VulnHub-pwnlab_init渗透

最新推荐文章于 2024-07-24 10:35:36 发布
最新推荐文章于 2024-07-24 10:35:36 发布
阅读量918 收藏 4
点赞数
文章标签: 安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengshiming520/article/details/125329673
版权

一、靶机地址:

PwnLab: init ~ VulnHub

描述

欢迎来到“PwnLab: init”,我的第一个 Boot2Root 虚拟机。意味着简单,我希望你喜欢它,也许能学到一些东西。这个 CTF 的目的是获取 root 并读取 de 标志。

目标:得到root权限&找到flag.txt

作者:尼德霍格007

时间:2022-6-11

注意:此次渗透在VMware虚拟机中演示,这里使用的技术仅用于学习教育目的,请勿用于非法用途,因学习和使用本文有关技术造成的损失和侵害需自行承担法律责任

二、搭建靶机环境

攻击机Kali

IP地址:192.168.6.173

靶机

IP地址:192.168.6.130

注:靶机与Kali的IP地址只需要在同一局域网即可(同一个网段,即两虚拟机处于同一网络模式)

三、实战渗透

3.1网络扫描

3.1.1 启动靶机和Kali后进行扫描

方法一、arp-scan -I eth0 -l (指定网卡扫)

方法二、masscan 扫描的网段 -p 扫描端口号

masscan 192.168.6.0/24 -p 80,22

方法三、netdiscover -i 网卡-r 网段

方法四、以后补充

3.1.2 查看靶机开放的端口

使用nmap -A(全面探测) -sV(查看版本) -T4(速度) -p-(全端口) 靶机ip查看靶机开放的端口

可以看到 开放着80,111,3306,49422端口

3.2枚举漏洞

80 端口分析

访问80端口

再对80端口进行扫描

config.php可能含有数据库id和密码,此处可利用php文件包含LFI漏洞利用

3.3漏洞利用

3.3.1php://filter 伪协议拿到账号密码

读取文件(allow_url_include和allow_url_fopen都不做要求)

?page=php://filter/read=convert.base64-encode/resource=config(把config以base64的方式读出来)

成功读出

接下来base64转utf-8

得到数据库名为Users,账号为root,密码为H4u%QJ_H99。那么现在转到3306端口连接数据库

3.3.2信息收集获取MySQL账号密码

用从80端口分析出来的账号和密码进行登录

mysql -uroot -pH4u%QJ_H99 -h 192.168.6.130

登录后查看user表中的其他用户名和密码

base64解码后得到JWzXuBJJNy、SIfdsTEn6I、iSv5Ym2GRo

用mike账号成功登录80端口界面,并且只能上传图片,那么我们就传图片马找突破口

3.3.3上传图片马,反弹shell

网页显示只能传图片,所以我们构造一个图片马进行上传,用系统自带的php马,改点东西就行了

把文件改一下ip还有文件头

上传后,再次用php伪协议查看源码,发现可用Cookie的参数名lang进行命令执行

<?php
//Multilingual. Not implemented yet.
//setcookie("lang","en.lang.php");
if (isset($_COOKIE['lang']))
{
    include("lang/".$_COOKIE['lang']);
}
// Not implemented yet.
?>
<html>
​
<head>
<title>PwnLab Intranet Image Hosting</title>
</head>
​
<body>
​
<center>
<img src="images/pwnlab.png"><br />
[ <a href="/">Home</a> ] [ <a href="?page=login">Login</a> ] [ <a href="?page=upload">Upload</a> ]
<hr/><br/>
<?php
    if (isset($_GET['page']))
    {
        include($_GET['page'].".php");
    }
    else
    {
        echo "Use this server to upload and share image files inside the intranet";
    }
?>
</center>
​
</body>
</html>

开启1234端口后,用curl命令运行图片马

端口这边已经成功反弹了shell

但这个shell并不稳定,所以再去用下面这个命令建立一个稳定shell

python -c 'import pty;pty.spawn("/bin/bash")'

3.4权限提升

3.4.1判断提权条件

用kane的密码进入后,发现了一个属于mike用户的ELF课执行文件,我们当前用户无法执行,所以想把它下载下来,利用python -m SimpleHTTPServer开放端口下载,下载好后拖进IDA查看

这里发现了cat /home/mike/msg.txt 使用了带参数的系统函数,我们需要把环境变量改为当前目录。

所以可以修改环境变量,讲cat转换为shell

3.4.2环境变量更改提权

用以下命令对环境变量更改

 ./msgmike
echo "/bin/bash" > cat
chmod +x cat(赋予执行权限)
export PATH=/home/kane(修改为当前目录)
kane@pwnlab:~$ ./msgmike
./msgmike

用户名已经变成了mike了,但还得把环境变量换回去才能查看文件

export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
</usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

再利用linux的特性添加;/bin/sh,就提权成功了

3.4.3找到flag

进入root目录就能找到flag了

XuHuWuShi
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VulnHub DarkHole靶机
qq_39428734的博客
04-13 504
扫描局域网内存活主机 得到靶机IP 使用namp扫描存活靶机开放了哪些端口 得到靶机开放了22,80端口 进入80端口的网页服务 查看网页源代码没有发现任何东西 爆破目录,查看有那些敏感目录 看到了一个配置文件和后台管理界面,登录界面等等 在config目录里面查看到了database.php文件 我们把它下载下来 啥也没有。。 后台管理界面显示没有权限 登录界面中看到了 正式的登录界面 我们去注册界面看看 注册一个用户并登录试试
VulnHub-driftinghlues2
weixin_50901557的博客
12-05 345
靶机地址:http://www.vulnhub.com/entry/driftingblues-2,634/使用arp-scan -I确定靶机的IP 确定IP后,用nmap扫描 21端口开放ftp,22端口开发ssh,80端口开放http 扫一下目录 发现是WordPress框架搭建,但无法正确访问IP可以跳转域名,判断是DNS没有解析 hosts文件位置在:C:\windows\system32\drivers\etc 扫描出了后台登录页面 使用 wpscan 获取账号密码使用wpscan扫描一下wpsc
红队打靶练习:PWNLAB: INIT
分享
12-12 668
【代码】红队打靶练习:PWNLAB: INIT。犹如蟒蛇缠绕般的窒息感.......
【甄选靶场】Vulnhub百个项目渗透——项目十八:pwnlab_init(LFI本地文件包含,PHP伪协议,文件上传绕过,逆向分析)
人间体佐菲的博客
09-21 1422
网络安全,信息安全,渗透测试
黑盒渗透测试vulnhub--PwnLab: init
qq_21383109的博客
10-11 131
输入cd && /bin/sh,利用命令执行,拿到root权限。使用curl修改cookie的值,使其包含上传的木马文件。使用base64解码后得到可能为mysql的账号密码。利用php伪协议查看网站upload.php源码。扫描端口发现80、111、3306端口开放。发现页面发生错误,证明变量后的参数可控。将一句话木马上传到网站,并记录文件路径。page=index。尝试php伪协议读取config文件。使用whatweb扫描靶机网站信息。切换界面发现url存在page变量。直接上传php文件发现失败。
pwnlab_init
底层社会中的弱智
04-29 1107
找到目标IP 192.168.11.131 扫描端口 开放80端口 apache中间件版本暂无可用exp 3306mysql数据库 111 rdp远程桌面 先扫一下80的目录 看到config.php 然后可能存在注入 使用sqlmap无结果放弃注入 查看URL 可能存在文件包含 http://192.168.11.131/index.php?page=...
vulnhub渗透日记11:pwnlab_init
ericalezl的博客
07-23 551
⏰时间:2023.7.23🗺️靶机地址:https://www.vulnhub.com/entry/pwnlab-init,158/⚠️文中涉及操作均在靶机模拟环境中完成,切勿未经授权用于真实环境。
MPC837xE-RDB_init.cfg.tar.gz_单片机开发_Visual_Basic_
08-11
标题"MPC837xE-RDB_init.cfg.tar.gz_单片机开发_Visual_Basic_"揭示了这个压缩包文件是针对MPC837xE系列单片机开发的一个资源,其中包含了使用Visual Basic进行编程的相关配置。MPC837xE是 Motorola(现在是NXP ...
u-boot的board_init_f和board_init_r阶段执行任务的对比
07-25
u-boot 的 board_init_f 和 board_init_r 阶段执行任务的对比 u-boot 是一个开放源代码的引导加载程序,广泛应用于嵌入式系统和嵌入式设备中。它提供了一个灵活的引导机制,能够适应各种不同的硬件平台和操作系统。...
9141-2_5bd_init.rar_ iso 9141_5Baud_9141_ISO 9141_ISO-9141
09-24
5 Baud Init Algorithm,即5波特初始化序列,是ISO 9141-2中的一个重要部分。在通信开始前,车辆和诊断设备需要通过一个特定的慢速初始化过程来同步它们的波特率。这个过程从非常低的波特率(5波特)开始,逐渐增加...
zImage-nfs-root.rar_ NFS-RO_ROOT_nfs-kernel-server_zimage
09-23
基于2410的内核镜像,可以通过NFS启动系统,在vivi设置好启动参数param set linux_cmd_line "noinitrd root=/dev/nfs init=/linuxrc nfsroot=192.168.0.33:/nfs/rc900-rootfs ip=192.168.0.67:192.168.0.33:192.168....
LCD_init.zip_12864_TS12864_ts12864-3_ts12864A-2v1.3
09-21
本篇文章将深入探讨如何在TS12864-3 LCD 128x64点液晶模块上实现图形信息的显示,通过分析提供的“LCD_init.zip_12864_TS12864_ts12864-3_ts12864A-2v1.3”文件内容,我们能够理解并掌握该液晶模块的初始化过程以及...
vulnhub PwnLab: init
箭雨镜屋
01-03 3065
本文思路: nmap扫描---->dirb扫描---->nikto扫描---->LFI读取config.php,获得数据库账号密码---->远程登录mysql找到网站用户账户---->上传图片马,通过LFI(cookie参数值)获得反弹shell---->修改$PATH配合suid得到mike的shell---->suid结合命令注入提权
OSCP pwnlab_init 靶机渗透
Shadow的博客
04-07 427
pwnlab_init 靶机渗透 目标:得到root权限 作者:shadow 时间:2021-04-07 请注意:对于所有计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。 一、信息收集 netdiscover -i eth0 pwnlab_init主机ip为172.16.1.20 nmap -A -p- 172.16.1.20 我们看到开启了80、3306等端口,登..
vulnhub靶机渗透:PWNLAB: INIT
Mysmycbx的博客
07-11 877
vulnhub 靶机渗透:PWNLAB:INIT
pwnlab-init靶机渗透测试
weixin_49340699的博客
07-14 887
pwnlab-init靶机渗透测试流程 流程 首先信息收集对目标网段进行扫描 netdiscover -i etho -r 192.168.19.0/24 发现目标主机192.168.19.149 用nmap对目标主机端口扫描 nmap -sV 192.168.19.149 开了三个端口 80 111 3306 首先访问80端口 三个页面有上传,登录,和一个啥也没有的home页面上传要求先登录 从登录页面下手 打开登录页面可以看到这个url很敏感 应该是存在文件包含漏洞 先扫一下目录看看有没有发
Pwnlab靶机
qq_58672257的博客
12-12 519
使用nmap函数得到pwnlab的ip为192.168.88.147。
18-VulnHub-pwnlab_init
尼德霍格007
08-13 726
18-VulnHub-PwnLab: init 靶机地址:https://www.vulnhub.com/entry/pwnlab-init,158/ 目标:得到root权限&找到flag.txt 作者:尼德霍格007 时间:2021-8-12 注意:此次渗透在VMware虚拟机中演示,kali机IP地址为192.168.21.128。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。 一、信息收集 nmap扫描靶机地址 看到靶机地址是192.168.21.6 扫描靶机开
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
最新发布
lupai的博客
07-24 173
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
请将下列shell语句转换为python语句:for ((i = 0; i < $num_gpus; ++i)); do { gpu_id=$(echo $CUDA_VISIBLE_DEVICES | cut -d',' -f$[$i+1]) python wenet/bin/train.py --gpu $gpu_id \ --config $train_config \ --data_type $data_type \ --symbol_table $dict \ ${bpemodel:+--bpe_model ${bpemodel}.model} \ --train_data data/$train_set/data.list \ --cv_data data/$train_dev/data.list \ ${checkpoint:+--checkpoint $checkpoint} \ ${enc_init:+--enc_init $enc_init} \ --enc_init_mods $enc_init_mods \ --model_dir $dir \ --ddp.init_method $init_method \ --ddp.world_size $num_gpus \ --ddp.rank $i \ --ddp.dist_backend $dist_backend \ --num_workers 6 \ $cmvn_opts } & done wait
06-10
set}/data.list --cv_data data/{train_dev}/data.list {'--checkpoint ' + checkpoint if checkpoint else ''} {'--enc_init ' + enc_init if enc_init else ''} --enc_init_mods {enc_init_mods} --model_dir {dir...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值