查日志

6b567617402f49c6b577ea1578159afe.png

首先列出日志文件

e58fd390c6964d53b23d3a2c89f8660a.png

Linux 内核会记录很多内容,但默认情况下它不会记录 TTY 输入,而审计日志允许系统管理员记录这一点。如果启用了TTY 输入日志记录,则包括密码在内的任何输入都将以十六进制编码形式存储在 /var/log/audit/audit.log 内。可 以使用 aureport 程序来查询和检索 TTY 输入的记录。

b29c251db65e42199ba6812dbea623bd.png

发现了mrb3n的登录密码,登录该用户

80a2339581524690aaec4a0d40109824.png

Privilege Escalation

执行sudo -l,发现mrb3n可以以root身份运行composer

6fb80f8a9e18488abe5d033a0e16b22d.png

然后在GTFOBins中发现该程序可以用来提权

075067b8ea414e9ea2b7cf1defac08e7.png

按照上图中执行,即可获取root权限

ee1e3e609c674cf3a0aeef6979a2b8bb.png

在root目录中除了root.txt还有一个academy.txt,看起来挺有趣

de025b6ddae147f1b630171429322db2.png

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/246629.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Procexp64.exe —— 强大的进程管理器

1,简介 Process Explorer 是一款增强型的任务管理器,你可以使用它方便地管理你的程序进程,能强行关闭任何程序。 除此之外,它还详尽地显示计算机信息:CPU、内存使用情况,DLL、句柄信息,很酷的…

redis-4 搭建redis集群

1.为什么需要redis集群? Redis 集群提供了高可用性、横向扩展和数据分片等功能,使得 Redis 能够应对大规模的数据存储和高并发访问的需求。以下是一些需要使用 Redis 集群的常见情况: 高可用性:通过在多个节点之间进行数据复制和…

【动态规划】【逆向思考】【C++算法】960. 删列造序 III

作者推荐 【动态规划】【map】【C算法】1289. 下降路径最小和 II 本文涉及知识点 动态规划汇总 LeetCode960. 删列造序 III 给定由 n 个小写字母字符串组成的数组 strs ,其中每个字符串长度相等。 选取一个删除索引序列,对于 strs 中的每个字符串&a…

虹科数字化与AR部门升级为安宝特AR子公司

致关心虹科AR的朋友们: 感谢您一直以来对虹科数字化与AR的支持和信任,为了更好地满足市场需求和公司发展的需要,虹科数字化与AR部门现已升级为虹科旗下独立子公司,并正式更名为“安宝特AR”。 ”虹科数字化与AR“自成立以来&…

React中文官网已经搬迁了,原网址内容将不再更新

注意1:React中文官网已经搬迁至-React 官方中文文档,原网址内容将不再更新 注意2:React官网已经将React的定义由“用于构建用户界面的 JavaScript 库”更改为“用于构建 Web 和原生交互界面的库”。

SpringBoot系列之JPA实现按年月日查询

SpringBoot系列之JPA实现按年月日查询 通过例子的方式介绍Springboot集成Spring Data JPA的方法,进行实验,要先创建一个Initializer工程,如图: 选择,需要的jdk版本,maven项目 选择需要的maven配置&#x…

Python初学者学习记录——python基础综合案例:数据可视化——地图可视化

一、基础地图使用 1、基础地图演示 2、基础地图演示——视觉映射器 from pyecharts.charts import Map from pyecharts.options import VisualMapOpts# 准备地图对象 map Map() # 准备数据 data [("北京市", 99),("上海市", 199),("湖南省", 2…

高考复习技巧考研资料、美赛论文及代码,数据收集网站(初高中招生考试全科试卷等)

图,就要从“点、线、面的位置关系”这一内核开始发散,第一层级为彼此的位置关系,平行、相交、异面(两直线间位置)、垂直(相交或异面中的特殊位置),多面体、旋转体等,然后…

基于springboot+vue的在线教育系统(前后端分离)

博主主页:猫头鹰源码 博主简介:Java领域优质创作者、CSDN博客专家、公司架构师、全网粉丝5万、专注Java技术领域和毕业设计项目实战 主要内容:毕业设计(Javaweb项目|小程序等)、简历模板、学习资料、面试题库、技术咨询 文末联系获取 项目背景…

使用Opencv-python库读取图像、本地视频和摄像头实时数据

使用Opencv-python库读取图像、本地视频和摄像头实时数据 Python中使用OpenCV读取图像、本地视频和摄像头数据很简单, 首先需要安装Python,然后安装Opencv-python库 pip install opencv-python然后在PyCharm或者VScode等IDE中输入对应的Python代码 一…

leetcode:二叉树的中序遍历(外加先序,后序遍历)

题外:另外三种遍历可以看这: 层序遍历: Leetcode:二分搜索树层次遍历-CSDN博客 先序遍历: 二叉树的先序,中序,后序遍历-CSDN博客 后序遍历: 二叉树的先序,中序,后序…

黑马程序员-瑞吉外卖-day5

修改实体类 package com.itheima.reggie.entity;import com.baomidou.mybatisplus.annotation.FieldFill; import com.baomidou.mybatisplus.annotation.TableField; import io.swagger.annotations.ApiModelProperty; import lombok.Data; import lombok.EqualsAndHashCode;i…

Python算法题集_接雨水

本文为Python算法题集之一的代码示例 题目42:接雨水 说明:给定 n 个非负整数表示每个宽度为 1 的柱子的高度图,计算按此排列的柱子,下雨之后能接多少雨水 示例 1: 输入:height [0,1,0,2,1,0,1,3,2,1,2,1]…

VMware虚拟机部署Linux Ubuntu系统

本文介绍基于VMware Workstation Pro虚拟机软件,配置Linux Ubuntu操作系统环境的方法。 首先,我们需要进行VMware Workstation Pro虚拟机软件的下载与安装。需要注意的是,VMware Workstation Pro软件是一个收费软件,而互联网中有很…

Windows10上通过MSYS2编译FFmpeg 6.1.1源码操作步骤

1.从github上clone代码,并切换到n6.1.1版本:clone到D:\DownLoad目录下 git clone https://github.com/FFmpeg/FFmpeg.git git checkout n6.1.1 2.安装MSYS2并编译FFmpeg源码: (1).从https://www.msys2.org/ 下载msys2-x86_64-20240113.exe &#…

【揭秘】ForkJoinTask全面解析

内容摘要 ForkJoinTask的显著优点在于其高效的并行处理能力,它能够将复杂任务拆分成多个子任务,并利用多核处理器同时执行,从而显著提升计算性能,此外,ForkJoinTask还提供了简洁的API和强大的任务管理机制&#xff0c…

pytorch-metric-learning度量学习工具官方文档翻译

基于Pytorch实现的度量学习方法 开源代码:pytorch-metric-learning官网文档:PyTorch Metric Learning官方文档 度量学习相关的损失函数介绍: 度量学习DML之Contrastive Loss及其变种度量学习DML之Triplet Loss度量学习DML之Lifted Structu…

生信技能树--转录组--个人笔记

这周主要内容是学习转录组的比对,选择的软件为hisat2,该笔记仅供个人参考谨慎搬运代码。 # hisat2 可以快速准确地将测序得到的 RNA 片段(reads)比对到参考基因组,从而确定这些RNA 片段在基因组上的精确位置&#xff…

关于在Ubuntu20.04(ROS1 noetic)中使用catkin_make编译时发生的与pyhton版本不兼容的问题解决办法

今天在另外一台电脑上操作复现【ROS建模:一起从零手写URDF模型】这个博客时,发生了一些问题,特此记录下来 【ROS建模:一起从零手写URDF模型】链接:https://blog.csdn.net/qq_54900679/article/details/135726348?spm…

redis-主从复制

1.主从复制 1.1简介 主机数据更新后根据配置和策略, 自动同步到备机的master/slaver机制,Master以写为主,Slave以读为主 1.2作用 1、数据冗余:主从复制实现了数据的热备份,是持久化之外的一种数据冗余方式。 2、故…