6、evil box one

低—>中

目标:获取root权限以及2个flag

主机发现

靶机 192.168.1100.40

或者使用fping -gaq 192.168.100.1/24发现主机使用ping的方式。

端口扫描

发现开放了22和80

可以使用-A参数,-A参数会得到更多的扫描细节

访问80端口就是一个apache的基本的页面,按照管理习惯性的扫描目录

使用gobuster进行扫描

需要指定字典,这里使用的seclists的字典,这个字典我之前也没用过也不知道怎么样,不过应该也是挺全的吧

gobuster dir -u http://192.168.100.40 -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html

爆出一个secret和robots

访问secret什么都没有,robots里面有个Hello H4x0r 可以留意一下这个H4x0r,可以拿去尝试进行一下ssh的爆破。

不过这个gobuster确实速度很快,dirsearch慢多了

有了secret继续爆下一级目录看有没有其他的东西

扫到一个evil.php 一看就是很有关系的页面,但是访问了还是以前空白啥也没有,这个时候就可以尝试fuzz一下参数了

使用ffuf,此为kali自带的工具

首先正常的思路是参数和值两个位子都进行fuzz,那么命令:

分别指定两个字典并且赋予别名然后填在url的位置,-fs的意思是不看返回的结果大小为0 -c是上色

这样也并没有跑出东西来,字典我就随便加了几个数字字符啥的。

这里想到了就有也就是文件包含漏洞,挺抽象的有种做ctf的感觉要靠猜。参数还是未知的,值可以尝试使用../index.html看能否包含根目录下的index.html

改变一下命令

在只有一个字典的情况下使用FUZZ占位

可以看到有反应了,在command的参数下有了数据

确实包含到了文件

既然可以包含本地文件那么可以尝试是否可以包含远程文件,但是远程文件的包含需要开启一个东西一般情况下是默认关闭的。

尝试包含了kali的80端口下的文件发现没有反应。说明并没有开启这个功能。

尝试php://input直接执行也不可以

使用filter过滤器读取evil的源码,成功读取了但是源码内容真就是include()。。。

尝试使用filter写入文件,我之前从没有遇到过可以写入的所以都忘记了filter还有写的方式

写入的数据可以使用base64也可以使用其他的比如什么rot13

php://filter/write=convert.base64-decode/resource=test.php&txt=PD8gcGhwaW5mbygpOyA/Pg==

我估计写入是需要权限的一般情况下也是无法写入数据的所以这里也是失败了。

到此处利用文件包含似乎无法直接通过封装器拿到shell,那么转换思路继续使用文件读取读取一些敏感文件看是否有新的收获

当读取到etc/passwd的文件的时候,发现除了root用户还有一个可以登录的用户mowree。很好线索来了,可以尝试利用此账户去爆破ssh

不过这里的利用方式也是挺细节的

ssh mowre@192.168.100.40 -v 使用-v显示详细的细节

可以使用秘钥进行登录,一般在服务器上开启了这个功能的话会在.ssh下面生成一个公钥文件authorized_keys

那么尝试一下看能否读取到文件

成功读取到这个公钥文件

文件也提示了使用的rsa的加密算法那么如果没有改名的话默认的私钥名称就是id_rsa

成功读取到私钥

把它复制保存下来并且赋权chmod 600 不赋权是使用不了的这是Linux的保护机制

在使用私钥登录时又遇到了新的问题,私钥还被进行了一层加密。。。

┌──(root㉿kali)-[~/.ssh]

└─# ssh mowre@192.168.100.40 -i mowre_rsa

Enter passphrase for key 'mowre_rsa':

没有办法,只能尝试使用工具来爆破这个私钥了

这里使用john

首先需要使用john自带的脚本将id_rsa转换为hash文件

cd /usr/share/john

./ssh2john.py ~/.ssh/mowre_rsa > /home/vanish/scripts/hash

爆破的字典使用kali自带的名为rockyou的大字典

cp /usr/share/wordlists/rockyou.txt.gz ./

gunzip rockyou.txt.gz

然后使用john进行爆破

也是很快就爆破出来了

密码为unicorn

终于成功的突破了边界

接下来就是尝试提权的操作了,但是尝试了常见的提权方式并没有结果

这个时候选择直接上传提权辅助脚本上去刷一下

项目连接:https://github.com/peass-ng/PEASS-ng 挺全的,一直在更新

脚本提示匹配到了两个CVE可以利用,不过继续往后看到了

/etc/passwd竟然是可写的

那直接向里面写入一个新的高权限用户可以吗,正常情况下这个文件是只有root才可以改写的

那么这里可以选择写入一个新的用户或者修改原来的里面用户的内容

这个x其实就是秘密的地方,但是为了安全都放到shadow下面去了,如果对这里的x进行修改为密码那么就会会使用这里的密码额而不是shadow那边的密码

但是Linux中的密码都有加密算法的,这里使用openssl passwd -1生成 也就是MD5

123456加密结果为$1$RS8gC1Yn$yuaP7i.uPcRZ5XMclvJC9.

成功修改后

使用nano进行的编辑,用的不怎么习惯啊,ctrl +O 保存 ctrl + X 退出

成功提权至root权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/46100.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于Python/MATLAB长时间序列遥感数据处理及在全球变化、植被物候提取、植被变绿与生态系统固碳分析、生物量估算与趋势分析应用

植被是陆地生态系统中最重要的组分之一,也是对气候变化最敏感的组分,其在全球变化过程中起着重要作用,能够指示自然环境中的大气、水、土壤等成分的变化,其年际和季节性变化可以作为地球气候变化的重要指标。此外,由于…

怎么安装Manim库在Windows环境下的Jupyter Notebook上

Manim 是解释性数学视频的动画引擎。 您可以使用它来制作数学视频(或其他字段)。也许你们会在有有些平台上会看过特别好看的数学动画,例如 3Blue1Brown等。这些动画特别好看,还特别丝滑,基本找不到太大的毛病。 我当初…

推荐 2 个 硬核的 AI 开源项目

01 AI 助手在你的终端中配对编程 Aider 由 Paul Gauthier 精心打造的开源AI配对编程工具,已经在GitHub上赢得了超过 12.8k 颗星星,人气爆棚! 这不仅仅是个工具,它是你在终端中的 AI 编程伙伴,帮你编辑存储在本地 Git 仓…

mavsdk_server安卓平台编译

1.下载好mavsdk并进入mavsdk目录 2.生成docker安卓平台文件 docker run --rm dockcross/android-arm64 >./dockcross-android-arm64 3.生成makefile ./dockcross-android-arm64 cmake -DCMAKE_BUILD_TYPERelease -DBUILD_MAVSDK_SERVERON -DBUILD_SHARED_LIBSOFF -Bbuild/…

JS进阶-异常处理

学习目标&#xff1a; 掌握异常处理 学习内容&#xff1a; throw抛异常try/catch捕获异常debugger throw抛异常&#xff1a; 异常处理是预估代码执行过程中可能发生的错误&#xff0c;然后最大程度的避免错误的发生导致整个程序无法继续运行。 <title>throw抛异常</…

前端面试题-怎样获取 url 地址栏 ? 后面的查询字符串,并以键值对形式放到对象里面

哈喽小伙伴们大家好!今天继续更新面试题系列文章 以百度为例&#xff1a; 我们以百度搜索掘金&#xff0c;url 为以下格式 https://cn.bing.com/search?q%E7%A8%80%E5%9C%9F%E6%8E%98%E9%87%91&formANNTH1&refig668f422a37c343b6b0f4ac940f65d043&pcEDGENTP&am…

免费的AI抠图工具 毫秒级抠图 离线可用 -鲜艺AI抠图

鲜艺AI抠图是一款免费的AI抠图工具&#xff0c;不登录、不联网&#xff0c;内嵌 AI 模型&#xff0c;快至毫秒级抠图&#xff0c;支持批量抠图&#xff0c;支持点击按钮选择图片、拖入图片、粘贴图片、粘贴图片链接、从网页拖入图片&#xff0c;支持Windows和macos&#xff0c;…

使用 NumPy 及其相关库(如 pandas、scikit-learn 等)时,由于 NumPy 的版本不兼容或者某些依赖库与 NumPy 的版本不匹配

题意&#xff1a; numpy.dtype size changed, may indicate binary incompatibility. Expected 96 from C header, got 88 from PyObject 问题背景&#xff1a; I want to call my Python module from the Matlab. I received the error: Error using numpy_ops>init thi…

戴尔inspiron如何独显直连?

&#x1f3c6;本文收录于《CSDN问答解惑-专业版》专栏&#xff0c;主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案&#xff0c;希望能够助你一臂之力&#xff0c;帮你早日登顶实现财富自由&#x1f680;&#xff1b;同时&#xff0c;欢迎大家关注&&收…

解决安卓tv 蓝牙遥控器配对后输入法弹不出来的问题

t972在蓝牙配对后&#xff0c;自带的LatinIME 输入法会出现弹不出来的现象。 经过分析&#xff0c;主要为蓝牙的kl 文件适配存在问题。解决如下&#xff1a; 1.新建 kl文件 这个需要结合选用的遥控器来设定名称&#xff0c;我这边的遥控器是按照如下配置的 Vendor_2b54_Pr…

用户登陆实现前后端JWT鉴权

目录 一、JWT介绍 二、前端配置 三、后端配置 四、实战 一、JWT介绍 1.1 什么是jwt JWT&#xff08;JSON Web Token&#xff09;是一种开放标准&#xff08;RFC 7519&#xff09;&#xff0c;用于在各方之间以安全的方式传输信息。JWT 是一种紧凑、自包含的信息载体&…

【Android面试八股文】组件化在项目中有什么意义?

一、没有组件化会出现什么问题? 早期的单一分层模式 问题一:无论分包怎么做,随着项目增大,项目失去层次感,后面接手的人扑街问题二:包名约束太弱,稍有不注意,就会不同业务包直接互相调用,代码高耦合问题三:多人开发在版本管理中,容易出现代码覆盖冲突等问题二、组件…

【Linux】Linux的账号和用户组

管理员的工作中&#xff0c;相当重要的一环就是【管理账号】。 因为整个系统都是你在管理&#xff0c;并且所有一般用户的账号申请&#xff0c;都必须要通过你的协助才行&#xff0c;所以你就必须要了解一下如何管理好一个服务器主机的账号。 在管理Linux主机的账号时&#xff…

Django 删除单行数据

1&#xff0c;添加模型 from django.db import modelsclass Post(models.Model):title models.CharField(max_length200)content models.TextField()pub_date models.DateTimeField(date published)class Book(models.Model):title models.CharField(max_length100)author…

121. 小红的区间翻转(卡码网周赛第二十五期(23年B站笔试真题))

题目链接 121. 小红的区间翻转&#xff08;卡码网周赛第二十五期&#xff08;23年B站笔试真题&#xff09;&#xff09; 题目描述 小红拿到了两个长度为 n 的数组 a 和 b&#xff0c;她仅可以执行一次以下翻转操作&#xff1a;选择a数组中的一个区间[i, j]&#xff0c;&#x…

顺序表算法 - 移除元素

. - 力扣&#xff08;LeetCode&#xff09;. - 备战技术面试&#xff1f;力扣提供海量技术面试资源&#xff0c;帮助你高效提升编程技能,轻松拿下世界 IT 名企 Dream Offer。https://leetcode.cn/problems/remove-element/description/思路: 代码: // numsSize表示数组的长度 …

网络安全——防御课实验二

在实验一的基础上&#xff0c;完成7-11题 拓扑图 7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT&#xff0c;并且需要保留一个公网IP不能用来转换) 首先&#xff0c;按照之前的操作&#xff0c;创建新的安全区&#xff08;电信和移动&#xff09;分别表示两个外网…

Readiris PDF Corporate / Business v23 解锁版安装教程 (PDF管理软件)

前言 Readiris PDF Corporate / Business 是一款高性能的 OCR&#xff08;光学字符识别&#xff09;软件&#xff0c;能够帮助用户将纸质文档、PDF 文件或图像文件转换为可编辑和可搜索的电子文本。该软件提供专业级的功能和特性&#xff0c;非常适合企业和商业使用。使用 Rea…

基于lstm的股票Volume预测

LSTM&#xff08;Long Short-Term Memory&#xff09;神经网络模型是一种特殊的循环神经网络&#xff08;RNN&#xff09;&#xff0c;它在处理长期依赖关系方面表现出色&#xff0c;尤其适用于时间序列预测、自然语言处理&#xff08;NLP&#xff09;和语音识别等领域。以下是…

LabVIEW人工模拟肺控制系统开发

开发了一种创新的主被动一体式人工模拟肺模型&#xff0c;通过LabVIEW开发的上位机软件&#xff0c;实现了步进电机驱动系统的精确控制和多种呼吸模式的模拟。该系统不仅能够在主动呼吸模式下精确模拟快速呼吸、平静呼吸和深度呼吸&#xff0c;还能在被动模式下通过PID控制实现…