vulnhub Potato: 1

最新推荐文章于 2023-07-10 15:00:43 发布
最新推荐文章于 2023-07-10 15:00:43 发布
阅读量759 收藏 3
点赞数 1
分类专栏: vulnhub 文章标签: 服务器目录遍历 type juggling 代码审计 LFI john
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/126355733
版权

渗透思路:

nmap扫描端口 ---- ftp匿名登录下载网站代码 ---- gobuster扫描网站目录 ---- 利用php type juggling漏洞登录网站 ---- 利用LFI获取/etc/passwd ---- john爆破webadmin用户的密码 ---- sudo配合目录遍历提权

环境信息:

靶机:192.168.101.98

攻击机:192.168.101.34

具体步骤:

1、nmap扫描端口

sudo nmap -sV -sC -p- 192.168.101.98

2、ftp匿名登录下载网站代码

由于上一步中nmap扫描到ftp端口2112可以匿名登录,所以用anonymous登录靶机2112端口,并下载文件index.php.bak

ftp 192.168.101.98 2112
ftp> get index.php.bak

3、gobuster扫描网站目录

gobuster dir -u http://192.168.101.98 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

扫描到/admin和/potato

依次访问发现http://192.168.101.98/admin/是一个登录页面

提交登录信息的表单和index.php.bak中的表单一样一样的

4、利用php type juggling漏洞登录网站

查看index.php.bak文件的php代码部分

我一开始以为是一个密码硬编码问题,但是用用户名admin,密码potato并不能成功登录

后来发现判断用户名是否为admin,密码是否为$pass时用的是==(仅判断值是否相等,不判断类型是否相等),而不是===(类型相等且值相等)

if (strcmp($_POST['username'], "admin") == 0  && strcmp($_POST['password'], $pass) == 0)

在网上找到一种利用方法,最终利用的是PHP中NULL == 0的特性

https://owasp.org/www-pdf-archive/PHPMagicTricks-TypeJuggling.pdf

简单来说就是原本password参数应该提交一个字符串,但这里提交一个空数组,这样strcmp()的结果就是NULL,而根据下表,php中松散比较(==)时NULL等于0,因此满足条件,可以成功登录

具体操作如下:

1、将burp的intercept打开

2、在http://192.168.101.98/admin/登录

3、抓到上图报文之后,将请求体改为

username=admin&password[]=

4、关掉burp的intercept,即可登录成功

5、利用LFI获取/etc/passwd

点击上图中的dashboard,来到http://192.168.101.98/admin/dashboard.php

点Logs来到http://192.168.101.98/admin/dashboard.php?page=log,选择一个log文件,再点击Get the log按钮

burp中抓到的POST请求体中有个file参数,其值为log文件名

尝试LFI,将log文件名替换为../../../../../../etc/passwd,得到/etc/passwd文件的内容

6、john爆破webadmin用户的密码

上图中发现/etc/passwd中包含webadmin用户md5加密的密码,可以尝试用john破解。

先将上图中靶机/etc/passwd的内容保存为文件passwd,然后用john爆破

john passwd

得到webadmin的密码dragon

以用户名webadmin,密码dragon进行ssh登录

ssh webadmin@192.168.101.98

获得第一个flag

7、sudo配合目录遍历提权

sudo -l发现webadmin可以以任何用户的身份执行/bin/nice /notes/*

查看/bin/nice和 /notes/,以及/notes/下文件的权限,都无法修改或新建文件

尝试能否在执行/bin/nice时跳出/notes/目录

sudo /bin/nice /notes/../bin/bash

成功提权

仙女象
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VulnHub渗透测试实战靶场 - POTATO (SUNCSR): 1
LYJ20010728的博客
08-20 1206
@[TOC](VulnHub渗透测试实战靶场 - POTATO (SUNCSR): 1) 环境下载 戳此进行环境下载 POTATO (SUNCSR): 1靶机搭建 将下载好的靶机导入Vmware,网络连接设置为NAT模式即可 渗透测试 信息搜集 用arp-scan探测一下网段内目标靶机的IP:sudo arp-scan -l 得到目标靶机的IP为:192.168.246.139 使用 nmap 扫描开放的端口:sudo nmap -sC -sV -p 1-65535 192.1
Vulnhub靶机实战-Potato (SunCSR)
黑白的博客
01-18 1287
声明 好好学习,天天向上 搭建 vmware打开,网络和攻击机一样,要么都用桥接要么都用NAT 渗透 存活扫描,发现目标 arp-scan -l 端口扫描 nmap -T4 -A 192.168.31.164 -p 1-65535 -oN nmap.A 开启端口 发现开启80,7120 7120ssh没有用默认端口,好评 访问80 http://192.168.31.164 竟然是个图像大土豆 果断扫描目录 python3 dirsearch.py -u 192.168.31.164 info
OSCP Potato靶机 超详细教学
m0_52545432的博客
05-06 351
nmap直接开扫-p- 全端口扫描-A 表示 aggressive,可以理解为全面扫描80 http协议22 ssh协议2112 FTP协议2112放了一个FTP,可以通过默认的用户名登录进去,用户名为anonymous 密码随便填由于不是默认的端口,所以ftp登录时需要指定一下端口,命令为230说明匿名登录成功binary 以二进制模式传输文件,保证文件完整get命令下载文件到桌面一段php代码,应该是登录页面的备份,固定了用户名是admin另外一个文件是。
burpsuite使用中出现的一些问题
weixin_45649612的博客
07-12 3600
Burp安装后打开后出现代理的浏览器打不开网页的情况 自己在之前也是深受其困扰,所以记录了自己遇到的两种情况供大家参考 1.burpsuite本身是默认拦截的,所以新安装后需要关闭拦截选项 具体方法:打开burp——>proxy——>options ——>intercept 变为intercept is off(默认是off) 2.需要安装相应的证书 用浏览器进入burp上设置的代理端口(默认是127.0.0.1:8080) 下载证书 导入就好了 ...
Burp Suite学习
qq_43624349的博客
04-14 381
这几天贪玩了,只学了一下午加一个晚自习的Burp Suite,学的很浅显,所以这里我只能写一写我对Burpsuite浅显的理解。 Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 下载Burp Suite前需要...
Vulnhubpotato.zip
01-12
Vulnhubpotato靶机,靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的过程文档,供大家参考学习
0x4447-cli-node-potato::potato:将静态页面上传到AWS S3,同时自动配置CloudFront
02-03
:potato: 土豆 我们构建了Potato,以减少时间,压力和戏剧性。 将静态页面部署到S3并配置CloudFront,证书管理器和Route53的过程很繁琐且容易出错。 它还需要记住很多步骤-因此,马铃薯得以种植。 您可能想知道为...
Potato::potato:Potato是一个命令行工具,可帮助您在GitHub中确保Mac的开发配置和设置安全
03-10
Potato是一个命令行工具,可以帮助您在GitHub中安全地保护Mac作为程序员/开发人员/编码人员的开发配置和设置,以便以后用于设置新计算机。 另外,Potato是完全可配置的,因此您可以跟踪从.vimrc到系统中安装的所有...
bookish-potato:门门
03-04
不和谐 社交媒体平台,这是迄今为止最安全的社交环境。
potato:抽认卡的东西
07-07
马铃薯设置 工作区 解释如何设置有点困难。 但是 - 一旦它启动并运行,它就很容易使用。 你需要: 蚀 Spring Tool Suite(您可以作为 eclipse 插件获取,也可以下载专用于它的整个 eclipse 版本) ...
potatov2.github.io:Potato 2.0项目网站
03-08
Potato 2.0项目的网站
PHP(4)Types - Variables
快马扬鞭须努力!
06-01 100
PHP(4)Types - Variables 1. Types Previous Types, Booleans, Integers, Floating point numbers, Strings, Arrays 1.1. Objects $bar = new Foo; new to create the object based from class $bar->do_...
potato-suncsr靶机详解
weixin_44681307的博客
07-10 493
登陆上以后发现就一个大土豆,扫描了一下目录就扫到一个phpinfo页面,也没什么用,这个网页标题是个potato,就想着爆破一下密码,结果很快就出来了个密码。ssh登陆一下,这个靶场里面依然搜索不到什么可用的东西,sudo -l 或者 查找有root权限的文件都没有可用的。首先扫描靶机ip地址,找到以后我又对靶机进行了一个全端口扫描,发现它的ssh端口号是7120.这个靶机说是一个简单偏难的,但是我觉得这个靶机是我做过最简单的一个。发现还不少,我就直接用了第一个。简单的不能再简单的一个靶场。
node1靶机渗透学习
黑锤的博客
08-09 760
node靶机渗透详解 下载靶机:这里有一个不错的网址里面都是靶机,适合练手https://www.vulnhub.com/ 本次靶机下载为node靶机: https://www.vulnhub.com/entry/node-1,252/ 靶机环境:处于nat网络下的VM虚拟机 渗透实战: 攻击机:kali :IP为192.168.233.131 靶机node:未知(可由后期扫描知道) ...
php过滤器 min max,PHP max()和min()使用不同类型的奇怪行为
weixin_28856717的博客
04-12 92
min()和max()中的比较按顺序进行,因为这可以在源代码中看到://...min = &args[0];for (i = 1; i < argc; i++) {is_smaller_function(&result,&args[i],min);if (Z_TYPE(result) == IS_TRUE) {min = &args[i];}}//...//....
PHP判断变量类型和类型转换的三种方式
weixin_34396902的博客
03-02 301
前言: PHP 在变量定义中不需要(不支持)明确的类型定义。变量类型是根据使用该变量的上下文所决定的。所以,在面对页码跳转、数值计算等严格的格式需求时,就要对变量进行类型转换。 举例如下: $foo = "1"; // $foo 是字符串 (ASCII 49) $foo *= 2; // $foo 现在是一个整数 (2) $foo = $foo * 1.3; // $foo 现在...
WEB 网络请求初探
walker_6的博客
01-31 686
网络请求 超文本传输协议 (HTTP) HTTP 是一种应用层协议,用于通过万维网访问资源。超文本一词代表包含指向其他资源的链接的文本以及读者可以轻松解释的文本。 HTTP 通信由客户端和服务器组成,客户端向服务器请求资源。服务器处理请求并返回请求的资源。 HTTP 通信的默认端口是 80;但是,这可以更改。这些是我们在使用 Internet 访问不同网站时所知道的对 Web 服务器的请求。我们输入完全限定域名 (FQDN) 作为统一资源定位符 (URL) 以访问所需的...
Infuse Pro for Mac v7.8
最新发布
06-22
Infuse Pro mac版,是一款独步江湖的视频播放器,能吞下您的所有视频文件。 – Infuse将您从繁杂的视频转换中解救出来,让您在iPhone、iPad、Apple TV以及Mac上欣赏几乎所有视频格式,美轮美奂。 Infuse已适配macOS 12,更添强大的在线视频,Trakt同步,AirPlay以及字幕功能,让您畅享无阻。 支持的格式多得让您眼花缭乱。 – 视频:3GP、AVI、ASF、BDMV、DIVX、DVDMEDIA、DVR-MS、FLV、ISO、M4V、MKV、MOV、MP4、M2TS、MTS、OGM、OGV、TP、TS、VIDEO_TS、WEBM、WMV、WTV – 音频:AAC、AC3/E-AC3、DOLBY TRUEHD、DTS、DTS-HD MA、FLAC、MP3、OGG、PCM、WMA – 字幕:DVB、DVDSUB、MICRODVD、MPL2、PGS、SMI、SSA/ASS、SRT、SUB、TIMED TEXT、TMP、TXT、VOBSUB、VTT、XSUB 无论是老电影还是热门剧集,无论是高清还是标清,Infuse都能为您呈现最完美的画面和音质。
flex:1,flex:2
08-20
根据引用和引用的内容,flex:1和flex:2都是flex属性的取值形式。在flex布局中,flex属性用于指定一个项目在弹性容器中的伸缩比例。具体来说,flex:1表示项目将根据可用空间平均分配剩余空间,而flex:2表示项目将获得比flex:1更多的剩余空间。这意味着flex:2的项目将相对于其他具有较低flex值的项目获得更多的空间。总之,flex:1和flex:2都用于调整项目在弹性容器中的大小分配比例,具体的效果取决于其他项目的flex值和可用空间的情况。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [flex:1及flex取值的理解](https://blog.csdn.net/weixin_38241212/article/details/108468241)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值