quick4 - hackmyvm

简介

靶机名称:quick4

难度:简单

靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Quick4

本地环境

虚拟机:vitual box

靶场IP(quick4):192.168.56.104

跳板机IP(windows 11):192.168.56.1 192.168.190.100

渗透机IP(ubuntu 22.04):192.168.190.30

扫描

nmap起手

nmap -sT --min-rate 10000 -p0- 192.168.56.104 -oA nmapscan/ports ;ports=$(grep open ./nmapscan/ports.nmap | awk -F '/' '{print $1}' | paste -sd ',');echo $ports >> nmapscan/tcp_ports;

经典22和80端口

image-20240608160759229

tcp细扫

nmap -sT -sV -sC -O -p$ports 192.168.56.104 -oA nmapscan/detail

image-20240608161346219

得知有个/admin/路径

HTTP

gobuster扫描路径,发现有一个/employee

gobuster dir -u http://192.168.56.104 -w $HVV_PATH/8_dict/SecLists-master/Discovery/Web-Content/directory-list-2.3-big.txt -b 400-404 -t 10 -x php,zip,bak,jpg,png,mp4,mkv,txt,html

image-20240609132900449

image-20240609132933155

尝试了几轮,发现用任意邮箱和万能密码' or 1='1就可以直接进入后台……

image-20240609133138821

在修改密码界面可以获取密码为gOkRYKGwN57my7bNN2

image-20240609133211716

人员管理界面给随便一个人上传图片马,顺便把密码也改了

image-20240609140408948

image-20240609140424209

退出,登陆该用户的账号后就能发现头像已经是我们的马了

image-20240609141306068

蚁剑连接成功

image-20240609141418463

升级shell

尝试了好久,反弹shell怎样也回不来……简单靶机也懒得重启排查了,直接上传个bind马连上去就好了

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=9002 -f elf > msf

image-20240609144015973

在/home目录下找到user.txt

image-20240609144127516

HMV{7920c4596aad1b9826721f4cf7ca3bf0}

提权

信息收集

在/var/www/html/employee目录下的admin.php文件中找到数据库配置文件

image-20240609145114063

fastandquicktobefaster

成功登入mysql,得到账密信息(但是没卵用)

mysql> select * from users;
select * from users;
+----+-----------------------------------+-----------------+--------------------+----------+----------------------+
| id | email                             | name            | password           | role     | profile_picture      |
+----+-----------------------------------+-----------------+--------------------+----------+----------------------+
|  1 | info@quick.hmv                    | Quick           | Qe62W064sgRTdxAEpr | admin    | uploads/1_admin.png  |
|  2 | nick.greenhorn@quick.hmv          | Nick Greenhorn  | C3ho049g4kwxTxuSUA | employee | uploads/2_2.jpg      |
|  3 | andrew.speed@quick.hmv            | Andrew Speed    | o30VfVgts73ibSboUP | employee | uploads/3_andrew.jpg |
|  4 | jack.black@email.hmv              | Jack Black      | 1Wd35lRnAKMGMEwcsX | customer |                      |
|  5 | mike.cooper@quick.hmv             | Mike Cooper     | Rh978db3URen64yaPP | employee | uploads/5_mike.jpg   |
|  6 | j.doe@email.hmv                   | John Doe        | 0i3a8KyWS2IcbmqF02 | customer |                      |
|  7 | jane_smith@email.hmv              | Jane Smith      | pL2a92Po2ykXytzX7y | customer |                      |
|  8 | frank@email.hmv                   | Frank Stein     | 155HseB7sQzIpE2dIG | customer |                      |
|  9 | fred.flinstone@email.hmv          | Fred Flinstone  | qM51130xeGHHxKZWqk | customer |                      |
| 10 | s.hutson@email.hmv                | Sandra Hutson   | sF217VruHNj6wbjofU | customer |                      |
| 11 | b.clintwood@email.hmv             | Bill Clintwood  | 2yLw53N0m08OhFyBXx | customer |                      |
| 12 | j.bond@email.hmv                  | James Bond      | 7wS93MQPiVQUkqfQ5T | customer |                      |
| 13 | d.trumpet@email.hmv               | Donald Trumpet  | f64KBw7cGvu1BkVwcb | customer |                      |
| 14 | m.monroe@email.hmv                | Michelle Monroe | f64KBw7cGvu1BkVwcb | customer |                      |
| 15 | jeff.anderson@quick.hmv           | Jeff Anderson   | 5dX3g8hnKo7AFNHXTV | employee | uploads/15_jeff.jpg  |
| 16 | lee.ka-shingn@quick.hmv@quick.hmv | Lee Ka-shing    | am636X6Rh1u6S8WNr4 | employee | uploads/16_lee.jpg   |
| 17 | laura.johnson@email.hmv           | Laura Johnson   | 95T3OmjOV3gublmR7Z | customer |                      |
| 18 | coos.busters@quick.hmv            | Coos Busters    | f1CD3u3XVo0uXumGah | employee | uploads/18_coos.jpg  |
| 19 | n.down@email.hmv                  | Neil Down       | Lj9Wr562vqNuLlkTr0 | customer |                      |
| 20 | t.green@email.hmv                 | Teresa Green    | 7zQ19L0HhFsivH3zFi | customer |                      |
| 21 | k.ball@email.hmv                  | Krystal Ball    | k1TI68MmYu8uQHhfS1 | customer |                      |
| 22 | juan.mecanico@quick.hmv           | Juan Mecnico   | 5a34pXYDAOUMZCoPrg | employee | uploads/22_juan.jpg  |
| 23 | john.smith@quick.hmv              | John Smith      | 5Wqio90BLd7i4oBMXJ | employee | uploads/23_john.jpg  |
| 24 | misty.cupp@email.hmv              | Misty Cupp      | c1P35bcdw0mF3ExJXG | customer |                      |
| 25 | lara.johnson@quick.hmv            | Lara Johnson    | 123                | employee | uploads/25_2.php     |
| 26 | j.daniels@email.hmv               | James Daniels   | yF891teFhjhj0Rg7ds | customer |                      |
| 27 | dick_swett@email.hmv              | Dick Swett      | y6KA4378EbK0ePv5XN | customer |                      |
| 28 | a.lucky@email.hmv                 | Anna Lucky      | c1P35bcdw0mF3ExJXG | customer |                      |
| 29 | 123@qq.com                        | 123             | 123                | customer |                      |
+----+-----------------------------------+-----------------+--------------------+----------+----------------------+
29 rows in set (0.00 sec)

然后祭出linpeas,发现有backup.sh

image-20240609151631366

#!/bin/bash
cd /var/www/html/
tar czf /var/backups/backup-website.tar.gz *

定时任务

定时任务里面也有相关任务

image-20240609151941299

gtfobins上有写怎么利用,因为*会把文件名当成参数读入,所以直接在/var/www/html/像下面这样构造即可

image-20240609164425078

image-20240609164838669

然后就能弹到shell了

image-20240609164920973

提权成功,root用户目录下找到flag

HMV{858d77929683357d07237ef3e3604597}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/25478.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

使用Spring Boot设计对象存储系统

对象存储系统是一种以对象为存储单位的存储架构,适合存储大量非结构化数据,如图片、音视频文件、文档等。MinIO是一个高性能的对象存储系统,基于开源和云原生的设计理念。本文将讨论如何使用Spring Boot设计一个类似MinIO的对象存储系统。 目…

Day17—JavaScript与Ajax请求分析

Ajax(Asynchronous JavaScript and XML)是一种在不重新加载整个页面的情况下,能够与服务器交换数据并更新部分网页的技术。随着Web应用的广泛使用,Ajax请求已成为动态网页数据加载的常见方式。在爬虫中处理JavaScript动态加载的数据,需要对Ajax请求有深入的理解。 1. Aja…

推荐三款你不知道的良心软件

Tico——抠图、拼图软件 抠图软件大家见过很多了把,但是从多张图片中抠出来的图片拼接成一张图片你们很少见过吧。 Tico就是一款将抠出来的图片拼接成一张新图片的软件,目前仅支持IOS平台。 Tico拼贴图提供了强大的图像编辑和处理功能,用户…

论文降痕指南:如何有效降低AIGC率

随着 AI 技术迅猛发展,各种AI辅助论文写作的工具层出不穷! 为了防止有人利用AI工具进行论文代写,在最新的学位法中已经明确规定“已经获得学位者,在获得该学位过程中如有人工智能代写等学术不端行为,经学位评定委员会…

连续状态方程的离散化例子

连续状态方程的离散化 在控制系统中,连续状态方程的离散化是一个重要的步骤,用于将连续时间系统转换为离散时间系统,以便在数字控制器中实现。这通常涉及将连续时间的微分方程转换为离散时间的差分方程。常用的离散化方法 前向欧拉法(Forward Euler)简单易实现,但精度较…

MoreTable 方法selectWithFun,count 使用实例

ORM Bee, example for MoreTable methods:selectWithFun,count ORM Bee时, MoreTable 方法selectWithFun,count 使用实例 package org.teasoft.exam.bee.osql;import org.teasoft.bee.osql.BeeException; import org.teasoft.bee.osql.FunctionType; import org.teasoft.be…

ssm615基于ssm的房源管理系统+vue【已测试】

前言:👩‍💻 计算机行业的同仁们,大家好!作为专注于Java领域多年的开发者,我非常理解实践案例的重要性。以下是一些我认为有助于提升你们技能的资源: 👩‍💻 SpringBoot…

312. 戳气球 Hard

有 n 个气球,编号为0 到 n - 1,每个气球上都标有一个数字,这些数字存在数组 nums 中。 现在要求你戳破所有的气球。戳破第 i 个气球,你可以获得 nums[i - 1] * nums[i] * nums[i 1] 枚硬币。 这里的 i - 1 和 i 1 代表和 i 相邻…

python脚本将视频抽帧为图像数据集

AI应用开发相关目录 本专栏包括AI应用开发相关内容分享,包括不限于AI算法部署实施细节、AI应用后端分析服务相关概念及开发技巧、AI应用后端应用服务相关概念及开发技巧、AI应用前端实现路径及开发技巧 适用于具备一定算法及Python使用基础的人群 AI应用开发流程概…

程序猿大战Python——pycharm软件的使用

基础配置 目标:了解PyCharm软件的基础配置处理。 修改背景颜色: Appearance -> Theme 修改字体大小: 搜索font -> Font 例如,一起完成背景、字体大小的修改。 总结: (1)如果要对PyChar…

专业场景化ChatGPT论文润色提示词指令,更精准、更有效辅助学术论文撰写

大家好,感谢关注。我是七哥,一个在高校里不务正业,折腾学术科研AI实操的学术人。可以添加我(yida985)交流学术写作或ChatGPT等AI领域相关问题,多多交流,相互成就,共同进步。 在学术写…

【ai】Audio2Face简介

Audio2Face 简介 FACEGOODAudio2Face是英伟达Omniverse平台的一部分,它使用先进的AI技术来生成基于音频输入的逼真面部动画。这个技术主要利用深度学习模型来解析人声,进而驱动一个三维模型的面部表情。下面是Audio2Face工作流程的详细说明: 预备阶段 在使用Audio2Face之前,…

Java基础 - Stream流操作

Stream将要处理的元素集合看作一种流&#xff0c;在流的过程中&#xff0c;借助Stream API对流中的元素进行操作&#xff0c;比如&#xff1a;筛选、排序、聚合等。 Stream流操作 遍历/匹配&#xff08;foreach、find、match&#xff09; List<Integer> list Arrays.…

二叉树最大宽度

文章目录 前言二叉树最大宽度1.题目解析2.算法原理3.代码编写 总结 前言 二叉树最大宽度 1.题目解析 给你一棵二叉树的根节点 root &#xff0c;返回树的 最大宽度 。 树的 最大宽度 是所有层中最大的 宽度 。 每一层的 宽度 被定义为该层最左和最右的非空节点&#xff08;即…

商城项目【尚品汇】08异步编排

文章目录 1.线程的创建方式1.1继承Thread类&#xff0c;重写run方法1.2实现Runnable接口&#xff0c;重写run方法。1.3实现Callable接口&#xff0c;重新call方法1.4以上三种总结1.5使用线程池创建线程1.5.1线程池创建线程的方式1.5.2线程池的七大参数含义1.5.3线程池的工作流程…

Java面向对象-[封装、继承、多态、权限修饰符]

Java面向对象-封装、继承、权限修饰符 一、封装1、案例12、案例2 二、继承1、案例12、总结 三、多态1、案例 四、权限修饰符1、private2、default3、protected4、public 一、封装 1、案例1 package com.msp_oop;public class Girl {private int age;public int getAge() {ret…

44.SQLserver中 DATEFROMPARTS() 函数的语法

1.基本语法&#xff1a; DATEFROMPARTS(year, month, day) 2.SQL参数 该函数接受三个参数&#xff0c;具体描述如下&#xff1a; year - 一个整数值&#xff0c;指定日期的’YEAR’部分&#xff0c;表示为整数。 month - 一个整数值&#xff0c;指定日期的’MONTH’部分。 day…

Redis系列-5 Redis分布式锁

背景&#xff1a; 本文介绍Redis分布式锁的内容&#xff0c;包括Redis相关命令和Lua脚本的介绍&#xff0c;以及操作分布式锁的流程与消息&#xff0c;最后结合Redission源码介绍分布式锁的实现原理。 1.基本命令 1.1 基本键值对的设置 设值: set key value 取值: get key …

SPI通信协议

SPI通信结介绍 W25Q64是一个Flash存储器芯片&#xff0c;内部可以存储8M字节的数据&#xff0c;并且是掉电不丢失的。 四根通信线&#xff1a;SCK&#xff08;Serial Clock&#xff09;串行时钟线、MOSI&#xff08;Master Output Slave Input&#xff09;主机输出从机输入、M…

【十大排序算法】快速排序

在乱序的世界中&#xff0c;快速排序如同一位智慧的园丁&#xff0c; 以轻盈的手法&#xff0c;将无序的花朵们重新安排&#xff0c; 在每一次比较中&#xff0c;沐浴着理性的阳光&#xff0c; 终使它们在有序的花园里&#xff0c;开出绚烂的芬芳。 文章目录 一、快速排序二、…