<vulnhub>-记一次实验Load of The Root

最新推荐文章于 2024-07-28 23:54:43 发布
最新推荐文章于 2024-07-28 23:54:43 发布
阅读量321 收藏 1
点赞数
文章标签: 网络 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daoshiwa/article/details/126954832
版权

Load of The Root

一、信息收集

1.主机探测

探测到主机IP:192.168.88.159

image-20220723191329029

2.端口扫描

扫描到端口只开放了一个22端口
image-20220723191406182

尝试使用SSH连接

image-20220723191545226

Easy as 1,2,3

端口碰撞:端口上的防火墙通过产生一组预先指定关闭的端口进行连接尝试,一旦接收到正确的连接尝试序列,防火墙规则就会动态修改,以允许发送连接尝试的主机通过特定端口进行连接
这里我们使用ping命令冲撞三次试试1,2,3
命令:
hping3 -S 192.168.88.159 -p 1 -c 1
hping3 -S 192.168.88.159 -p 2 -c 1
hping3 -S 192.168.88.159 -p 3 -c 1

image-20220723191913693

通过ping碰撞后,防火墙规则会修改,再次端口扫描一次试试
image-20220723192208893

发现1337端口已经打开,访问试试

image-20220723192250913

发现这里面并没有什么线索,查看一下robots.txt文件

image-20220723192601543

查看一下源代码

image-20220723192625210

发现一串用Base64加密的值,我们解码查看一下

THprM09ETTBOVEl4TUM5cGJtUmxlQzV3YUhBPSBDbG9zZXIh

image-20220723192707662

Lzk3ODM0NTIxMC9pbmRleC5waHA= Closer!

发现还是一串base64加密的值,二次解码查看

image-20220723192750329

/978345210/index.php

一看就知道是目录,我们访问试试

image-20220723192850905

目前不知道账户和密码,我们使用sqlmap进行基于登录表单的注入查看,检索数据库名称和登录凭证

sqlmap -o -u "http://192.168.88.159:1337/978345210/index.php" --forms --dbs

image-20220723193552151

查看webapp数据库中数据

sqlmap -o -u "http://192.168.88.159:1337//978345210/index.php" --forms -D Webapp -T --tables

image-20220723194155880

sqlmap -o -u "http://192.168.88.159:1337//978345210/index.php" --forms -D Webapp -T Users --columns

image-20220723194602032

sqlmap -o -u "http://192.168.88.159:1337//978345210/index.php" --forms -D Webapp -T Users -C id,username,password --dump

image-20220723195315750

将这些用户名和密码保存在两个不同的文本中,使用msfconsole来破解SSH正确的账户密码
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lNt7RRl1-1663660394270)(Load of The Root-image/Load of The Root/image-20220723195629747.png)]

image-20220723195810772

image-20220723200025171

结果

image-20220723200101648

账号密码:smeagol:MyPreciousR00t

二、提权方式

1.Linux内核提权

SSH登录

image-20220723200323161

查看内核版本

image-20220723200444924

查看到ubuntu 14.04的版本
image-20220723200757166

我们使用39166.c进行提权
image-20220723200950511

提取shell到本地,开启服务,准备上传shell

image-20220723201105558

通过python开启服务上传shell,并进行gcc编译,继续提权

image-20220723201314663

成功提权到root

2.以root身份运行Mysql提权

在我们查看进程的时候,发现mysql是以root权限在运行,同时查看到数据库的版本是5.5.44

image-20220724204011042

根据这个信息我们使用exploit进行反弹shell提权,继续所有数据库信息看看有哪些,咱们筛选一下信息

image-20220724204213388

image-20220724204305804

准备开始上传shell到smeagol用户下

image-20220724204707966

我们参考1518.c脚本内容进行命令输入,制作反弹shell

image-20220724204851476

在这里我们在数据中找mysql的root密码,一般都在/var/www目录下查找配置文件

image-20220724205043372

发现数据库密码是darkshadow,接下来按照步骤进行

image-20220724205154325

image-20220725124127789
image-20220725125056666

这样就拿到root权限了

image-20220725125106276

缓冲区溢出提权

学过缓冲区溢出提权,都会了解到SECRET文件夹目录,我们来找找

find / -perm -g=s -o -perm -4000 ! -type l -maxdepth 3 -exec ls -ld {} \; 2>/dev/null

image-20220725125354756

每个文件夹都有一个可执行文件,需要输入字符串才能执行

image-20220725125559405

尝试是否在这里可以利用缓冲区溢出提权

易受攻击的文件会文件夹之间随机移动,要确认是哪个文件,可以使用file命令来比较每个文件的哈希值

file door1/file door2/file door3/file

image-20220725125814889

还可以比较使用ls -lahR创建的文件大小和日期
image-20220725130032895

还可以比较文件大小为du -b字节
image-20220725130114114

目前是door3
image-20220725130200411

将文件复制到bof目录下,方便进行进一步测试

为了确认是否受到攻击,使用python命令快速模糊找出崩溃的字符数

首先发送100个“A”不会执行任何操作

image-20220725130501673

经过测试发现,171是崩溃的确切位置
image-20220725130559180

二进制文件的快速替代方法是使用base64,使用base64的fileName编码二进制文件,将值复制到一个文本即可

image-20220725130919141

然后将base64.txt文件读入base64命令并解码为输出文件

image-20220725130858242

要进行下一步,检查下文件类型之前file door1/file 查看到的哈希值一样

wangii..
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LoadOfTheRoot提权学习
weixin_56537388的博客
07-07 374
S(--syn):SYN是TCP/IP建立连接时使用的握手信号。这时候ESP变了,指向了ffffc810地址,这是nop sled的地址开始处,当ESP指向该地址处后,就会执行栈堆空间的payload获得shell,那么接下来就是要爆破。缓冲区溢出的在生成shellcode时,会影响输入的字符,比如’n’字符会终止输入,会截断输入导致我们输入的字符不能完全进入缓冲区。能看到1-8是正常的,后门就全乱了,怀疑0x08后面的0x00和0x09是个坏字符,至于后面全乱序猜测是因为0x0a换行符的问题。
load of the root拿flag思路
m0_66583740的博客
11-13 49
这个靶机主要是考察了三个点,目录扫描,cms漏洞,sudo提权。
portknocking(端口试探)简介
moxuansheng的专栏
05-25 2677
端口试探(port knocking)是一种通过连接尝试,从外部打开原先关闭端口的方法。一旦收到正确顺序的连接尝试,防火墙就会动态打开一些特定的端口给允许尝试连接的主机。单一数据包认证(Single Packet Authentication),则是通过一个加密数据包,进行一次的端口试探。       端口试探的主要目的是防治攻击者通过端口扫描的方式对主机进行攻击。       端口试
Vulnhub靶机 Lord of the root
菜浪马废的博客
09-15 323
只开放了22端口 searchsploit上没用可利用的漏洞 连接一下 提示要敲门 for x in 1 2 3; do nmap -Pn --max-retries 0 -p $x 192.168.80.137; done
No.6-VulnHub-Lord Of The Root: 1.0.1-Walkthrough渗透学习
qq_34801745的博客
01-01 2114
** VulnHub-Lord Of The Root: 1.0.1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/lord-of-the-root-101,129/ 靶机难度:中等(CTF) 靶机发布日期:2015年9月23日 靶机描述:这是KoocSec为黑客练习准备的另一个Boot2Root挑战。他通过OSCP考试的启发准备了这一过程。它...
spring配置中<context-param> 和<init-param>的 区别
03-06
<load-on-startup>1</load-on-startup> </servlet> ``` 在这个例子中,`init-param`指定了Spring MVC的配置文件位置。 总结一下,`<context-param>`和`<init-param>`的主要区别在于: 1. **作用范围**:`...
Unity3d读写格式为类型的xml
04-20
本资源重点介绍了如何处理格式为`<key></key><string></string>`的键值对型XML文件。在Unity3D中,我们通常会使用内置的System.Xml命名空间提供的类来实现XML的读写操作。 首先,XML文件的结构通常是层次化的,由...
Design and Implementation of Load-Balanced Multipath Self-routing Switching System
02-09
for <br> Next Generation Network (NGN), we construct an innovative <br> Load-Balanced Multipath Self-routing Switching Structure <br> which consists of the same two multipath self-routing fabrics....
CI框架中$this->load->library()用法分析
10-22
在CodeIgniter (CI) 框架中,`$this->load->library()` 是一个非常重要的函数,用于加载框架内的库(library)文件。这个函数使得开发者能够方便地引入自定义或内置的库,扩展CI的功能。下面将详细解析 `$this->load...
C# xmlToList xml转换成对象
12-12
首先,我们需要理解`List<T>`是C#中的一个泛型集合类,它继承自`Collection<T>`,可以存储同一类型的元素列表。`T`代表你想要存储的对象类型,例如`List<int>`表示存储整数的列表,`List<string>`则表示字符串列表。...
2021年1月1日-Vulnhub-LordOfTheRoot 渗透学习
AnonyMousIT的博客
01-01 706
2021年1月1日-LordOfTheRoot 渗透学习 一、简介 靶机下载地址:https://www.vulnhub.com/entry/lord-of-the-root-101,129/ kali地址:192.168.31.77 靶机IP地址:192.168.31.95 二、信息收集 发现靶机IP地址:192.168.31.95 扫描到开放着 22端口 先将22端口作为突破口,访问一下 提示 Easy as 1,2,3 可能存在端口碰撞 端口碰撞尝试一下 重新扫描 发现1337端口 通过浏览
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 286
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
jjjxxxhhh123的博客
07-27 651
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
使用WebSocket协议调用群发方法将消息返回客户端页面
2302_79840586的博客
07-27 922
使用WebSocket协议调用群发方法将消息返回客户端页面
【计算机网络】OSPF单区域实验
m0_65787507的博客
07-26 897
DR和BDR是由同一网段中所有的路由器根据路由优先级和Router ID通过Hello报文选举出来的,只有优先级大于0的路由器才具有选举资格。进行DR/BDR选举时每台路由器将自己选出的DR写入Hello报文中,发给网段上的每台运行OSPF协议的路由器。如果DR或BDR失效,或者有新的路由器加入网络并希望成为DR或BDR,那么它们将参与新的选举过程。4:非DR路由器将自己的LSA发送给DR,然后DR将这些LSA泛洪到整个区域,使所有路由器获得一致的LSDB,从而确保区域内路由器都能计算出相同的最短路径树。
使用 WebSocket 实现实时聊天
最新发布
weixin_44976692的博客
07-28 264
在现代网络应用中,实时聊天功能已经成为用户体验的重要组成部分。无论是社交媒体平台、在线客服系统还是多人在线游戏,实时聊天功能都为用户提供了即时沟通的便利。实现实时聊天的技术有很多种,其中 WebSocket 是最受欢迎和高效的解决方案之一。本文将介绍如何使用 WebSocket 实现一个简单的实时聊天应用,包括 WebSocket 的基本概念、服务端和客户端的实现、以及一些可能的优化和扩展。WebSocket 是一种在单个 TCP 连接上进行全双工、双向交互的协议。
通信原理-思科实验五:家庭终端以太网接入Internet实验
sinat_39522506的博客
07-24 380
实验五 家庭终端以太网接入Internet实验。接着配置IP地址池和虚拟模板 开启宽带拨号。1.按照上图选择对应的设备,并连接起来。5.为路由器R1配置静态路由项。7.完成终端PC2 IP配置。
C#与欧姆龙PLC 通信——fins udp协议
qq_34059233的博客
07-28 33
该调试助手专门为了帮助大家学习以及测试Fins-Udp通信,下面进行详细介绍。
Hyperledger Fabric 网络体验 - 网络启动过程概览
ALONG的博客
07-25 476
作为第一次Fabric网络体验,网络启动主要包含三个操作,分别是生成配置文件、启动网络和操作网络。执行完指令能看到fabric已经启动。
<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://JAVA.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" version="3.0"> <display-name>springMVC</display-name> <welcome-file-list> <welcome-file>/WEB-INF/jsp/login.jsp</welcome-file> </welcome-file-list> <context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:applicationContext-mybatis.xml</param-value> </context-param> <filter> <filter-name>encodingFilter</filter-name> <filter-class> org.springframework.web.filter.CharacterEncodingFilter </filter-class> <init-param> <param-name>encoding</param-name> <param-value>UTF-8</param-value> </init-param> <init-param> <param-name>forceEncoding</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>encodingFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <servlet> <servlet-name>spring</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> <init-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:springmvc-servlet.xml</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> <servlet-mapping> <servlet-name>spring</servlet-name> <url-pattern>/</url-pattern> </servlet-mapping> <listener> <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class> </listener> <context-param> <param-name>log4jConfigLocation</param-name> <param-value>classpath:log4j.properties</param-value> </context-param> <context-param> <param-name>webAppRootKey</param-name> <param-value>keshe_C12_09.root</param-value> </context-param> <listener> <listener-class> org.springframework.web.util.Log4jConfigListener </listener-class> </listener> </web-app>
07-16
根据你提供的代码,web.xml文件的声明部分是正确的。它使用了正确的命名空间和模式位置,指向了Java EE 3.0的schema。 该web.xml文件配置了一个名为"springMVC"的Java Web项目,并包含了一些配置项,如欢迎页面、编码过滤器、Spring MVC的DispatcherServlet等。 其中,`<welcome-file-list>`指定了默认的欢迎页面为`/WEB-INF/jsp/login.jsp`,`<filter>`和`<filter-mapping>`用于设置编码过滤器,确保字符编码为UTF-8。 `servlet`和`servlet-mapping`配置了Spring MVC的DispatcherServlet,它会处理所有的HTTP请求,并将其分发到相应的处理器方法中进行处理。 `<listener>`和`<context-param>`用于配置Spring和Log4j相关的监听器和参数。 根据你的需求,你可以根据这个web.xml文件进行相应的修改和配置。请确保你的项目中存在对应的配置文件,并将其正确引用到web.xml文件中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值