HTB:在线主机-Worker
免责申明:本文仅作为学术讨论,请勿用作非法用途,如有本人概不负责。
关于本人:一名来自测绘行业的小白
HTB:在线主机-Worker
首先,基本操作来一套。
然后扔给nmap。
我们可以看到:
| port | version |
|---|---|
| 80 | HTTP IIS 10.0 |
| 3690 | SVNSERVER |
| 5985 | HTTPAPI |
直接svn过来
svn checkout svn://10.129.32.87/
这里解释一下,没有用过的朋友可以搜索一下svnserver获得详细的解释。我的这一条是检出命令,结果如下:
kali@kali:~/hackthebox/fuxian/Worker$ svn checkout svn://10.129.32.87/
A dimension.worker.htb
A dimension.worker.htb/LICENSE.txt
A dimension.worker.htb/README.txt
A dimension.worker.htb/assets
A dimension.worker.htb/assets/css
A dimension.worker.htb/assets/css/fontawesome-all.min.css
A dimension.worker.htb/assets/css/main.css
A dimension.worker.htb/assets/css/noscript.css
A dimension.worker.htb/assets/js
A dimension.worker.htb/assets/js/breakpoints.min.js
A dimension.worker.htb/assets/js/browser.min.js
A dimension.worker.htb/assets/js/jquery.min.js
A dimension.worker.htb/assets/js/main.js
A dimension.worker.htb/assets/js/util.js
A dimension.worker.htb/assets/sass
A dimension.worker.htb/assets/sass/base
A dimension.worker.htb/assets/sass/base/_page.scss
A dimension.worker.htb/assets/sass/base/_reset.scss
A dimension.worker.htb/assets/sass/base/_typography.scss
A dimension.worker.htb/assets/sass/components
A dimension.worker.htb/assets/sass/components/_actions.scss
A dimension.worker.htb/assets/sass/components/_box.scss
A dimension.worker.htb/assets/sass/components/_button.scss
A dimension.worker.htb/assets/sass/components/_form.scss
A dimension.worker.htb/assets/sass/components/_icon.scss
A dimension.worker.htb/assets/sass/components/_icons.scss
A dimension.worker.htb/assets/sass/components/_image.scss
A dimension.worker.htb/assets/sass/components/_list.scss
A dimension.worker.htb/assets/sass/components/_table.scss
A dimension.worker.htb/assets/sass/layout
A dimension.worker.htb/assets/sass/layout/_bg.scss
A dimension.worker.htb/assets/sass/layout/_footer.scss
A dimension.worker.htb/assets/sass/layout/_header.scss
A dimension.worker.htb/assets/sass/layout/_main.scss
A dimension.worker.htb/assets/sass/layout/_wrapper.scss
A dimension.worker.htb/assets/sass/libs
A dimension.worker.htb/assets/sass/libs/_breakpoints.scss
A dimension.worker.htb/assets/sass/libs/_functions.scss
A dimension.worker.htb/assets/sass/libs/_mixins.scss
A dimension.worker.htb/assets/sass/libs/_vars.scss
A dimension.worker.htb/assets/sass/libs/_vendor.scss
A dimension.worker.htb/assets/sass/main.scss
A dimension.worker.htb/assets/sass/noscript.scss
A dimension.worker.htb/assets/webfonts
A dimension.worker.htb/assets/webfonts/fa-brands-400.eot
A dimension.worker.htb/assets/webfonts/fa-brands-400.svg
A dimension.worker.htb/assets/webfonts/fa-brands-400.ttf
A dimension.worker.htb/assets/webfonts/fa-brands-400.woff
A dimension.worker.htb/assets/webfonts/fa-brands-400.woff2
A dimension.worker.htb/assets/webfonts/fa-regular-400.eot
A dimension.worker.htb/assets/webfonts/fa-regular-400.svg
A dimension.worker.htb/assets/webfonts/fa-regular-400.ttf
A dimension.worker.htb/assets/webfonts/fa-regular-400.woff
A dimension.worker.htb/assets/webfonts/fa-regular-400.woff2
A dimension.worker.htb/assets/webfonts/fa-solid-900.eot
A dimension.worker.htb/assets/webfonts/fa-solid-900.svg
A dimension.worker.htb/assets/webfonts/fa-solid-900.ttf
A dimension.worker.htb/assets/webfonts/fa-solid-900.woff
A dimension.worker.htb/assets/webfonts/fa-solid-900.woff2
A dimension.worker.htb/images
A dimension.worker.htb/images/bg.jpg
A dimension.worker.htb/images/overlay.png
A dimension.worker.htb/images/pic01.jpg
A dimension.worker.htb/images/pic02.jpg
A dimension.worker.htb/images/pic03.jpg
A dimension.worker.htb/index.html
A moved.txt
取出版本 5。这里我们获得了域名和以下的所有文件。
然后我们可以“svn diff(di)”显示两个修订或路径之间的差异。来获得更多信息。
svn diff -r 2
我们似乎获得了某个用户的用户户名/明文密码:
nathen:wendel98
然后我们可以将cut,awk,grep配合起来使用获得更多的子域名,而且发现了一个开发者的子域这可能是一个突破口。因为我们使用cut,awk,grep的时候它并没有包含再内,它很特别。于是我们将其添加到hosts文件中。
(你可以尝试将所有子域名都加入进去但是这会很繁琐,我是由于已经root了该主机所以再写笔记时省略了很多步骤,想详细学习的话建议观看我的堡垒系列博客可能会对您有所帮助。)
现在我们已经将其添加,然后访问它使用之前获得的用户名/密码进行登录。成功进入该用户界面
(然后这个后台我也研究了好一阵子,其实大概就是我的用户是一个有权限推送发布某些消息的用户,然后并入主线程让其它用户可用。你只需要跟着我做就行,但是如果要详细了解该后台的功能可以详细的搜索一下。)
这里我们将新建一个分支:
然后进入我们创建的分支:
可以看到这里即可上传文件:
那么根据IIS的特性,我们可以知道该服务器文件的后缀名肯定是.asp或者.aspx,然后让其他用户拉取我们上传的文件。
完成上诉步骤以后,动作请一定要快一点。
(然后在webshell中我们会看到该主机有两个分区一个是C:\一个是W:\其中W:\svnrepos\www\conf\passwd中包含着所有用户的用户名和密码。这过程中需要大量的枚举。所以在此省略5000字。直接往下走。)
我们先使用powershell反弹一个shell回来。
然后再W:\中发现所有用户的用户名和明文密码
[users]
nathen = wendel98
nichin = fqerfqerf
nichin = asifhiefh
noahip = player
nuahip = wkjdnw
oakhol = bxwdjhcue
owehol = supersecret
paihol = painfulcode
parhol = gitcommit
pathop = iliketomoveit
pauhor = nowayjose
payhos = icanjive
perhou = elvisisalive
peyhou = ineedvacation
phihou = pokemon
quehub = pickme
quihud = kindasecure
rachul = guesswho
raehun = idontknow
ramhun = thisis
ranhut = getting
rebhyd = rediculous
reeinc = iagree
reeing = tosomepoint
reiing = isthisenough
renipr = dummy
rhiire = users
riairv = canyou
ricisa = seewhich
robish = onesare
robisl = wolves11
robive = andwhich
ronkay = onesare
rubkei = the
rupkel = sheeps
ryakel = imtired
sabken = drjones
samken = aqua
sapket = hamburger
sarkil = friday
接下来我们需要使用evil-winrm.rb来强制登陆检查哪一个才是我们需要的用户。结果如下:
成功获得了user.txt
接下来我们使用此用户再次回到web应用开发者子域名下进行登录,然后你就跟着我做吧。实际使用介绍建议还是进行搜索吧。
接下来生成一个新的管道因为我们可以在这里,用管理员用户来执行命令,直接修改它的密码。
当一切就绪,最后我们将命令写入
最后我们只需要再次以管理员用户和我们修改的密码来进行登录。我们就可以拿到root.txt了(没有后续,留下实践)
HTB:在线主机-Worker相关推荐
- 【已解决】【高速版】如何显示(扫描)局域网中所有的在线主机IP及MAC地址?
有些时候,我们想知道局域网内的全部在线主机的IP地址,以进行后续相关操作; 虽然大部分情况下,路由器管理页面或者路由器APP可以得到这些主机的IP地址及在线状态; 但是有一些例外,比如: 1. 某些主 ...
- shell脚本判断在线主机
批量检测在线主机,运行效果 vim check_ip.sh #!/bin/bash . /etc/init.d/functions ip=192.168.31. for i in {1..100} d ...
- linux查看主机脚本,简单的bash脚本查看任意网段的在线主机
一前言 最近看到许多同志在写ping某个地址段的bash脚本,我也心血来潮来了一发. 当然本人新手,大神勿喷. 二准备工作 linux系统的机器一台,当然虚拟机也可以,只要将网卡配置为桥接模式,可以 ...
- python脚本——ping检测在线主机
记录在B站学习的知识 利用ping原理,通过编写python脚本,来检测局域网内某个主机是否在线或检测局域网网段内在线的主机 实验环境 ubuntu虚拟机 pycharm 准备工作 了解ping原理 ...
- windows 查看 局域网内在线 主机 IP
cmd中输入 for /L %i IN (1,1,254) DO ping -w 2 -n 1 192.168.1.%i 后面的 192.168.0.%i 为当前主机所在网段 ,改为自己主机所在网段 ...
- python获取局域网在线主机_pythond的icmp广播报获取局域网主机IP
icmp广播报获取局域网四川特产IP from scapy.all import * import random import threading def scan(sip,dip): pkt = E ...
- python获取局域网在线主机_python通过scapy获取局域网所有主机mac地址示例
python通过scapy获取局域网所有主机mac地址示例 发布于 2014-10-10 20:34:48 | 607 次阅读 | 评论: 0 | 来源: 网友投递 Python编程语言Python ...
- python 多线程ping_python实现 多线程ping扫描网段中的在线主机
近日因为施工单位进度太慢,导致工期超出预估.领导对此比较重视,让我有空就要看一下完成的进度并汇报.我首先想到的是使用ping命令,但是手工ping了几个,然后就干不下去了(太累了).这个必须要自动化进 ...
- Nmap源码分析(主机发现)
Nmap在进行真正的端口扫描之前,通常需要确定目标主机是否在线(主机发现过程),以免发送大量探测包到不在线的主机.主机发现作为Nmap的基本功能之一,用户也可以单独运用.例如,仅仅需要确定局域网内哪 ...
最新文章
- js-在url后面添加时间戳清除浏览器打开页面的缓存
- “口碑营销”产品模型推测与分析
- ORACLE客户端jdbc连接测试,Oracle 客户端JDBC连接测试工具
- redis 怎么关闭写盘_Redis持久化策略
- 如何在 Apple Silicon (M1) 上开发 Teams App
- jpa 异常捕获_JPA和CMT –为什么捕获持久性异常不够?
- logback AbstractLogstashTcpSocketAppender 源码解析
- 超级好用的坐标转换软件
- Eclipse导入的项目中的中文都是乱码,如何解决?
- 【转载】Java文件编码自动转换工具类
- map Codeforces Round #Pi (Div. 2) C. Geometric Progression
- HTML基础知识点(二)
- 某社区APP完整原型案例
- 必看! 为什么“吉祥物”可以提高UI设计以及品牌影响力
- 数据库使用率对比【CSDN指数】
- 【论文笔记】Toward A Thousand Lights Decentralized Deep Reinforcement Learning for Large-Scale TSC...
- flea-db使用之JPA接入
- 苹果官方mfi认证名单_【大型推销配件现场】苹果回应iPhone12消磁,这波操作太6了 - 社会...
- springboot基于Elasticsearch6.x版本进行ES同义词、停用词(停止词)插件配置,远程词典热加载及数据库词典热加载总结,es停用词热更新,es同义词热更新
- 此计算机未连接到网络.单击以连接,此计算机无法连接到家庭组win7