首页 > 其他分享 >vulnhub靶场————Momentum:1

vulnhub靶场————Momentum:1

时间:2024-08-27 15:26:11浏览次数:15  
标签:auxerre 端口 解密 cookie vulnhub 靶场 CryptoJS Momentum ssh

总体目标:

        掌握 单个目标机 渗透思路


本期内容:

靶场地址:Momentum: 1 ~ VulnHubicon-default.png?t=N7T8https://www.vulnhub.com/entry/momentum-1,685/靶场截图:

总体思路:信息搜集        漏洞利用        权限获取        目的达成

具体实现:

  • nmap 主机发现、端口扫描
  • dirsearch 目录扫描
  • metasploit 漏洞利用
  • cookie* (java-AES)解密得到账户,建立ssh,得到普通shell
  • 利用目标机 redis 数据库相关的 本地端口6379,通过读取数据库键值,得到root账户,得到高权限shell
  • 得到两个flag

打靶记录:

信息搜集

  1. 主机发现      目标机IP:164  
    nmap -sP 192.168.178.0/24

  2. 端口扫描    开放22 80端口,对应 ssh web服务

    nmap -sS 192.168.178.164

  3. 目录爆破  发现/css/    /js/    /manual/

    dirsearch -u http://192.168.178.164

漏洞利用

       当访问目录/manual/  ,我发现网页给出了 APACHE 2.4 提示信息。因此,我利用metasploit查找APACHE 2.4 的漏洞并加以利用。

        但是,目标机貌似打了补丁,对应版本的漏洞不存在。接下来,我从目录 /js 入手,发现了新的PHP文件 opus-details.php  ,参数为id 。同时,还对信息进行了AES加密,我认为,用户的输入和会话(cookie)是一定会加密的。这里肯能包含敏感信息的是 cookie,我们接下来就要对 cookie进行解密。

        解密代码如下:


var CryptoJS = require("crypto-js");
//这行代码引入了 CryptoJS 库,使得可以使用其中的加密和解密功能


var decrypted = CryptoJS.AES.decrypt(encrypted, "SecretPassphraseMomentum");
// 解密过程,这里,CryptoJS.AES.decrypt 用于解密 encrypted 变量中的加密文本。第二个参数 "SecretPassphraseMomentum" 是用于解密的密码(或密钥)。encrypted 应该是加密后的密文字符串。

console.log(decrypted.toString(CryptoJS.enc.Utf8));
// 解密后得到的是一个字节数组,需要将其转换为 UTF-8 编码的字符串,以便能够正确地显示原始明文。

        查找后发现,只有访问 opus-details.php 时,才会有cookie产生。这也正好符合我们的猜想。cookie就作为encrypted

{
	"Response Cookies": {
		"cookie": {
			"path": "/opus-details.php",
			"value": "U2FsdGVkX193yTOKOucUbHeDp1Wxd5r7YkoM8daRtj0rjABqGuQ6Mx28N1VbBSZt"
		}
	}
}

        访问网站:在线运行解密代码,得到明文 auxerre-alienum##CryptoJS Example (codepen.io)icon-default.png?t=N7T8https://codepen.io/omararcus/pen/QWwBdmo?editors=0010

拓展:
    “Auxerre” 是法国的一座历史悠久的城市,位于勃艮第地区。它以其丰富的历史和文化遗产著称,包括古老的教堂和博物馆。

    “Alienum” 是拉丁语词汇,意思是“他人的”或“外来的”。在历史和法律文本中,它通常用于描述与自己不同或属于他人的事物。

        建立ssh连接,用户名:auxerre  密码:auxerre-alienum##

ssh [email protected]
password:auxerre-alienum##

        在/home/auxerre 的user.txt 中 发现flag1:

---------------------------------------
flag : 84157165c30ad34d18945b647ec7f647
---------------------------------------

权限获取

        这里 sudo python提权 无法实现 ,.bash_history 文件也是空的,另一个想法是查看本地端口开放 ss -tuln  ,开放了6379端口

端口 6379 通常与 Redis 数据库服务相关联。Redis 是一个开源的内存数据结构存储系统,广泛用于缓存和消息传递。默认情况下,Redis 监听在端口 6379 上。

        我尝试连接redis数据库,并提取出键值。

redis-cli    //连接redis 数据库
key *        //查询所有的 键
get rootpass //查找出键 rootpass 的值

        得到root账户密码: m0mentum-al1enum##        建立ssh连接,在/root/ 的root.txt文件中 得到第二个flag:

---------------------------------------
Flag : 658ff660fdac0b079ea78238e5996e40
---------------------------------------

总结

        这次打靶,貌似没有使用到 漏洞 ,更侧重于 基础 ,对新手很友好。

标签:auxerre,端口,解密,cookie,vulnhub,靶场,CryptoJS,Momentum,ssh
From: https://blog.csdn.net/m0_65809311/article/details/141587918

相关文章

  • 墨者学院靶场通过攻略
    SQL手工注入漏洞测试(Oracle数据库)一,判断是否存在注⼊点1.点击红色箭头2.点击后出现这个页面看见上面有?id=1我们来判断这个注入点3.回显报错,说明"and1=2"语句拼接到了后端数据库查询语句当中二,通过orderby来判断字段数。因为orderby2⻚⾯正常,orderby3⻚⾯不正常......
  • xss-labs靶场通关攻略
    第一关我们来到第一关发现什么提示也没有试着输一个<script>alert()</script>第一关还是简单的直接输入就可以了第二关一,我们尝试在搜索框输入<script>alert()</script>发现没有成功二,查看一下源代码输入的<script>alert()</script>在<input>标签的value中,需要">闭合......
  • ACCESS手工注入靶场
    步骤一:打开网页判断是否存在注入判断注入点news_view.asp?id=14'//报错news_view.asp?id=14and1=1 //成功news_view.asp?id=14and1=2 //报错步骤二:判断当前数据库的字段文件...其到达8时页面置空,说明语句执行失败,当前数据库的字段仅有7列?id=14orderby......
  • sqli-labs靶场通关攻略 31-35
    主页有sqli-labs靶场通关攻略1-30第三一关less-31闭合方式为?id=1&id=1")--+步骤一:查看数据库名http://127.0.0.1/less-31/?id=1&id=-1%22)%20union%20select%201,database(),3%20--+ 步骤二:查看表名http://127.0.0.1/less-31/?id=1&id=-1%22)%20union%20select%2......
  • MSSQL SQLi Labs 手工注入靶场
    less-1步骤一:判断注入方式 ?id=1'--+步骤二:判断后台是否是MYSQL数据库?id=1'andexists(select*fromsysobjects)--+步骤三:查询数据库信息,user回显的dbo表示是最⾼权限,如果是⽤户的名字表示是普通权限?id=-1'unionselect1,user,is_srvrolemember('public');-......
  • sqli-labs靶场通关攻略(31-35关)
    第31关(")闭合)查数据库?id=")unionselect1,2,database()--+查表?id=")unionselect1,2,group_concat(table_name)frominformation_schema.tableswheretable_schema='security'--+查列?id=")unionselect1,2,group_concat(column_nam......
  • sqli-labs靶场通关攻略(20-40)
    第二十一关登陆后显示如下图界面,感觉和cookie注入有些相似进行抓包,发现cookie被编码返回来查看源代码,发现这里被base64编码我们将抓到的包发至重放器,在cookie字段写入查询代码并改为base64编码发送请求即可得到数据库名剩余操作大家自行查询第二十二关登陆后显示......
  • sqli-labs靶场通过攻略(21~40)
    第二十一关这里用了base64编码加密进来可以看到来到在线加密把咱们的语句加密一下加密前:admin'andupdatexml(1,concat('~',(selectdatabase()),'~'),1)and'这是加密后的语句YWRtaW4nIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoJ34nLChzZWxlY3QgZGF0YWJhc2UoKSksJ34nKSwxKSBhb......
  • xss-labs靶场通关攻略
    第一关首先进入页面咱们直接来试试反射型 <script>alert(1)</script>直接就成功了然后开启第二关第二关进来后看见搜索框不知道它的闭合是什么样的咱们直接右击查看页面源代码去看看输入"><script>alert(1)</script>直接通过第三关这里输入语句发现错误来到页面源代......
  • pikachu靶场XXS通关攻略
     1.反射型xxs(get)在搜索框输1界面有停留 进行xxs攻击输入时发现长度不够F12打开控制台修改输入<script>alert(1)</script>2反射型xxs(post)点击提示进行登录输入<script>alert(1)</script>3存储型xxs输1停留界面输入<script>alert(1)</script>4.DOM型xxs......