Hack the box-Starting point TIER1通关
n3ym4r
  2023-02-02 14:00:14 2023-02-02 14:00   2023-02-02 14:19:23    1.4k 字  5 分钟

TIER1

Appointment靶机

图片

常规nmap扫端口

图片

80端口开放了一个web服务,访问

图片

一个登录窗口,题目提示sql注入,输入username:admin’# 登录

图片

拿到flag

1.SQL全称是什么?

答案:Structured Query Language。中文名字叫结构化查询语言

2.最常见的SQL漏洞类型是什么?

答案:SQL injection #SQL注入

3.PII代表什么意思?

答案:personally identifiable information,通过百度来的,个人身份信息或者个人验证信息

4.OWASP 前 10 名列表将此漏洞的分类命名为什么?

答案:A03:2021-Injection

5.80端口跑的是什么服务以及什么版本?

答案:上面说过了

6.https的端口是什么?

答案:443

7.web应用的文件夹叫什么?

答案:directory

8.Not found的响应代码是什么?

答案:404

9.在 Gobuster 中使用什么开关来指定我们正在寻找目录而不是子域?

答案:dir,Gobuster是一个目录猜解工具

https://github.com/OJ/gobuster

10.使用什么符号注释代码?
答案:#

11.If user input is not handled carefully, it could be interpreted as a comment. Use a comment to login as admin without knowing the password. What is the first word on the webpage returned?

答案:Congratulations

Sequel靶机

常规nmap扫端口

扫出3306 mariadb服务

尝试连接

图片

拿到flag

1.扫描时,mysql跑在哪个端口?

3306

2.目标主机上跑的mysql是什么版本?

mariadb

3.我们需要使用什么开关来指定 MySQL 服务的登录用户名?

-u

4.哪个用户名允许我们在不提供密码的情况下登录 MariaDB?

root

5.使用什么符号可以获取一张表的所有信息?

6.使用什么符号结束一个查询?
;

7.这个MySQL实例中有三个数据库在所有MySQL实例中都是通用的。这个主机所特有的第四个名字是什么?

htb

Crocodile靶机

常规扫端口

图片

ftp连接

图片

利用得到的账号密码登录80端口网页

图片

拿到flag

图片

1.在nmap中使用默认脚本扫描的是什么命令?

-sC。

2.21端口上跑的服务的版本是什么?

vsftpd3.0.3

3.允许ftp匿名登录的代码是什么?

230

4.什么命令可以用于下载ftp上面的文件

get

6.username列表中,听起来权限比较高的用户名是什么?

admin

7.What version of Apache HTTP Server is running on the target host?

apache httpd 2.4.41

8.What switch can we use with Gobuster to specify we are looking for specific filetypes?

-X

9.我们可以使用目录蛮力识别哪个PHP文件,从而提供向web服务进行身份验证的机会?

login.php

Responder靶机

1.当使用IP地址访问web服务时,我们被重定向到的域是什么?

unika.htb

图片

2.服务器上使用哪种脚本语言生成网页?

php

3.用于加载不同语言版本的网页的URL参数名称是什么?

page

4.Which of the following values for the page parameter would be an example of exploiting a Local File Include (LFI) vulnerability: “french.html”, “//10.10.14.6/somefile”, “../../../../../../../.. /windows/system32/drivers/etc/hosts”, “minikatz.exe”

../../../../../../../../windows/system32/drivers/etc/hosts

5.Which of the following values for the page parameter would be an example of exploiting a Remote File Include (RFI) vulnerability: “french.html”, “//10.10.14.6/somefile”, “../../../../../../../../windows/system32/drivers/etc/hosts”, “minikatz.exe”

//10.10.14.6/somefile

6.What does NTLM stand for?

New Technology LAN Manager

7.我们在Responder实用程序中使用哪个标志来指定网络接口?

-i

8.有几个工具可以使用NetNTLMv2挑战/响应,并尝试数百万个密码,以查看是否有任何密码生成相同的响应。一个这样的工具通常被称为“john”,但全名是什么?

john the ripper

9.What is the password for the administrator user?

badminton

10.我们将使用 Windows 服务(即在box上运行)使用我们恢复的密码远程访问 Responder 机器。它侦听的 TCP 端口是什么?

5985

因为重定向域的问题,我们是访问不了的会报错,这里修改一下hosts文件

图片

nmap扫端口

ifconfig查看本机在内网中的ip

图片

responder开启监听

图片

网页访问远程文件包含

图片

访问后监听到hash值

接下来使用john破解,

图片

得到administrator账号密码

之前扫到一个5985端口开了个winrm服务,使用evil-winrm远程连接

图片

拿到shell

图片

查找flag

图片

拿到flag

Three靶机

常规nmap

图片

访问web服务

图片

通过邮箱联想到域名

可以通过gobuster来爆破子域名,然后绑定ip 子域名

题目有提示说是s3.thetoppers.htb

图片

添加解析

图片

访问子域名,回显

图片

s3是亚马逊的一个对象存储服务

https://aws.amazon.com/cn/s3/

访问并执行命令

图片

本来想尝试执行cd命令,发现没办法,查看提示可以执行cp命令,那么就可以上传一句话木马,拿到shell

图片

先本地生成一个一句话木马shell.php

图片

上传成功

图片

访问,直接执行命令即可拿到flag

图片

图片

图片

也可以通过蚁剑等webshell工具连接

或者通过反弹shell

方法很多,毕竟已经把马传到了服务器。

问答题就不写了,答案过程中都有。

总结

tier1也是没什么难的地方,第一个靶机web服务登录框sql注入,第二个靶机3306mariadb连接查询,第三个靶机ftp连接拿后台账号密码,第四个靶机远程文件包含、Responder监听、john破解拿到winrm服务用户密码,evil-winrm远程连接,第五个靶机gobuster爆破子域名、awscli上传木马、拿shell。后面还有五个vip靶机,就没打了。

  • 本文标题:Hack the box-Starting point TIER1通关
  • 本文作者:n3ym4r
  • 创建时间:2023-02-02 14:00:14
  • 本文链接:https://n3ym4r.github.io/2023/02/02/Hack the box-Starting point TIER1通关/
  • 版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!