网安原创文章推荐【2024/10/26】

文章预览

2024-10-26 微信公众号精选安全技术文章总览 洞见网安 2024-10-26 0x1  HTB之Chemistry 羽泪云小栈 2024-10-26 20:01:41 文章详细描述了在HTB平台上的Chemistry靶机的渗透测试过程。首先，使用nmap扫描目标IP，发现开放了22和5000端口。通过上传恶意cif文件尝试利用，但未果。随后，尝试搜索相关漏洞，也无发现。接着，使用gobuster扫描目录，仍未找到有效信息。在了解到后台使用Python语言后，尝试伪造cif文件并上传，成功执行了反弹shell。通过db文件泄露，找到了rosa用户的密码，并使用hashcat爆破。登录后，进行了端口转发，并发现了aiohttp服务的漏洞CVE-2024-23334。利用该漏洞，尝试获取id_rsa文件，但遇到了一些困难。最后，通过修改脚本，成功获取了私钥，并通过ssh登录为root用户，完成了渗透测试。文章指出，该靶机的难点在于CVE的发现和利用，以及cif文件的 ………………………………