🎐清风. = 劈开深海，填入我的山🍂

2024-03-30 2.2k 字 2 分钟

第一章

# 1. 关于 Samba 服务的 usermap_script 安全漏洞相关信息查看 usermap_script 模块的信息 msf6 > info exploit/multi/samba/usermap_script Name: Samba "username map script" Command Execution Module: exploit/multi/samba/usermap_script Platform: Unix Arch: cmd Privileged: Yes License: Metasploit Framework License...

more...

2022-05-13 6.3k 字 6 分钟

HTB-AbuseHumanDB题解

# 信息收集源码 down 下来就开始审阅呗，全是 js。比较重要的就是 /route/index.js 和 database.js 以及 bot.js /route/index.js const bot = require('../bot');const path = require('path');const express = require('express');const router = express.Router();const response = data => ({ message: data...

more...

2022-05-13 1.3k 字 1 分钟

HTB-Diogenes' Rage题解

# 信息收集直接看源码了 Js 中使用了 async 进行异步操作那么用条件竞争 # Payload # Python program to illustrate# the concept of race condition# in multiprocessingimport multiprocessingimport requestsimport timedef exploit(u, d, h): for i in range(5): requests.post(u, data=d, headers=h)def perform_transactions(cookie,...

more...

2022-05-13 1k 字 1 分钟

HTB-LoveTok题解

# 0x01 信息收集 index.php 调用 TimeControler ，然后传参 format 给 TimeModel ，接着进行 ```addslashes () 函数调用，然后调用 getTime () ，里面有一个 eval` 命令执行，这也就是漏洞所在！ TimeModel <?php class TimeModel{ public function __construct($format) { $this->format = addslashes($format); [ $d, $h, $m, $s ] = [...

more...

2022-05-13 665 字 1 分钟

HTB-Template题解

# 0x01 信息收集启动机器，访问目标 157.245.42.82:30461 搜索 Proudly powered by Flask/Jinja2 看看能得到什么信息通过搜索可以知道这个 Flask 有一个 SSTI 服务端模板注入类似于 XSS，就是通过输入特定的字符串构成模板的一部分，后端进行渲染的时候就会造成攻击我们访问一下资源，验证下是不是存在 SSTI 访问 # 访问http://157.245.42.82:30461/=9http://157.245.42.82:30461/=9发现都返回了错误，代表 SSTI 存在那么我们可以通过 python...

more...

2022-05-13 1.6k 字 1 分钟

HTB-Toxic题解

# 信息收集查看源代码发现 cookie 是 page 通过序列化后 base64 加密生成生成的 <?phpspl_autoload_register(function ($name){ if (preg_match('/Model$/', $name)) { $name = "models/${name}"; } include_once "${name}.php";});if...

more...

2022-05-13 613 字 1 分钟

HTB-Neonify题解

# 信息收集根本不会啊我真是日了狗了，只好去查资料一个韩国姐姐是真的牛逼原文地址：https://domdom.tistory.com/entry/Hackthebox-Neonify-Writeup%EB%AC%B8%EC%A0%9C%ED%92%80%EC%9D%B4 SSTI 的详细讲解：https://www.anquanke.com/post/id/188172 查看源码是 Ruby SSTI 14 行使用了正则表达式进行检查在第 15 行，可以看到 neon 参数的值绑定到名为 ERB 的 Ruby 模板，并呈现为名为 index 的 html...

more...

2022-05-13 447 字 1 分钟

HTB-petpet rcbee题解

# 0x01 信息收集这个进去一看明显就是一个文件上传 ==、通过 docker 文件可以知道使用的是 ghostscript-9.23 这个有一个 RCE 漏洞 # Payload 上传图片的时候把这个替换进去 %!PS-Adobe-3.0 EPSF-3.0%%BoundingBox: -0 -0 100 100userdict /setpagedevice undefsavelegal{ null restore } stopped { pop } if{ legal }...

more...

2022-05-13 5.8k 字 5 分钟

HTB-Weather APP题解

# 0x01 信息收集下载他提供的文件，压缩包密码是 hackthebox 发现是一个 docker 文件 ┌──(root💀kali)-[~/桌面/web_weather_app]└─# ls -al总用量 24drwxr-xr-x 4 root root 4096 1月 28 2021 .drwxr-xr-x 3 root root 4096 4月 29 21:31 ..-rwxr-xr-x 1 root root 107 1月 27 2021 build-docker.shdrwxr-xr-x 6 root root 4096 1月 28 2021...

more...

2022-05-13 1.8k 字 2 分钟

HTB-Phonebook题解

# 信息收集题目提示：Who is lucky enough to be included in the phonebook? 主页又给出了用户名，那么我们可以尝试万能密码进去用通配符 * 进来了 ==、然后开始不明所以，搜索随便搜了一下，出现了一堆人名，但除了 Reese 以外都不能用通配符登录，全程没有 flag 的迹象查过资料发现那个通配符的具体字符串就是 flag，验证方法就是使用 HTB{*} 做密码，发现也能登陆进去，也就是说我们需要爆破密码 ==、 # 构造攻击爆破脚本 # -*- coding: utf-8...

more...