vulnhub靶场
文章平均质量分 67
tao0845
萌新,做些简单的记录
展开
-
[Vulnhub]靶场 Red
删除后还会自动编译,但是可以替换supersecretfileuc.c,替换成反弹shell的c,编译执行的时候,rootshell就能反弹到kali上。password.txt里面是R3v_m4lwh3r3_k1nG!并且是root权限,rev文件是supersecretfileuc.c编译而成,会自动弹出那些干扰信息,删除rev没用,在john目录下,发现一个note.txt,但是cat的时候却弹出vi的界面,根据提示,vi和cat指令互换。爆破出来密码是R3v_m4lwh3r3_k1nG!原创 2024-03-03 19:13:26 · 480 阅读 · 0 评论 -
[Vulnhub]靶场 Web Machine(N7)
两次url解码->base64解密->md5碰撞得到的admin,并且无论上传什么user和pass,role都是admin。索性直接再admin.php界面添加cookie role=admin,结果拿到flag。在登录界面随便输入一组账号密码的时候,相应包的cookie里面有个role。偷看了一手WP,有个目录enter_network,该目录下有。cookie中添加role=admin拿到另一半flag。至于为什么添加role=admin。提示只有admin才能进入。给出了一半的flag。原创 2024-02-29 15:10:51 · 548 阅读 · 0 评论 -
NAPPING: 1.0.1 Vulnhub靶机
没有rel=“noopener noreferrer”的情况下使用target=“_blank”是有安全风险,超链接a标签的rel="noopener noreferrer"属性是一种新特性,它能让网站更安全,超链接添加rel="noopener noreferrer"来防止钓鱼网站,因为它获取的window.opener的值为null。显示创建一个html文件,当点击生成的超链接进入这个文件的时候,父窗口会重定向到http://192.168.56.102:6677/2.html。原创 2024-02-27 17:06:36 · 641 阅读 · 0 评论 -
JANGOW: 1.0.1
web看一下,有个busque.php参数是buscar,但是不知道输入什么,尝试文件包含失败。尝试好几种反弹shell语句都失败,看了别人的wp发现靶机之开启了443端口。先传到靶机再编译(我试了先编译再上传发现执行失败,不知道什么原因)扫到一个backup并且知道这是一个wordpress服务。原来是可以执行命令,下次测试参数的时候可以尝试RCE。在jiangow01目录下找到第一个flag。前面扫到21端口ftp服务,用ftp连接。监听443端口发现拿到shell。发现有好几个本地提权的。原创 2024-02-26 22:15:02 · 184 阅读 · 0 评论 -
Darkhole 2
那么直接用/usr/bin/python3开启一个shell那么就能拿到root权限。这个url可以执行命令,在80端口测试发现不可以使用,说明不是80端口的。在定时任务里面看到这是开在9999端口的服务,定时任务由losy权限执行。确实可以rce,那么反弹shell应该就能拿到losy的shell。1.git泄露,git-dumper获取源代码。用git_dumper.py 重构源码。测试发现url中id=1可以sql注入。用这个密码发现ssh可以连接losy。可以看到python由root权限。原创 2024-02-25 21:31:11 · 167 阅读 · 0 评论 -
DarkHole: 1
在tmp目录下伪造一个id指令,让其执行时候返回shell,根据上面的结果将会拿到john的shell。修改密码 请求包里面有个id,当前是2,那么id=1可能是admin用户,把id=1发现修改成功。还以为是白名单,还能大小写绕过,但是用大写发现无法解析,想到上传phtml文件。此外,发现john的密码也是root123,并且sudo -l也有提权手段。上传php文件发现提示只许上传jpg,png,gif。测试发现不是root的,而是darkhole的。发现是空的,那么可以直接写入提权脚本。原创 2024-02-23 20:16:12 · 185 阅读 · 0 评论 -
Corrosion2
可以看到root ,randy tomcat,jaye的密码,用john爆破拿到randy的密码07051986randy。randy下有一个note.txt,没什么有用信息,还有一个user.txt,也没什么有用信息。导入了base64库,由于randy没有读写以及创建文件的权限,重创一个py文件不可行。命令用于查询单词,仅需指定欲查询的字首字符串,它会显示所有开头字符串符合该条件的单词。重扫扫到一个backup.zip,不过压缩包需要密码,爆破一下。但是没有什么有用的文件,sudo -l也没用。原创 2024-02-20 18:18:38 · 398 阅读 · 0 评论 -
CORROSION: 1
easyinfo有suid权限,那么可以重新编译一个easysysinfo文件来替代原来的文件。得到一个密码randylovesgoldfish1998,是randy的密码。sudo -l发现有个easysysinfo文件有root权限。先找到auth.log /var/log/auth.log。能打开但不显示内容,测试发现可以LFI,参数为file。翻到了一个用户备份文件,可能包含randy的密码。home下有个randy,想进去发现权限不够。看php文件randylogs.php。原创 2024-02-19 14:48:30 · 300 阅读 · 0 评论 -
Momentum2
传一个一句话木马试试,发现.php被过滤,传txt文件上传成功,但是上传到哪儿了,不知道,根据前端信息about Owls,在owls下看到了上传的txt文件。看看能不能连接上athena的22端口,密码是myvulnerableapp*,(md,考英文呢,Asterisk是星号的意思),成功连上。会产生一个随机cookie,种子由用户输入,然后执行cmd这个命令,这个命令是root权限,可以将反弹shell 的命令写入cmd来提权。athena用户有两个txt文件,一个是提示密码的,另一个是个flag。原创 2024-02-14 20:31:35 · 656 阅读 · 0 评论 -
MOMENTUM: 1
总结:1.xss漏洞2.加密文件读取3.cookie获取账号密码4.redis 6379默认端口。可以看到是一个AES加密,密钥是SecretPassphraseMomentum。ssh连接一下,经过多次测试,发现auxerre-alienum##是密码。发现这里有个参数id,sql尝试无果,发现写入什么,网页显示什么。光有Cookie没用,不知道什么加密,扫一下目录,看有没有信息。除了22 80 ,6379端口也在监听,6379端口是。当前目录下有第一个flag。常规提权手段没有办法。原创 2024-02-11 22:58:12 · 370 阅读 · 0 评论 -
HARRYPOTTER: FAWKES
0x08049455,机器码是反写的,所以实际地址是0x55 0x9d 0x04 0x08这个就是跟在112条垃圾数据后满的地址,即ESP 的内容,接下里是要执行的指令。开启了21 22 80 2222 9898 五个端口,其中21端口可以匿名FTP登录,好像有点说法,百度搜索一下发现可以用anonymous登录,尝试一下。2.本地edb动调,缓冲区溢出漏洞,计算偏移量,找ESP跳转地址,msfvenom生成反弹shell字节,编写py脚本拿到shell。在三次握手包发现账号密码 neville/bL!原创 2024-02-08 23:53:08 · 1484 阅读 · 0 评论 -
HARRYPOTTER: NAGINI
2.http3服务读取隐藏内容,得到internalResourceFeTcher.php目录,利用gopher协议进行ssrf,读取数据库,得到用户名,并修改用户密码。5.在hermoine找到sp_cp命令,suid复制文件,自己生成一个ssh公钥,利用scp上传,利用sp_cp指令复制到hermoine的.ssh目录下,即可登录。总的来说是一个以hermoine权限的复制功能,如果我自己生成一个ssh公钥复制到用户的.ssh目录,就可以利用公钥登录hermoine的ssh 了。原创 2024-02-07 17:12:41 · 1004 阅读 · 0 评论 -
HARRYPOTTER: ARAGOG (1.0.2)
但是现在shell反弹不过去,有点不知所措,可能是因为执行完一条指令,会话就被终止了。这个wp-file-manager 6.0不是最新版本,可能会有漏洞,搜一下。在 hagrid98里面看到一个txt文件,里面是个base64加密,解一下。有个notice,说是我们将为了安全删除一些没使用的插件,猜测是插件有漏洞。binwalk分离不出东西,steghide也没有密码,先算了。之前dc系列好像也有一个这个东西,是个定时任务。就一张图片,感觉可能会有隐写,保存在桌面。原创 2024-01-30 12:03:17 · 417 阅读 · 0 评论 -
EMPIRE: BREAKOUT
恰好在备份文件里面找到一个密码文件,而且是隐藏的,这与tar的权限正好对应。正常的apache界面,但是看源码之后发现了一个brainfuck加密。我们之前拿到了一个类似密码的东西,现在需要一个账号看看对不对。系统开启了smb服务,那么可以用enum4linux扫一下。10000端口是个网页登录界面,20000是用户登录界面。看了别人的wp,发现反弹个shell就能切换root了。失败了,看看10000和20000这两个端口吧。也没有什么有用的信息,看一下其他端口吧。也不知道有什么用,看一下其他信息。原创 2024-01-28 12:19:28 · 373 阅读 · 0 评论 -
EMPIRE: LUPINONE
wtf,果然在这,意思让我们在这里找到ssh的私钥,有一个隐藏文件,还有fasttrack这个字典,以及icex64的用户名。总结:1.robots.txt2.目录fuzz3.ssh私钥爆破,先转john再john爆破4.py。也没什么鸟东西,fuzz一下~后面的东西试试。用john破解,字典用fasttrack。有个不要密码的python文件,看一下。pip指令免密root,可以用来提权。看一下robots.txt。先找隐藏文件,继续爆破目录。权限太高了,降低一下权限。vi修改一下加上这个语句。原创 2024-01-26 15:26:57 · 339 阅读 · 0 评论 -
Vulnhub靶场MATRIX-BREAKOUT: 2 MORPHEUS
捏马 dirsearch什么信息都没有,思路卡住了,看看别人的wp,用/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt这个字典可以爆出来,试试。是inguardians 写给jaybeale的信,说计算机被密码锁住了,至少ssh是的。爆半天,爆出来graffiti.txt robots.txt graffiti.php。看了发现graffiti.txt 是graffiti.php的文字。算了,不那这个flag了,直接提权 吧。原创 2024-01-26 14:00:59 · 934 阅读 · 0 评论 -
Vulnhub靶场DC-9
为了方便,把之前获得的账号和密码分别放入两个txt文档用hydra爆破一下,省手输入了。可以利用这个脚本写一个有root权限的用户到/etc/passwd就可以提权了。用sqlmap跑一下,因为是post型的,这里加一个post的data。并没有什么参数,根据前面有个靶机的经验,文件包含的参数名可能是file。是一个文件读写的脚本,读取第一个参数文件的内容,写入到第二个参数文件里。在第一步信息收集的时候22端口其实状态是被过滤的,我忽略了这一点。重新看一下,也验证了靶机开启了knockd服务。原创 2024-01-26 13:57:16 · 1286 阅读 · 1 评论 -
Vulnhub靶场DC-8
后来回到主页看,点击details那三个字段url会跳转到nid =1 nid =2 nid=3。总结1.sql注入2.john爆破密码3.网页php脚本反弹shell4.exim4提权。写进去之后,在contact us 界面随便填写然后提交攻击机就能拿到shell。翻了一下目录,没看到什么特殊信息,用find查找 suid执行权限的命令。看了几个界面发现没什么有用的消息,卡在开头了。有个john ,应该提示用john破解。可能是sql注入,测试一下。测试发现是john的密码。看一下如何用,有两个方法。原创 2024-01-26 13:52:18 · 251 阅读 · 0 评论 -
Vulnhub靶场DC-7
上面的脚本文件backups.sh是mbox的定时执行人任务,只要将反弹shell的指令写入到backups.sh,攻击机再开个监听端口,当定时任务执行的时候,我们就能拿到root权限。提示:DC7加了一些新的东西,让我看看盒子之外的东西,与DC系列前面几个靶机相比左下角多了个@DC7USER。注意到有个drush指令,drush是drupal里面的指令,可以修改一些配置文件。不过是以gpg结尾的,gpg加密文件,打开发现是一堆乱码,不知道怎么解密。目标192.168.223.136。原创 2024-01-26 13:48:55 · 424 阅读 · 0 评论 -
Vulnhub靶场DC-6
将/bin/bash写入backups.sh,然后用jens免密root执行backups.sh就能拿到root shell。nmap是可以执行脚本的,我们将shell写入脚本,nmap执行脚本的时候,我们就能拿到rootshell。但是密码用什么字典呢,苦想了半天没找到线索,看了别人wp,原来题目描述的时候有个clue。提示要用rockyou.txt这个字典,用wpscan爆破一下。又是一个WP CMS,用wpscan搜一下漏洞。界面看了一下也没有什么有用信息,扫一下目录。用户名用wpscan枚举一下。原创 2024-01-26 13:44:44 · 354 阅读 · 0 评论 -
Vulnhub靶场DC-5
var/log/nginx/error.log和/var/log/nginx/access.log,我们看一下access的日志。果然与年数有关,每刷新一次就会被变,那么thankyou.php界面应该就是包含了footer.php。成功包含,但是再找不到上传点,尝试一下log文件包含rce,用bp写入,防止尖括号被编码。读取一下日志文件看有没有包含进去,前面端口扫描的时候扫到80端口用的是nginx服务。并没有什么信息,猜测下面的年数与文件有关,扫描一下目录。本机192.168.223.128。原创 2024-01-26 13:39:56 · 161 阅读 · 0 评论 -
Vulnhub靶场DC-4
tao::0:0:::/bin/bash 创建一个包含用户名为 “admin”、密码字段为空、用户 ID 为 0、组 ID 为 0、注释字段为空、用户主目录为 “/bin/bash” 的用户。解析:echo 创建一个命令字符串通过管道符|传送给teehee,teehee将接受到的字符串追加到/etc/passwd文件尾。翻了一圈文件没找到有用信息,看一下权限,sudo -l看到/usr/bin/teehee可以免密码执行root。账号应该就是admin,密码用bp爆破一下。爆破出密码jibril04。原创 2024-01-26 13:36:17 · 131 阅读 · 0 评论 -
Vulnhub靶场DC-3
然后连接 weevely http://192.168.223.139/templates/beez3/html/modules.php x。注意目录是/templates/beez3/html/modules.php。翻了一圈没找到可以利用的文件,看了别人的wp发现是Ubuntu这个版本有漏洞。发现弹不过来,不知道什么问题。(后来发现是靶机的nc 没有-e功能)比较重要的就是这个版本3.7.0,搜一下看看有没有漏洞。最后老失败,不知道为什么,晕,基本完成了…不太管用,换个txt文件看看怎么个回事。原创 2024-01-26 13:32:50 · 508 阅读 · 0 评论 -
Vulnhub靶场DC-2
总结1.本地修改重定向2.cewl爬取字典3.wpscan枚举用户名4.wpscan爆破账号密码5.ssh连接登录6.rbash绕过7.vi提权8.git提权。windows目录:C:\Windows\System32\drivers\etc\hosts。思路回到一开始扫描端口发现了一个奇怪的端口号77744,开启了ssh服务,用ssh链接试试。提示我们要用git提权,用tom发现sudo要密码,su到jerry发现jerry不要密码。http://dc-2/wp-login.php应该是登录界面。原创 2024-01-26 13:27:50 · 335 阅读 · 0 评论 -
vulnhub靶场DC-1
perm -4000: 指定查找具有 Setuid 位(SUID)设置的文件。SUID 位是一种权限位,当文件被设置了 SUID 位时,它将在执行时获得与所有者相同的权限。这里的 -4000 表示查找具有 SUID 位设置的文件。搜索suid程序:find / -user root -perm -4000 -print 2>/dev/null。不过flag1 和flag2应该就在未提权的目录里面,这个好找,下次一步步找,不要越步。-user root: 指定查找的文件所有者是 root 用户。原创 2024-01-26 13:16:32 · 730 阅读 · 0 评论