靶机下载地址

Red: 1 << 点我

开始打靶

IP发现

nmap扫描网段发现靶机ip:192.168.111.142

端口发现

对靶机进行常规端口扫描

访问网站

到处点击发现存在一个可疑域名

修改hosts文件,在hosts文件底部添加:192.168.111.142 redrocks.win 即可,添加完成后刷新页面就可以了,查看页面源码,发现了一串注释。

翻译一下:还在找吗?也许你应该找麦斯勒先生帮忙,不过没关系,反正你用它什么也看不懂。

注释中提到了麦斯勒先生,也就是Mr.Miessler,百度一下看看到底是何方神圣,百度搜出了一个github链接。

是一个字典,大概能猜到提示的意思,就是让我们用这个字典找到红队藏在靶机里面的后门,下载下来,用wfuzz进行目录扫描。

wfuzz大致的用法是:wfuzz -c -z file,字典 --hc 需要过滤的响应码 http://redrocks.win/FUZZ

发现有个响应码为500的php,浏览器访问,发现连接超时,说明该页面是存在的,根据wfuzz得到的响应码500,猜测应该是缺少个参数,继续用wfuzz来fuzz参数

1 wfuzz -c -z file,/usr/share/wordlists/SecLists/Discovery/Web-Content/burp-parameter-names.txt --hc 404 http://redrocks.win/NetworkFileManagerPHP.php?FUZZ=test

在一堆500中得到一个200响应码

通过对传参值进行FUZZ:http://redrocks.win/NetworkFileManagerPHP.php?key=FUZZ

在一堆200中找到与众不同的,访问得知是文件包含漏洞:http://redrocks.win/NetworkFileManagerPHP.php?key=/etc/passwd

尝试包含后门文件:

哦豁,响应500诶,加上伪协议再次尝试:

还是500了,使用base64编码再次尝试:http://redrocks.win/NetworkFileManagerPHP.php?key=php://filter/read=convert.base64-encode/resource=NetworkFileManagerPHP.php

得到一串base64,解码得到源码

可以看到注释有一串可疑的base64,继续解码,得到一个提示:

提示中提到了hashcat的规则,根据文件包含的base64和源码中的base64,大概可以猜到,hashcat的规则应该是指base64编码,目前我们还没拿到账号密码,不过已经知道有文件包含,而且是一个wp的站点,拿到账号密码还不简单??利用文件包含查看配置文件:

http://redrocks.win/NetworkFileManagerPHP.php?key=php://filter/read=convert.base64-encode/resource=wp-config.php

解码得到数据库账号密码,猜测账号密码复用,但是上面提到hashcat的规则,那我们就使用hashcat的base64规则对密码进行处理,将数据库密码保存在文本文档中,然后运行命令:

hashcat --stdout passwd.txt -r /usr/share/hashcat/rules/best64.rule > passlist.txt

ssh连接

得到一些密码,使用hydra进行爆破
得到密码,使用ssh连接
连接成功,查看当前目录,发现有一个txt
使用cat发现是vim,看来cat和vim被调换了
意思是:对蓝猫指令有问题吗?
还时不时的弹出调侃语句
发现有个 ippsec 用户,而且他可以用time
好家伙,还会强制断开连接
使用刚才爆破得到的密码发现没办法连接了,看来密码是一次性的,每连接一次密码都会更换,重新连上后直接弹一个shell
 

切换用户

执行命令:sudo -u ippsec /usr/bin/time /bin/sh,切换到 ippsec 用户上
反弹成功,但是不好看,弹一个完整的shell,命令如下:
python3 -c 'import pty;pty.spawn("/bin/bash")'

export TERM=xterm # ctrl + z 退出 nc
stty raw -echo;fg  # 然后输出 reset 回车

stty rows 46 columns 188

发现 ippsec 用户目录下有一个txt文件,打开:

进入tmp目录下载pspy64,网传很好用,我来试试

赋予权限,运行,发现有个C语言的代码文件:

什么,你问我咋结束的。。。我也不知道,我直接ctrl+c了。

提权

检查 supersecretfileuc.c 文件

发现是一直弹出来打扰我清静的代码,是个定时任务,这就很easy了,替换 supersecretfileuc.c 文件:

删除 supersecretfileuc.c 和 rev 文件,然后编写 C语言的shell,然后上传到目标主机

等待反弹:

反弹成功。

查看root.txt

这是flag???网上都说是,那就是吧。

至此,渗透结束!

知识点总结

1、端口扫描

2、hosts文件

3、FUZZ

4、文件包含漏洞

5、hashcat 的 rule 使用

6、hydra ssh密码爆破

7、定时任务 反弹shell 提权

vulnhub靶场 --> Red: 1的更多相关文章

  1. vulnhub靶场之RED: 1

    准备: 攻击机:虚拟机kali.本机win10. 靶机:RED: 1,地址我这里设置的桥接,,下载地址:https://download.vulnhub.com/red/Red.ova,下载后直接Vi ...

  2. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  3. VulnHub靶场学习_HA: ARMOUR

    HA: ARMOUR Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-armour,370/ 背景: Klaw从“复仇者联盟”超级秘密基地偷走了一些盔甲 ...

  4. VulnHub靶场学习_HA: InfinityStones

    HA-InfinityStones Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-infinity-stones,366/ 背景: 灭霸认为,如果他杀 ...

  5. VulnHub靶场学习_HA: Avengers Arsenal

    HA: Avengers Arsenal Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-avengers-arsenal,369/ 背景: 复仇者联盟 ...

  6. VulnHub靶场学习_HA: Chanakya

    HA-Chanakya Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chanakya,395/ 背景: 摧毁王国的策划者又回来了,这次他创造了一个难 ...

  7. VulnHub靶场学习_HA: Pandavas

    HA: Pandavas Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-pandavas,487/ 背景: Pandavas are the warr ...

  8. VulnHub靶场学习_HA: Natraj

    HA: Natraj Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-natraj,489/ 背景: Nataraj is a dancing avat ...

  9. VulnHub靶场学习_HA: Chakravyuh

    HA: Chakravyuh Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chakravyuh,388/ 背景: Close your eyes a ...

  10. VulnHub靶场学习_HA:Forensics

    HA:Forensics Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-forensics,570/ 背景: HA: Forensics is an ...

随机推荐

  1. ArkUI中的线程和看门狗机制

    一.前言 本文主要分析ArkUI中涉及的线程和看门狗机制. 二.ArkUI中的线程 应用Ability首次创建界面的流程大致如下: 说明: • AceContainer是一个容器类,由前端.任务执行器 ...

  2. Docker学习路线12:开发者体验

    到目前为止,我们只讨论了使用Docker来部署应用程序.然而,Docker也是一个极好的用于开发应用程序的工具.可以采用一些不同的建议来改善开发体验. 在应用程序中使用docker-compose以方 ...

  3. 【FAQ】获取Push Token失败,如何进行排查?

    一. 获取Push Token的方式 获取Push Token有两种方式:一种是调用getToken方法向Push服务端请求Token,当getToken方法返回为空时,Token可通过onNewTo ...

  4. redis 简单整理——bitmaps[十二]

    前言 简单介绍一下bitmaps这个东西. 正文 我们都知道bitmaps 翻译过来就是二进制. 那么二进制可以存一些什么呢? 图片.视频,还可也存些什么呢? 现代计算机用二进制(位)作为信息的基础单 ...

  5. ABP -Vnext框架一步一步入门落地教程——ABP Vnext框架代码安装和启动(一)

    兄弟们,人生需要指引,而复制是成功最快的方式,让我们开始行动吧 --codesoft 教程介绍 ABP-Vnext框架我们之前摸了无数次,好象初恋的女孩,一直在靠近,一直在努力,一直不敢盯着她的眼睛说 ...

  6. PeLK:101 x 101 的超大卷积网络,同参数量下反超 ViT | CVPR 2024

    最近,有一些大型内核卷积网络的研究,但考虑到卷积的平方复杂度,扩大内核会带来大量的参数,继而引发严重的优化问题.受人类视觉的启发,论文提出了外围卷积,通过参数共享将卷积的复杂性从 \(O(K^{2}) ...

  7. 技术解读 | 智能开放搜索CTR预估模型

    ​简介:本文介绍开放搜索CTR预估模型在个性化排序中的应用与实践 如何评价搜索排序效果? 搜索是用户触达信息最简单直接的方式,是APP.网页必备的功能.如何评价并提升搜索效果一直是搜索领域的常见问题. ...

  8. 直播回顾:如何对付臭名昭著的 IO 夯?诊断利器来了 | 龙蜥技术

    ​简介:听到IO夯总是让人头疼,那有没有可以分析IO夯问题的利器? 编者按:sysAK(system analyse kit),是龙蜥社区(OpenAnolis)系统运维 SIG 下面的一个开源项目, ...

  9. [Go] 有了 cast 组件, golang 类型转换从此不再困扰

    在 golang 中,参数和返回值之间往往涉及 int.string.[].map 等之间的转换. 如果是手动去处理,一容易出错,二不能兼容多数类型,比较麻烦. 使用 cast,能够让代码更健壮.可维 ...

  10. [公链观点] BTC 1.0, ETH 2.0, EOS 3.0, Dapp, WASM, DOT, ADA, VNT

    Dapp 发展史 WASM 兼容Web的编码方式 Cardano(ADA 艾达币) 权益挖矿 VNT chain 解决联盟链和公链的跨链基础项目 跨链项目 Polkadot (DOT 波卡币) 是不是 ...