vulhub系列
文章平均质量分 81
魏钦6666
大仙安全说
展开
-
clover靶机(SQL注入漏洞)
9.由于是POST类型的,需要抓包进行写入一个clover.txt文档里进行sqlmap探测。5.ssh成功登录sword用户,用find命令查找suid权限的文件,查到一个.sh文件。3.这里说sword用户知道前几位,后面四位的数字忘记了,用crunch制作字典来爆破。2.只能自己一步步的找线索,在/var/backups/下的reminder里有提示。6.用gobuster扫描目录,扫出login.php目录。11.用自己的注入方法去得知密码为asta$$123。虚拟机网络链接模式:桥接模式。原创 2023-02-06 11:17:03 · 457 阅读 · 0 评论 -
VULNCMS靶机
1.fsociety.web域名添加到/etc/hosts下,正常访问5000端口的wordpress网站。2.上传检查脚本,linpeas.sh(github里有)给执行权限,运行后找到用户名和密码。1.利用joomscan 扫描攻击,对joomla进行漏洞探测。6. 虽然密码加密,但是 email 列有一个看起来像密码。2.发现其版本是3.4.3,找到脚本进行漏洞利用。2.找到cve-2018-7600,查看利用方法。进入wp-login目录,是一个执行命令的界面。2.直接进行反弹shell。原创 2023-01-28 17:58:34 · 484 阅读 · 0 评论 -
kb-vuln3(systemctl提权)
6.因为systemctl有suid权限,所以可以创建一个systemctl service,里面写入反弹shell的命令,通过软链接,将创建的服务嵌入他的服务中,即可反弹shell。9.执行systemctl link /tmp/test.service,发现没有这个目录,这是因为service这个命令跟tmp目录的权限有差异。systemctl link /dev/shm/test.service //服务创建成功,下面提示软链接创建成功。攻击机系统:kali linux 2021.1。原创 2022-10-23 18:54:50 · 875 阅读 · 1 评论 -
kb2-vuln2(smbmap工具的利用)
5.curl -i -L http://192.168.1.104/wordpress/wp-login.php //查看源码 显示 http response 的头信息,连同网页代码一起。2.unzip backup.zip -d backup //解压到backup文件夹。smbmap -H 192.168.1.104 -u guest //对信息进行枚举。扫描到wp-login.php 进行访问 发现网站加载不完全 ,应该存在域名!2.sudo /bin/bash -p 提权成功!smbmap的利用原创 2022-10-21 15:39:52 · 1961 阅读 · 0 评论 -
Prime(wfuzz模糊测试,CVE-2017-16695)
2.访问secret.txt ,有一个location.txt文件,并且 它让访问一个github地址。13.复制我的php-reverse-shell.php(github里有)文件的代码,进行保存。8.下载下来给个执行权限,运行后就是root权限,进入root目录,成功拿下!7.访问/etc/passwd文件,在最下面说找到password.txt。2.用find命令查找有suid执行权限的文件,没有利用信息。wfuzz模糊测试,CVE-2017-16695,内核漏洞提权原创 2022-10-19 11:24:50 · 297 阅读 · 4 评论 -
shenron3(密码复用,netstat提权)
6.把index.php源码改成php-reverse-shell.php(github里有),保存后,开启监听,访问页面,成功反弹shell。2.找了一通没找到可利用信息,而且我进不去shenron用户下,只能靠运气把唯一的密码输入进去试试。3.查看network命令的特征,是一个查tcp,udp的命令;4.我们新建一个netstat文件写入提权命令,让它替换network。成功进入shenron用户下,用find命令查到一个network。5.提权成功,进入root目录,成功拿下!原创 2022-10-17 11:47:32 · 422 阅读 · 0 评论 -
SHENRON-1(神龙靶机)
就是为了让两个linux机器之间使用ssh不需要用户名和密码。常规我们ssh连接到其他服务器的时候是需要输入密码的,这个文件中可以实现你的免密登录连接,只需要两步操作:1、在要被连接的目标服务器上生成 ssh 公钥 xxx.pub2、将远程服务器上生成的 xxx.pub 中的内容,拷贝到当前服务器的 ~/.ssh/authorized_keys 中这样再进行 ssh 连接目标服务器的时候,就不会提示输入密码了,结果是直接连接成功生成公私钥(2)创建公私钥。原创 2022-09-29 10:37:54 · 674 阅读 · 0 评论 -
mercury(--preserver-env提权)
最关键的一点是.sh文件的执行主要靠syslog的运行 而tail这个命令,他又只显示最后十行,我们又要利用tail,所以软连接vi 用vi来中断执行达到提权目的。5.cat一下这个.sh文件 发现他是用tail ,tail -n 10 /var/log/syslog是显示syslog文件最后十行,2.sudo -l 需要进行输入密码 这是没有sudo权限 然后进行ls -l /home 查看家目录下文件。sudo --preserve-env=PATH /usr/bin/check_syslog.sh原创 2022-10-13 17:33:23 · 723 阅读 · 0 评论 -
katana(武士刀)setuid提权
6.发现没有反应,抓包查看,这里的请求方式是get ,那么木马就传不上去,放弃这条路;1.用python回弹一个交互式shell,发现家目录下一个.ssh_passwd。这里直接用python来提权并且setuid(0)直接进入root,成功拿下!8.发现这里将上传目录变更,/opt 目录是一个大型软件安装目录,表示怪异。探测8088端口下的目录,发现有upload.html。9.尝试触发木马,尝试好多端口都不行,只有8715可以。探测目标靶机开放的端口和服务,端口一大堆。原创 2022-10-08 16:27:22 · 674 阅读 · 2 评论 -
devcontainer 靶机
9.因为他是以sudo权限开放的8080端口 说明这是root权限,我们直接再次触发第一次传入的木马,进行反弹shell,来提权。3.扫下http://192.168.1.106/upload 这个目录 ,发现文件上传路径。nmap -p- -A -T4 192.168.1.106 //探测目标靶机开放端口和服务。4.查看list.sh目录和out.txt 目录后,我直接进行反弹shell命令写入。1.扫目录发现一个/upload 是一个能上传文件的界面 ,是一个白名单的文件上传。原创 2022-10-05 21:01:42 · 411 阅读 · 0 评论 -
Corrosion2( 侵蚀)靶机
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip //解出文件密码。sudo /usr/bin/python3.8 /home/randy/randombase64.py //执行之后就会触发写入的提权脚本;5.sudo -l 发现一个.py文件有权限,查看.py文件后发现,他一直调用base64。2.gzip -d rockyou.txt.gz //解压字典里的密码文件。虚拟机网络链接模式:桥接模式。将文件下载下来进行解压!原创 2022-10-02 19:59:16 · 564 阅读 · 0 评论 -
靶机 Cute
再使用finf命令 find /-perm -4000 2>/dev/null 看下有没有惊喜。3.输入网址后 频频报错 发现这个python脚本多了一个/CuteNews 将他替换掉。4.发现一个hping3 拿来提权 usr/sbin/hping3 /bin/sh -p。5.访问网址,发现是一个cutenews的一个管理系统,并且有版本号。4.再次利用脚本得到一个可以执行命令的界面(可以说是个后台)1.反弹成功,在home目录下,发现一个fox用户。虚拟机网络链接模式:桥接模式。原创 2022-09-27 09:46:47 · 1274 阅读 · 0 评论 -
SickOs1.1
其后台入口是http://192.168.166.129/wolfcms/?nmap -p- -A -T4 -sV 192.168.166.129 //探测目标靶机开放端口和相应服务情况。6.使用weevely连接木马,因为url需要代理才可以访问,这里需要现在环境变量中配置代理。上传成功,下一步用weevely来连接,连接的时候后面一定也要带cmd 这是密码。7.连接成功后在网站目录下发现config.php文件,发现数据库密码。cmd是密码 /root/weiqin.php 是路径。原创 2022-09-23 10:06:06 · 1067 阅读 · 0 评论