Vulnhub靶机
关注
分享
扫一扫
文章平均质量分 83
Ch4ser
Just keep chasing!
展开
-
Vulnhub - Hacker_Kid
Base64解码,发现admin账户密码,注释说是设置运行python的密码,联想起信息收集知道目标主机开放9999端口Tornado服务,而Tornado是一个基于Python的Web框架和异步网络库,所以猜测这里admin账户密码很可能是9999端口网站的。获取当前环境不同二进制文件的Capability,发现/usr/bin/python2.7的权限为cap_sys_ptrace+ep,允许跟踪所有进程,那么就可以考虑类似Windows进程注入的操作,注入root用户运行的进程,获取其权限。原创 2024-03-20 02:22:03 · 851 阅读 · 0 评论 -
Vulnhub - Raven2
usr/lib/mysql/plugin/是因为当前权限是www-data,大概率是不够的,这里是通过MySQL的root用户权限将/tmp/udf.so导出到了/usr/lib/mysql/plugin/目录。得知当前MySQL版本为5.5.6>5.2,secure_file_priv为空代表可以写入,插件路径为/usr/lib/mysql/plugin/,综上所述,符合UDF提权条件。Kali开启nc监听4444端口,访问/shell.php,成功收到会话,权限为www-data。原创 2024-03-18 08:33:36 · 782 阅读 · 0 评论 -
Vulnhub - Symfonos
发现attention.txt,将其下载到本地并查看,其内容为Zeus叫员工停止使用'epidioko', 'qwerty', 'baseball'这三个密码,被他发现就要炒鱿鱼了,那看来Zeus应该是个老板哈哈哈。其中Sharename为共享文件夹的名称:print$为打印机驱动程序的共享文件夹,helios为用户helios个人共享文件夹,anonymous为匿名共享文件夹,IPC$为IPC服务的共享文件夹。访问以下路径发现刚才的邮件已经写进去了,这里没有webshell代码是正常的,说明被执行了。原创 2024-03-17 09:45:17 · 1367 阅读 · 0 评论 -
Vulnhub - Jarbas
Nmap扫描目标主机,发现开放22、80、8080、3306端口,分别运行OpenSSH 7.4、Apache httpd 2.4.6、Jetty、MariaDB服务,目标操作系统为Linux。因开放3306端口,猜测可能为MySQL账号密码,尝试连接但失败。对于类Github的中间件,比如上个靶场Devguru的Gitea,都可以去寻找有没有命令执行的地方,然后尝试反弹shell。将bash反弹命令追加到后面去,Kali这边nc监听5555端口,等待一段时间,成功收到会话拿到root权限和flag。原创 2024-03-16 05:01:06 · 445 阅读 · 0 评论 -
Vulnhub - DevGuru
在GitHub找到Gitea源码,在该存储库下搜索关键字"pbkdf2",其使用pbkdf2算法进行加密,生成长度为50的hash值,迭代次数为10000,Salt就是之前的Bop8nwtUiM。MSF搜索Gitea相关漏洞发现CVE-2020-14144,该漏洞需要认证才可使用,我们现在已满足条件,设置好options然后run,成功拿下frank的普通用户权限。访问80端口页面如下。翻阅源码,发现 /config/database.php存在MySQL数据库账号密码泄露,用户为october。原创 2024-03-14 06:56:02 · 1025 阅读 · 0 评论 -
Vulnhub - Toppo
根据/admin/notes.txt中泄露的ssh密码(12345ted123),猜测用户名为ted,使用Xshell成功连接,得到普通用户权限ted。这个靶场个人觉得设计的有点不切实际。另外,辅助探测脚本还检测到NOPASSWD的SUDO命令:/usr/bin/awk(通过cat /etc/sudoers也能查到)直接通过/usr/bin/python2.7反弹shell,Kali这边nc监听反弹,成功拿到root权限和flag。检测到可利用的SUID权限的文件:/usr/bin/python2.7。原创 2024-03-14 03:30:28 · 547 阅读 · 0 评论 -
Vulnhub - DC-1
Nmap扫描目标主机,发现开放22、80、111、40884端口,分别运行OpenSSH 6.0p1、Apache httpd 2.2.22、rpcbind 2-4服务。MSF搜索Drupal,使用payload:exploit/unix/webapp/drupal_drupalgeddon2,成功拿到Web权限www-data。查询GTFOBins得知find的SUID提权方式如下,启用一个新的root权限的bash。上传综合辅助探测脚本LinEnum.sh至目标主机/tmp目录下,给予执行权限执行。原创 2024-03-14 02:19:26 · 481 阅读 · 0 评论 -
Vulnhub - Morpheus
得知系统为Debian 11,内核版本为5.10.0,检测到[CVE-2022-0847] DirtyPipe,并给出了EXP下载地址,但MSF收集有这个漏洞,直接搜索即可。MSF搜索CVE-2022-0847,使用payload:exploit/linux/local/cve_2022_0847_dirtypipe。dirbuster扫描80端口网站目录,访问发现/graffiti.php,是一个类似评论的页面。设置session并run,成功拿下root权限,随后得到/root目录下的flag。原创 2024-03-13 08:42:17 · 568 阅读 · 0 评论 -
VulnHub - DarkHole
得知系统为Ubuntu 20.04,内核版本为5.4.0,检测到[CVE-2021-4034] PwnKit,并给出了EXP下载地址,但MSF收集有这个漏洞,直接搜索即可。MSF搜索CVE-2021-4034,使用payload:exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec。登录admin用户,尝试上传webshell,但此处存在黑名单限制,利用特殊后缀.phtml成功绕过。Wappalyzer显示编程语言为PHP,操作系统为Ubuntu。原创 2024-03-13 07:17:28 · 464 阅读 · 0 评论 -
VulnHub - Lampiao
得知系统为Ubuntu 14.04,内核版本为4.4.0,检测到[CVE-2016-5195] dirtycow,并给出了EXP下载地址,我这里用的EXP是另外从EXP监控项目里找的。DirSearch扫描网站目录,发现/CHANGELOG.txt等多个敏感文件和目录,其内容显示Drupal版本为7.54。上传dcow.cpp至目标主机/tmp目录下,c++编译为目标文件dcow,python切换为pty环境执行dcow。Wappalyzer显示CMS为Drupal 7,编程语言为PHP。原创 2024-03-13 06:27:32 · 498 阅读 · 0 评论