6、evil box one

于 2024-07-13 21:40:30 发布
阅读量477 收藏 6
点赞数 20
分类专栏: vulnhub靶机训练 文章标签: linux 网络 安全 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63855540/article/details/140407029
版权

低—>中

目标:获取root权限以及2个flag

主机发现

靶机 192.168.1100.40

或者使用fping -gaq 192.168.100.1/24发现主机使用ping的方式。

端口扫描

发现开放了22和80

可以使用-A参数,-A参数会得到更多的扫描细节

访问80端口就是一个apache的基本的页面,按照管理习惯性的扫描目录

使用gobuster进行扫描

需要指定字典,这里使用的seclists的字典,这个字典我之前也没用过也不知道怎么样,不过应该也是挺全的吧

gobuster dir -u http://192.168.100.40 -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html

爆出一个secret和robots

访问secret什么都没有,robots里面有个Hello H4x0r 可以留意一下这个H4x0r,可以拿去尝试进行一下ssh的爆破。

不过这个gobuster确实速度很快,dirsearch慢多了

有了secret继续爆下一级目录看有没有其他的东西

扫到一个evil.php 一看就是很有关系的页面,但是访问了还是以前空白啥也没有,这个时候就可以尝试fuzz一下参数了

使用ffuf,此为kali自带的工具

首先正常的思路是参数和值两个位子都进行fuzz,那么命令:

分别指定两个字典并且赋予别名然后填在url的位置,-fs的意思是不看返回的结果大小为0 -c是上色

这样也并没有跑出东西来,字典我就随便加了几个数字字符啥的。

这里想到了就有也就是文件包含漏洞,挺抽象的有种做ctf的感觉要靠猜。参数还是未知的,值可以尝试使用../index.html看能否包含根目录下的index.html

改变一下命令

在只有一个字典的情况下使用FUZZ占位

可以看到有反应了,在command的参数下有了数据

确实包含到了文件

既然可以包含本地文件那么可以尝试是否可以包含远程文件,但是远程文件的包含需要开启一个东西一般情况下是默认关闭的。

尝试包含了kali的80端口下的文件发现没有反应。说明并没有开启这个功能。

尝试php://input直接执行也不可以

使用filter过滤器读取evil的源码,成功读取了但是源码内容真就是include()。。。

尝试使用filter写入文件,我之前从没有遇到过可以写入的所以都忘记了filter还有写的方式

写入的数据可以使用base64也可以使用其他的比如什么rot13

php://filter/write=convert.base64-decode/resource=test.php&txt=PD8gcGhwaW5mbygpOyA/Pg==

我估计写入是需要权限的一般情况下也是无法写入数据的所以这里也是失败了。

到此处利用文件包含似乎无法直接通过封装器拿到shell,那么转换思路继续使用文件读取读取一些敏感文件看是否有新的收获

当读取到etc/passwd的文件的时候,发现除了root用户还有一个可以登录的用户mowree。很好线索来了,可以尝试利用此账户去爆破ssh

不过这里的利用方式也是挺细节的

ssh mowre@192.168.100.40 -v 使用-v显示详细的细节

可以使用秘钥进行登录,一般在服务器上开启了这个功能的话会在.ssh下面生成一个公钥文件authorized_keys

那么尝试一下看能否读取到文件

成功读取到这个公钥文件

文件也提示了使用的rsa的加密算法那么如果没有改名的话默认的私钥名称就是id_rsa

成功读取到私钥

把它复制保存下来并且赋权chmod 600 不赋权是使用不了的这是Linux的保护机制

在使用私钥登录时又遇到了新的问题,私钥还被进行了一层加密。。。

┌──(root㉿kali)-[~/.ssh]

└─# ssh mowre@192.168.100.40 -i mowre_rsa

Enter passphrase for key 'mowre_rsa':

没有办法,只能尝试使用工具来爆破这个私钥了

这里使用john

首先需要使用john自带的脚本将id_rsa转换为hash文件

cd /usr/share/john

./ssh2john.py ~/.ssh/mowre_rsa > /home/vanish/scripts/hash

爆破的字典使用kali自带的名为rockyou的大字典

cp /usr/share/wordlists/rockyou.txt.gz ./

gunzip rockyou.txt.gz

然后使用john进行爆破

也是很快就爆破出来了

密码为unicorn

终于成功的突破了边界

接下来就是尝试提权的操作了,但是尝试了常见的提权方式并没有结果

这个时候选择直接上传提权辅助脚本上去刷一下

项目连接:https://github.com/peass-ng/PEASS-ng 挺全的,一直在更新

脚本提示匹配到了两个CVE可以利用,不过继续往后看到了

/etc/passwd竟然是可写的

那直接向里面写入一个新的高权限用户可以吗,正常情况下这个文件是只有root才可以改写的

那么这里可以选择写入一个新的用户或者修改原来的里面用户的内容

这个x其实就是秘密的地方,但是为了安全都放到shadow下面去了,如果对这里的x进行修改为密码那么就会会使用这里的密码额而不是shadow那边的密码

但是Linux中的密码都有加密算法的,这里使用openssl passwd -1生成 也就是MD5

123456加密结果为$1$RS8gC1Yn$yuaP7i.uPcRZ5XMclvJC9.

成功修改后

使用nano进行的编辑,用的不怎么习惯啊,ctrl +O 保存 ctrl + X 退出

成功提权至root权限

dreamer292
关注
  • 20
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
evil-plugins:Emacs Evil插件
02-04
Emacs Evil插件是Emacs编辑器中的一个扩展,它为Emacs引入了Vim编辑模式的功能,使得熟悉Vim操作习惯的用户在Emacs环境下也能享受到类似的编辑体验。Evil插件的设计目标是尽可能地模仿Vim的操作,同时保持Emacs的...
emacs evil
09-20
emacs evil 插件,用于提供EMACS下的VIM键绑定。 VIM是我最喜欢的编辑器,没有之一。 但是最近需要EMACS,因为有些工作需要他的扩展来有效完成。 GIT HUB上有,但是有些场合不能登陆GITHUB, 供有需要的同学下载。
emacs-evil
09-21
Emacs Evil 是一个深受广大程序员喜爱的扩展,它将 Vim 的键绑定和操作模式带入了 Emacs 编辑器。这个插件使得习惯于 Vim 编辑方式的用户在使用 Emacs 时能更加得心应手,同时也为 Emacs 用户提供了一种更高效的操作...
add_evil_user.zip_evil
09-14
"add_evil_user.zip_evil"这个标题暗示了一个可能的恶意操作,即创建一个隐蔽的用户账户,这在黑客攻击中常见,用于长期潜伏或者控制系统。我们将详细探讨如何在Unix系统中添加用户,尤其是隐藏用户,以及相关的安全...
Bifrost RAT Of Evil_ratofevil_evil_
10-03
bitfrost rat of evil for phising info
Linux】进程间通信(IPC)——匿名管道
2201_76024104的博客
07-08 1167
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间中取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用。
Linux】 GCC/G++与Makefile使用
Long_kin的博客
07-11 964
收藏向 使用解析
Linux】:程序替换
Yikefore的博客
07-09 1094
程序替换的详细介绍以及各种程序替换接口介绍以及使用!
Linux —— 进程间通信
学习C++的小陈同学
07-11 947
本篇整理了关于进程间通信的内容,以及详解的介绍了两种进程间通信的方式,以及相关的接口和代码演练
linux积累-core文件是干啥的
hebtu666
07-09 4349
核心转储(core dump)文件是一个程序崩溃时所产生的文件,它记录了程序崩溃时的内存状态,包括程序计数器和寄存器内容等信息。此外,如果程序是在特定的库或者环境中运行时崩溃的,你可能还需要安装那些库的调试符号,并在调试器中设置相应的环境变量。: 当你有了核心转储文件后,你可以使用像GDB(GNU调试器)这样的调试器来分析它。首先,你需要确保你有相应的程序的带调试符号的可执行文件。: 根据调试器提供的信息,你可以检查源代码中可能导致问题的部分,例如无效的指针引用、数组越界或其他违反程序逻辑的操作。
LVGL ArchLinux VSCode环境运行
Sandman06的博客
07-10 334
很多包在Arch中名字都不一样,我配合GPT,找到了相同功能的包,配合官方步骤,大致过程如下。vscode用AUR管理器安装”visual-studio-code-bin“LVGL官方的Demo是跑在Ubuntu系的系统上的。# 用如下指令代替Ubuntu系apt指令。git保证项目完整,各模块更新就能跑起来了。# VSCode安装。
Linux 线程】线程的基本概念、LWP的理解
Hou_lang_LJ的博客
07-10 398
🐧① Linux 线程的基本概念;
RedHat Linux8 修改root管理员账户密码命令
07-09 270
RedHat Linux8 修改root管理员账户密码命令
termux 安装 rockylinux
最新发布
欢迎来到别往的博客
07-13 303
往找最新的文件目录,选择ARM版本的image。或者直接查看目录或者国内阿里云镜像,按照cpu架构(安卓9手机一般是aarch64arm最新架构),获取镜像地址,以及checksum里的SHA256信息更新到以下rocky9.sh脚本,如果不需要直接使用即可。
Linux中的粘滞位及mysql日期函数
2301_77479435的博客
07-08 605
Linux中的粘滞位及mysql日期函数
linuxlinux的特殊符号
x66ccff
07-10 251
【代码】【linuxlinux的特殊符号。
Linux useradd 创建新的系统用户
m0_60246190的博客
07-09 203
useradd命令是创建新的系统用户
Linux设置开机自启动脚本
爱折腾的技术人
07-09 199
下的配置文件,该目录下的文件会链接 (软链接)这篇文章写systemd 的自启动方法。重启之后查看下服务有没有启动。systemd 默认读取。
Linux文件文件名的搜寻
qq_58184431的博客
07-10 222
find命令的功能是根据给定的路径和条件查找相关文件或目录,其参数灵活方便,且支持正则表达式,结合管道符后能够实现更加复杂的功能,是Linux系统运维人员必须掌握的命令之一。whereis命令的功能是显示命令及相关文件的路径位置信息,可用于找到命令(二进制程序)、命令源代码、man帮助手册等相关文件的路径位置信息,帮助我们更好地管理这些文件。这条命令的作用是在/tmp/目录及其子目录中查找名为yum.conf的文件,并将每个找到的yum.conf文件复制到/opt/目录中。的文件,并将每个找到的。
evil-droid工具
07-28
回答: Evil-Droid是一个用于生成Android恶意应用程序的工具。它可以通过使用Metasploit框架生成一个包含后门的apk文件。生成后的apk文件可以在目标设备上安装并执行恶意操作。要使用Evil-Droid工具,可以通过下载apktool_2.6.0.jar文件并使用wget命令进行下载\[1\]。然后,可以使用msfvenom命令生成一个包含后门的apk文件\[3\]。需要注意的是,0day漏洞是指在软件或其他内容发布后的最短时间内出现相关破解版本的统称\[2\]。 #### 引用[.reference_title] - *1* [安卓apk 客户端渗透高级>](https://blog.csdn.net/weixin_68281676/article/details/126812910)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [利用0day-java环境-宏感染-安卓客户端进行渗透](https://blog.csdn.net/m0_47510703/article/details/122751218)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值