weixin_44681307的博客

在cyberchef把密文先用一个hex解密16进制的解密，然后XOR时候放上我们的密钥，这样就能解密出来了，我们发现解密出来的东西很有规律，复制我们最前面的这一串。当我们远程时候发现不让我们远程，这里其实是给我们的ip地址做了一个过滤，就是不让我们输入ip地址，只要有ip地址就不行，但是我们可以用别的方法来绕过。而密文就是我们主页面最下面这一串16进制的数字，我们可以看出来这里面最大的数就是F，所以肯定是一个16进制的数字。因为我们得到一个用户名，一个密钥，其实就是我们的密码，肯定还有一个登陆网站。

这里看到==结尾就猜测肯定是个base，但都是大写应该是个base32，提醒我们用rockyou爆破。通常wordpress的登陆地址都在wp-login.php，我们果然发现一个登陆框。然后ls发现wordpress的配置文件，里面通常由数据库密码，我们打开看看。我们利用404错误窗口添加一个反弹shell，发现成功添加。就利用wpscan来爆破了一下，瞬间密码就出来了。就能正常打开网站了，要么网站打开css是乱的。先用python拿到一个正常权限的shell。拿到kali中爆破一下，很快密码就出来了。

利用下面命令我们就可以插入一个新的有root权限的用户，密码需要加密，我们用openssl工具可以加密对应的账号密码。然后我有扫描了一下上传后文件所在的目录，这里用了一个大字典扫描，小字典扫描不到。这是一个比较简单的靶场，拿到IP后我们扫描发现开启了超级多的端口。但是我们抓包的时候可以上传PHP文件，然后修改成图片类型。扫描目录时候我们发现有一个文件上传的目录，只能上传图片。但是也有不同的方法可以拿权限，就需要这些开放的服务了。点击我们上传的php文件，下面那个也是我上传的。

然后我们在elliot的家目录发现一个txt文件，打开后发现里面有他的密码，也有James用户的密码。找到ip地址后对IP进行一个单独的扫描，发现ssh端口被改到25468了，等会儿登陆时候需要用到。但是关键词被过滤了，我们在ls中级加两个反斜线就发现可以使用ls命令，下面信息有反馈。然后make一下.c文件，这样就出来一个可执行文件，执行后就拿到了root权限。其实几个用户都是一样的，这个靶机并没有什么能利用的点，但是内核漏洞可以利用。wget过来，file一下发现是一个zip文件，我们解压一下。

给id_rsa一个600权限然后登陆，输入密码就登陆上smbuser用户了,为什么要登陆这个用户，因为我试过所有的。登陆上后我们发现/etc/shadow文件是可读的，这样我们就可以把root和bla用户的密码进行破解。就smbdata登陆成功了，是没有密码的，并且我们还发现了一个私钥文件和一个有用的note.txt。把两行用户的信息复制到一个文件中，然后john破解一下，这里挺慢的，但是破解出来了。这个靶机开放的端口特别多，所以给我们的误导也很多，我直接按照正确的思路来。密码很快就能破解出来。

这里我们看一下，在bla1目录下是没有.ssh文件的,当我们用scp命令拷贝我们kali中的一个文件时候，它会先私钥验证看看能不能拷贝，所以就在这里面自动创建了一个.ssh目录。我们登陆上wordpress的后台，这个位置是一个插件，这里可以上传php文件，我们可以上传一个反弹shell。我们可以把我们kali的authorized_keys文件拷贝到靶机的这个.ssh中去就可以免密登陆这个用户了。这时候我们直接给bla用户所有的权限，写到sudoers文件中，bla用户就有全部的权限了，可以直接提权。

并且我们发现root目录是可以进去的，同时可以私钥登陆，这里我们就可以利用上面的root权限查看私钥文件。local.txt其实就是fox的密码，但这是一个md5，很难破解，同时靶机作者还给了我们另一个方法。这个文件有四个参数，py文件，目标地址，自己的ip地址和接收端口号，同时我们的kali监听一下。devel目录是不能读的，但是里面的文件我们是有查看的权限，可以进去devel但是不能ls。在这里面我们拿到了fox的密码，后面的da就是加的盐。首先扫描ip，登陆后发现是个这样的页面。

这个靶场给了太多的干扰因素，当你打完后反过来再看是非常简单的一个靶场，但是你打的过程中却会觉得非常难，干扰因素实在天多了。对IP进行一个单独扫描后发现开了一个ProFTPD 1.3.3c的FTP，直接对这个搜索了一下。里面给出就两天命令就可以拿到root权限了，输入后直接root，很简单。题目中给了说加一条hosts，实际没用上。发现有两个可以利用的，我选择的是第二个。

发现的确有一个计时任务，有两个用户都在运行，一个是UID为1000的，一个是root用户，只要我们能往这里面写的内容就可以拿到一个root的反弹shell。发现这个文件我们是可修改的，在里面添加了一条反弹shell文件，就等拿到UID为1000的权限或者，root权限，如过没拿到ROOT权限就重新监听一下。ssh上来后,ls一下发现有个mbox文件，发现类似两个邮件，并且是隔了几分钟的，所以就怀疑后台在运行着一个计时任务。这个系列的靶场给出的干扰因素都挺多的，必须从中找到有用的线索才可以。

我们拿到ip后对ip进行一个全面的扫描，第一次扫描时候没扫到FTP可以匿名登陆，因为这个折腾了好久去看了题解，后来又扫了一遍ip地址才扫描到ftp可以匿名登陆。这个靶场学习到了lftp，这个工具允许用户通过命令行界面来传输文件和目录，并且具有很多有用的功能，例如镜像模式、断点续传、并发传输等。这里面就是告诉我们这是个实验的FTP服务器，并且给了个邮箱，其实也算是给了我们一个用户名sky。利用这个用户名爆破一下ftp服务器，爆破出一个新的FTP密码，别去爆破ssh，爆破不出来。bash -p提权成功。

执行后发现拿到一个shell，但是这个shell权限很低，命令都不能用，就像做一个反弹shell。我wget能下载文件的原因是我在kali上开启了apache2服务，常用文件放一起就好了。我们进去这个目录看看，cat一下发现点线索，一看这就是一个base64编码的。最难的就是反弹shell，学会了一些新的反弹shell命令。文件，里面有一个jack用户的账号密码，su一下就登陆上了。进去后发现有点像一个CMS，就去搜索了一下有没有漏洞。这个靶机扫描ip并没有什么有用的东西，就不展示了。

因为找的时候在home目录下发现一个l的用户名，这里数据库用户名也是l，就先尝试ssh登陆了一下，没想到直接登陆了上来。我们在插件的地方发现一个可以上传文件的地方，在这里上传了一个php的反弹shell，虽然显示上传失败，但是上传成功了。结果发现给了两个提示，第一个是让我们去找/opt目录下的L，第二个是让我们去找/var目录下的Misa。我们来到l用户的.ssh目录下找到l的私钥文件，然后ssh登陆一下kira用户，发现成功登陆上来了。找到ip后对ip进行一个单独的扫描，查看都开启了什么服务。

我做这个靶场时候其实提权遇到了很多问题，最后没想到是shell的原因，后来重新建立了个shell就提权成功了，很简单的一个靶场。并且我们发现jerry用户是运行着一个docker的，因为以前见到过docker提权，所以就找了一条docker提权的命令。点击Thank You …cd到feedback.sh所在的文件，查看一下这个.sh文件，最后一行是我自己加的，请忽略。靶机的主页面并没有太多东西，但是这个图片里面是隐写了东西的，这里是个误导，我还研究了半天。然后我又扫描了一下目录，发现有一个奇怪的目录。

下载地址：https://download.vulnhub.com/lazysysadmin/Lazysysadmin.zip。hydra爆破一下ssh试试，发现突然就爆破出来密码了。nmap对这个ip进行单独扫描后发现开启的服务挺多。就直接枚举了一下这个服务器的内容，发现了一个用户名。直接sudo su提权就拿到root了，太简单了。登陆上后sudo -l发现权限是最高的。一个五分钟就能结束的靶机，非常快。

就用GPt搜索了一下，发现是个txt，这个txt是个密码字典，我猜测就是告诉我们后面需要爆破。登陆上以后sudo -l发现一个很奇怪的权限，就Google搜索了一下，发现可以一行代码提权。扫到ip后对ip进行一个单独扫描，发现开了四个端口，ssh设置到7223上了，这个很重要。打开网页主页是一个错误页面，就又对页面进行了一个扫描，发现有几个可以登陆的页面。在ftc.html页面中发现很多数字写在了源代码中，不知道有什么用。所以就用美杜莎爆破了一下，没想到很快密码就爆破出来了。密码：jordan23。

这里我研究了很久，最后还是看的题解，如果不加-t选项进入的bash是一个只读的bash，很多功能都不能用，-t后面可以运行一个新的，纯净的bash。就是这个文件在运行的时候会自动运行/tmp下的update文件，检测是否需要升级，这时候我们就可以自己在/tmp下新建一个update文件来提权。还有一个文件是shadow文件，这个文件是真正存放用户密码的文件，但是密码是密文，我们可以暴力破解的。首先扫描IP，打开网站，这个靶机我是没有扫描目录的，因为没给我机会扫描，一步一步就登进shell了。

我们就想到了刚才跟靶机中拷贝到我们自己电脑上的图片文件，经过尝试，这个图片是利用stegoveritas 把数据隐写进去的，首先我们安装stegoveritas工具，需要用到python。我们发现配置文件里面显示SMB会执行的一个脚本，但是smb里面又没有这个脚本，所以我们可以自己创建一个这样的脚本，然后上传到smb上面来。这里我们发现很多文件，挨个file以下，发现有一个text文件，查看了以下发现是个密码字典，我们把这个密码字典拷贝走。发现只有一个文件，我们get到我们本机上，这是smb的配置文件。

既然能扫到带php的目录，自然而然就联想到了文件包含漏洞，因为也没别的太多线索，就对这个目录进行了一个爆破，看看有没有文件包含漏洞。扫描目录的时候只有一个secret目录有点意思，就又单独对这个目录进行了一个扫描，发现这个目录下还有一个文件。这里又给私钥文件把权限降低了，发现果然可以登陆，不过需要输入密码，所以我们可以对私钥进行一个单独的爆破。这样就可以直接对私钥进行密码爆破，很快密码也就出来了，如果发现不能爆破请删除当前目录下的.john文件。发现成功登陆了上来，sudo命令是没有的，并且又。

这个靶机我放扫描ip的图片了，这里扫描到一个drupal，这个是我们之前做DC靶机系列时候就遇到过，backup目录是一个加密的zip文件，我们下载到本机上来。在这个靶机中收获良多，首先学会了一个新的交互方式，不需要用python了，同时知道了什么是静态链接文件，还有就是学会了遇到数据库文件应该怎么解决。我们打开kali自带的数据库，然后把这个数据库放进去，这样方便我们查看数据库内容，发现多了一个新的数据库。把因为加密的，我们用工具爆破一下，很快密码就出来了，解压后发现里面是一个数据库。

这个靶机我放扫描ip的图片了，这里扫描到一个drupal，这个是我们之前做DC靶机系列时候就遇到过，backup目录是一个加密的zip文件，我们下载到本机上来。在这个靶机中收获良多，首先学会了一个新的交互方式，不需要用python了，同时知道了什么是静态链接文件，还有就是学会了遇到数据库文件应该怎么解决。我们打开kali自带的数据库，然后把这个数据库放进去，这样方便我们查看数据库内容，发现多了一个新的数据库。把因为加密的，我们用工具爆破一下，很快密码就出来了，解压后发现里面是一个数据库。

靶机感悟：对于这个靶机并没有太多的难点，也没有的别多的绊子，就是猜测下一步是什么，耐心的去思考怎么才能进行到下一步。这样再访问我们就可以看到登陆框了，账户密码都是admin，随便试一试就出来密码了，也可以尝试爆破密码。在home目录下发现一个user.txt，里面是base64编码，这个看多了，一眼就知道是base64。就像这样，我这里反弹shell的ip地址写错了，重新修改了一下，发送后就上传成功了。发现有所有权限，直接su - 提权就可以了，很简单的一个靶机，跟CTF似的。抓包，在包头加上这个就可以。

同时我们还发现了这个系统是没有bash的，只有一个ash文件，每个用户都有一个历史命令执行的文件，在用户的家目录，一般名字都是.bash_history，但是这里没有bash，执行的是ash。这个靶场我学到了.bash_history文件，每个用户都有一个名为 .bash_history 的文件，它位于用户的主目录中，默认有500行最近执行的命令。这里面的密码不能位空，并且不能是明文密码，我们需要给这个密码加密一下，在我们本机上就可以，利用以下命令，用户名是tang，密码是123456.

把抓到的内容复制到一个空文档中去，用sqlmap跑一下，这里面的内容不能修改，空行也不可以删除，会出错。发现里面是一个图片，下载到我们kali 中去，因为都说了是秘密，所以这个图片肯定有点问题。下载到kali中运行发现需要三个参数，地址，邮箱和密码，我们刚好利用刚才找到的用户名密码。搜索了一下有没有漏洞，结果发现一大堆漏洞，直接内核提权，我下载的是40616.c这个。但是steghide发现里面隐写了东西，因为需要输入密码，所以里面肯定是有东西的。发现有一个登陆页面，用bp抓包看看，发现是post请求。

在kali中搜索一下有没有漏洞，结果搜索到了一个，我们下载到本机上，然后用python开启一个http服务传到靶机。Google识图一下，百度找不到的，发现是叫做少女塔，这里ssh密码其实就出来了，就是maidenstower。file一下发现是一个zip文件，unzip解压一下，发现给了一个用户名chad，一个图片地址。我们下载到靶机的/tmp目录中，加一个执行权限，运行一下，发现root权限了。扫描到ip后对ip做一个全面扫描，发现有一个匿名服务器，是可以免密登陆的。sudo命令是没有的，我都试过了。

打开网页左下角有个login登陆，是一个wordpress搭建的网站，扫描一下用户名，发现有三个，创建个文件把用户名放到一起。上来扫描ip，找到ip后对这个ip进行一个单独的扫描。发现ssh开到4512端口上了，这里其实没用上，给我们挖的坑。我们利用这个账号密码su用户名登陆一下，发现登陆成功，并且sudo -l还有好几种提取方法，这简直白送。点进去后写一个反弹shell，然后kali监听一下，保存后再Activate运行一下。尝试用简单密码爆破一下，发现很快就出来一个密码。打开后发现一个账号密码。

成功登陆webdav这个页面，在网上搜索了一下webdav，发现是一个客户端，发现有专门针对这个客户端上传文件的工具，所以我们就利用cadaver上传一个php木马文件。发现home下面有三个用户，就尝试用这个密码来登陆一下，发现刚好是inferno用户的密码，因为原本是web shell权限很低，现在拿到了真正的shell。虽说理论上修改这个文件夹的所有文件都可以，但是经过尝试了一个别的文件，并不能成功修改root密码，只有00-header在ssh连接时候会执行成功。用python3美化一下命令行。

首先还是nmap -sP 192.168.102.0/24扫描到ip地址，然后对这个ip进行一个单独的扫描，发现这个靶场有一个mysql数据库，猜测可能会用到sql注入，但是没用到。查看了计划任务文件，发现里面的确有一个，并且时root权限运行的，每三分钟以root权限执行一下logrot.sh文件，所以我们可以往logrot.sh追加一个提权命令。唯一的切入点也就数据库了，就尝试登陆了一下数据库，发现没密码直接登陆了上来，下面就是考研数据库基本命令的时候了。查看一下表，发现里面有一个用户名和密码。

打开网页后发现给了一个提醒，这是一个http头，当你请求服务器的时候会查看你这个头，他这个只允许他本身ip访问，这个也给了提醒。登陆上来后有个页面时直接显示我们name，账号和密码的，这个密码虽然时密文，但是在前端，我们通过F12可以查看密文内容。新靶机我们还是扫描到ip，然后对IP进行一个全端口的扫描，其实我还扫描了目录，不过没派上用场，这里就不写了。我们现在有两种方式，第一种是抓包，添加进去这个http头，这样我们就可以正常访问网页了。这样我们就登陆上来了，注册好后就直接登陆上来了。

必须以selena执行才能免密，如果用ariana执行返回的权限就是ariana，如果用selena执行返回的shell就是selena的。打开以后发现是一个登录框，但是这个登录框并没有什么用，查看源代码后发现一个账号密码，看着像是一个ftp的账号密码。利用这个账号密码登陆一下ftp服务器，发现顺利登陆了上去，这个其实可以ssh直接登陆上去，但是这样就少了很多效果。这是一个很简单那的靶场，第一部都是我们的三部曲，扫ip，扫目录，如果靶机拿不下来大概率就是信息收集的不够。执行后就是root权限了。

比如说我们想利用cat命令来提权，cat命令的真实目录是/usr/bin/cat，我们可以把/tmp添加进环境变量，在/tmp中创建一个cat文件，这样getinfo这个文件运行的时候就会运行我们这个cat，实则上是我们的提权命令。扫描ip的同时扫描了一下目录，发现扫描出来很多目录，这里我还很窃喜，当我尝试的时候发现很多目录都是个坑，是个恶作剧，只有一个/robots.txt目录是有点用的。在这里面发现一个目录，我们进去后发现又一个新目录，让我们检查这个目录。开启一个服务，把私钥传给我们的靶机。

这个目录其实才是我们正常的一个主页面，在Contact这个页面看到FUZZ，这是个很明显的提示，就是告诉我们这里有个文件包含漏洞，在About页面发现是个me，我也没扫描，直接用me尝试了一下，发现包含页面就是me。这时候就想到了利用环境变量提权，因为原本的install是/usr/bin目录下的install，我们自己伪造一个，让系统执行我们伪造的，并且又是root权限执行，这样我们就拿到了root权限。这个靶场直接是有ip的，然后单独对这个ip做了个扫描，发现并没有什么可用的。

登陆上以后发现就一个大土豆，扫描了一下目录就扫到一个phpinfo页面，也没什么用，这个网页标题是个potato，就想着爆破一下密码，结果很快就出来了个密码。ssh登陆一下，这个靶场里面依然搜索不到什么可用的东西，sudo -l 或者 查找有root权限的文件都没有可用的。首先扫描靶机ip地址，找到以后我又对靶机进行了一个全端口扫描，发现它的ssh端口号是7120.这个靶机说是一个简单偏难的，但是我觉得这个靶机是我做过最简单的一个。发现还不少，我就直接用了第一个。简单的不能再简单的一个靶场。

扫描出ip后再深入单独扫描一下这个ip，我们发现这个ip开了三个端口21，22，80，再21端口发现是一个匿名ftp服务器，这代表什么意思呢，就是可以不输入密码直接登陆ftp服务器，直接用Anonymous这个用户名登陆。这个文件里面内容就是告诉renu，你的密码太简单了，抓紧更改，所以我们可以大胆的推测renu是一个用户名，他的密码很简单，我们可以通过爆破的方式来找到他的密码。然后我们打开扫描出来的这个目录，页面上没有什么东西但是F12后有一个提醒，是一个目录，我们进去这个目录。

在这里我们可以自己创建一个zipfile.py文件，在moonlight.py所在的目录，这样python调用的时候就会先调用我们这个zipfile.py，我们在这个文件中写一个反弹shell，因为moonlight.py是以venom身份运行的，所以我们可以返回一个venom的shell。发现开通了22，80，83，但是8080端口是个开启我们无法访问的状态，所以可以猜测，这个端口可能没有对外开放，只有本地可以访问。

为什么要说防火墙，后来才发现这个靶机设置了防火墙，只有允许的端口允许的命令才可以用，其他的都不能用，包括端口也只有443端口被允许通过。因为nc -e不能用，所以就在网上找了个反弹shell的命令，这里要注意的是只有443端口能用，别的端口都不能用。在网址后面随便输入ls命令，发现可以用，经过尝试发现这里可以注入代码，但是有一些命令被禁用了，比如nc。搜了一圈发现有两个php文件挺可疑，就发送到自己电脑上了，实际后面没啥用，ftp也没啥用。测试后发现是可以的，代码不见了，说明被执行了。

phpmyadmin是数据库图形化管理界面，所以代表这个网页是有数据库的，我们就搜索一下wordpress的配置文件，通常数据库的账号密码都会在配置文件里面。su mrderp登陆一下，然后sudo -l发现他给了我们一个提醒，让我们在mrderp文件下创建一个binaries目录，在这个目录下创建derpy文件。发现上传成功，我们在kali中监听一下就进入到网站的后台了。sudo -l出现的这个意思就是这个目录下的这个文件是有root权限的，所以我们可以自己创建一个，然后利用这个文件进行提权。

并且这里面文件的权限都是777，我们渗透时候通常都是普通用户是没有管理员权限的，然而我们可以利用修改这个里面的文件达到指定root命令的效果。尝试发现自己构建的函数是不能使用的，网上搜索了一番发现Onstart()函数是网站加载时候会运行的一个函数，我们就利用这个函数为切入点，写一个反弹shell，保存预览发现是可以用的。这是一个python命令，先调用，python的os模块，然后利用os.execl()函数，这个函数的作用是打开一个新的程序并替换当前进程。然后对目录进行扫描，发现了一个可以登陆的网站。

我们发现了knockd的进程，knockd是一个守护进程，它在后台运行，并等待接收预定义的端口序列。/proc/sched_debug是一个Linux内核中的虚拟文件，文件包含了一个完整的调度器状态快照，包括所有运行的进程及它们的状态、进程的调度策略、调度队列、调度器的负载平衡状态等。我们查看一下这个进程文件，发现里面是有三个参数，意思就是，当SSH按照这个顺序收到三个syn包后，ssh才可以开启。既然是root权限，我们就可以提升我们这个用户的权限为ALL，和root用户权限是一样的，

cat了以下46996.sh发现有两种方法可以提权，我两种都用了一遍。我们在这里面写一个反弹shell，反弹到我们自己的kali中去。登陆后在网页中找了一圈，发现有一个可以注入PHP代码的地方。admin爆破不出来密码，john用户可以爆破出来密码。kali中搜索以下这个版本的漏洞，发现有一个合适的。再扫描一下目录，这里有一个登陆界面，等会儿会用上。再version以下，看看exim4的版本号。发现有个users表，列出来里面的条目。再对发现的数据库中的表进行一个扫描。扫描到ip后进行一个单独的扫描。

然后等待这个文件下次自己运行，如果自己运行就是以root权限运行的，返回的shell就是root权限的shell，而如果我们自己运行就是普通账户运行的，是不能返回root权限的。同时我们在/var/mail下发现一个dc7user文件，这个文件显示了backups.sh每次执行的时间，每隔15分钟执行一次，并且发现了backup.sh执行的其他代码。我们可以看到上次运行时间是22：15分，等到22：30就自动运行backups.sh这个文件了，我们也成功返回了root权限。