Vikings靶机之gobuste路径发掘-大字典、编码转化/文件还原、离线密码破解、隐写术、二进制文件提取、素数查找/科拉茨猜想、RPC漏洞提权

原创

已于 2023-05-18 16:38:21 修改 · 369 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#服务器 #ssh #linux #安全 #web安全

于 2023-05-18 16:37:44 首次发布

靶机地址：https://download.vulnhub.com/vikings/Vikings.ova

难度等级：低（中）

打靶目标：取得 root 权限 + 2 Flag

攻击方法：

主机发现

端口扫描

WEB信息收集

编码转化/文件还原

离线密码破解

隐写术

二进制文件提取

素数查找/科拉茨猜想

Python代码编写

RPC漏洞提权

主机发现：

arp-scan -I eth0 -l

端口扫描：

nmap -p- 192.168.0.110

nmap -p22,80 -sV -sC 192.168.0.110

gobuste路径发掘-大字典

gobuster dir -u http://192.168.0.110/ -x txt,html,php -w /usr/share/seclists/Discovery/Web-Content/common.txt

gobuster dir -u h

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

白冷

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

头部AI社区如有邀博主AI主题演讲请私信—心比天高，仗剑走天涯，保持热爱，奔赴向梦想！低调，专注，谦虚，自律，反思，成长，还算比较正能量的博主，公益免费传播…内心特别想在AI界做出一些可以推进历史进程影响力的技术(兴趣使然，有点小情怀，也有点使命感呀

01-12

1万+

【Vulnhub靶场】VIKINGS: 1

DG_s1mple

03-23

2370

环境准备下载靶机导入到vmware 靶机IP地址：192.168.2.17 攻击机IP地址：192.168.2.18 信息收集我们使用nmap扫描一下靶机端口的开放情况发现靶机之开放了ssh跟http服务，我们首先访问一下靶机的网站我们点进去看看找了一下没有什么有用的信息渗透开始我们扫描一下靶机网站的目录文件发现有一个war.txt，我们去访问一下是一串base64编码，我们把它拿去解码使用file命令发现，是一个zip文件，我们修改后缀，把它解压出来发现需要密码，我

参与评论您还未登录，请先登录后发表或查看评论

靶机记录Beelzebub、Vikings、Deathnote

qq_287064772的博客

08-13

368

Beelzebub、Vikings、Deathnote

超全Gobuster字典指南：10个高效wordlist推荐+自制方法

最新发布

gitblog_00731的博客

09-11

389

你还在为Gobuster扫描效率低发愁？精选字典+制作技巧，一文提升渗透测试效率！读完本文你将获得：10个分类字典推荐、3种字典制作方法、实战命令示例，让路径扫描效率提升300%。 ## 一、为什么字典对Gobuster如此重要 Gobuster是一款基于Go语言开发的目录和文件扫描工具（源码：[gobuster.go](https://link.gitcode.com/i/1b3ca126c...

Vikings靶机打靶过程及思路

qq_52610024的博客

05-02

938

ss-pantu|grep18812发现开启，并且是本机127.0.0.1，所以代码需要在靶机上运行。7.将数字进行ASCII编码还原，将得到的字符串进行ssh登录，发现进入后进行自动sudo。先bin/bash-i进行提权，查看运行脚本的文件，里面运用了rpyc远程管理。boat文件里面给出提示是考拉兹猜想，进行质数查找，编写简单的素数判断程序。5.发现解压后有图片文件，思考是否有隐写数，使用工具进行探测隐写。侦探发现是一个zip压缩文件，下载保存后进行解压发现需要密码。...

【每日打靶练习】Vulnhub-vikings(中低)

leo788的博客

02-05

833

viking靶机中涉及使用：80端路径爬取；john破解加密压缩文件；隐写术以及破解方式（二进制提取）：cyberchef的使用；python实现功能；rpc漏洞提权。

VulnHub靶机渗透实战9-vikings

随心所欲不逾矩

11-25

991

本次靶机是CTF风格的靶机。靶场地址：Vikings: 1 ~ VulnHub fcrackzip工具也能用来爆破密码。用户名密码：floki/f@m0usboatbuilde7 所以boat的意思是让我们对第二十九个质数做考拉兹猜想，所得到的数的数列，其中可打印的字符（ascall可以代表的字符，256以内），就是我们要得到的首先我们编写一段简单的python代码来计算出第二十九个质数。再编写一个简单python做考拉兹猜想，并且输出所有ascall为256以内的字

spygame：基于Pygame和Level-TMX文件的2D游戏引擎

02-03

"spygame" 是一个2D游戏引擎，它利用了Python的Pygame库和TMX文件格式来构建游戏。Pygame是一个广泛使用的开源Python库，专为开发2D游戏而设计，提供了丰富的图形、音频和事件处理功能。TMX文件是Tiled Map Editor...

打靶记录9——Vikings

Fab1an的博客

08-13

1208

主机发现、端口扫描、服务发现发现在site目录下存在一个war.txt的文件，访问这个文件发现存在一个路径，访问这个路径发现一大堆的Base64编码的内容使用CyberChef进行编码转换，发现一个zip文件，保存后打开发现需要密码，于是进行离线的密码破解，解压出一个图片文件对图片进行隐写术的检查发现有隐藏信息，但是加了密码保护于是使用二进制的方式强制提取，通过binwalk提取出一个压缩文件，从里面的user.txt发现包含floki账号SSH登录的信息成功登录floki账号。

Gobuster工具详解

B_l_a_nk的博客

12-20

6581

主要介绍gobuster的安装及使用方法，分别介绍各种模式的详细介绍 docker运行gobuster的使用方法

Gobuster - Kai下敏感目录扫描工具.zip

07-18

Gobuster - Kai下敏感目录扫描工具

gobuster 一款基于go开发的目录文件、dns和vhost爆破工具

whatday的专栏

12-03

5276

目录工具介绍工具优势Gobuster v3.0.1新特性工具可选模式内置帮助菜单dns模式帮助dir模式选项vhost模式选项工具安装代码发布使用“go get”源码构建字典与STDIN使用样例dir模式dns模式vhost模式项目地址Gobuster这款工具基于Go编程语言开发，广大研究人员可使用该工具来对目录、文件、DNS和VHost等对象进行暴力破解攻击。目前，该工具刚刚发布了最新的Gobuster v3.0.1版本。Gobuster可爆破的对象包括：Usage:Flags:中文翻译：Global F

Vikings -Vulnhub

wcl20010的博客

05-09

873

靶机下载地址：Vikings: 1 ~ VulnHub 1.主机发现 arp-scan -l 2.端口扫描 nmap -p 1-65535 -A 192.168.56.108 22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 2048 59:d4:c0:fd:62:45:97:83:15:c0:15:b2:ac:25:60:99 (RSA)

Gobuster工具--渗透测试的利器

Blanks的博客

12-01

2192

Gobuster 渗透测试的利器，目录枚举、子域名枚举、虚拟主机枚举、AWS S3 存储桶枚举、谷歌云存储桶枚举以及 TFTP 服务器枚举等多种模式。

暴力破解的工具 -- Gobuster

2302_76672693的博客

07-25

1225

暴力破解的工具 -- Gobuster

Gobuster的使用

菜鸟学渗透

08-02

6345

Gobuster简单介绍及使用。Gobuster是一种用于暴力的工具：网站中的URI（目录和文件）、DNS子域（支持通配符）、目标网络服务器上的虚拟主机名、打开亚马逊S3存储桶、打开谷歌云桶、TFTP服务器。

【工具】gobuster目录猜解工具

尚未佩妥剑转眼便江湖

12-02

7502

gobuster-Web目录暴力破解工具帮助 Gobuster是Kali Linux默认安装的一款暴力扫描工具。它是使用Go语言编写的命令行工具，具备优异的执行效率和并发性能。该工具支持对子域名和Web目录进行基于字典的暴力扫描。不同于其他工具，该工具支持同时多扩展名破解，适合采用多种后台技术的网站。实施子域名扫描时，该工具支持泛域名扫描，并允许用户强制继续扫描，以应对泛域名解析带来的影响。 ...

Gobuster的常用操作

爱喝水的仙人树的博客

11-14

925

查看所有可用选项和示例。请注意，使用此类工具时，一定要遵守法律和道德规范，仅在获得明确的授权时使用。是一款用于在 web 服务器上枚举目录和文件的工具，通常用于发现隐藏的路径或文件。的一些基本用法和选项。