HA: Avengers Arsenal

Vulnhub靶场

下载地址:https://www.vulnhub.com/entry/ha-avengers-arsenal,369/

背景:

复仇者联盟本来是地球上最强大的英雄,但是如果没有可信赖的武器,有些英雄就不够强大。

目标是收集所有5种最强大的武器:

美队振金盾、雷神之锤、风暴战斧、洛基权杖、亚卡箭、

 

首页炫酷,好评:

点击Avengersbook发现是tony的主页

对IP进行全端口扫描

8191:

使用了MongoDB数据库,后续没有用到

8000:

8089:

找不到信息

80端口下:搜索常见的路径

http://192.168.136.172/robots.txt

访问该文件夹,发现一个压缩包,打开要密码,试了常见密码无果,怀疑是要信息收集生成密码(一般网页上有姓名、生日等就是要生成字典进行爆破的),

http://192.168.136.172/groot/

同时,源码提示Use Stark Information,所以给出的信息可以是要使用的。

通过pydictor这款工具生成字典,发现没有成功。

https://github.com/LandGrey/pydictor/blob/master/docs/doc/usage.md

fcrackzip -D -p sedb_152621.txt -u hammer.zip

未能成功枚举出来。

思考了下,发现该工具主要是针对中国人的姓名、日期习惯规定的,所以找了个适用于外国人的社工字典库。经典的cupp试试,同时它也存在适合国内的cupper。

fcrackzip -D -p tony.txt -u hammer.zip

密码为:Stark12008

还要密码

再次尝试上面两个密码文件爆破,pdf爆破利用pdfcrack

pdfcrack -f mjlonir.pdf -w tony.txt

成功获取到雷神之锤的flag

Mjølnir:{4A3232C59ECDA21AC71BEBE3B329BF36}

目录扫描发现的路径:

http://192.168.136.172/.git/

使用.git工具抓取下,发现获取到的数据与访问的存在区别,下载的文件没有想要的flag。

是对其他靶机的介绍与分类

访问目录,依次访问查找有用信息

发现了除了上面之外的链接

http://192.168.136.172/.git/logs/HEAD

https://github.com/Hackingzone/hackingarticles

点击updated

Base64加密

美队振金盾的falg:

Captain America's Shield:{061786D9A8BB89A2FE745DD26FE2E13C}

通过目录扫描发现的

http://192.168.136.172/images/

6.gif总是显得格格不入

怀疑隐写,却不是。

17.jpeg,存在二维码,有戏

打开17.jpeg是个二维码,读取是spammimic

度娘第一条,http://www.spammimic.com

spammimic是一种加密的方式

那要破解的数据呢,接着翻

尝试下目录

http://192.168.136.172/spammimic/scepter.txt

http://www.spammimic.com往下拉,选择空格

洛基权杖的flag

Scepter:{469F1394A349DCF8A742653CE093FA80}

目录扫描的结果验证完后,开始查看网页的源码,查找信息

view-source:http://192.168.136.172/

发现存在跳转

http://192.168.136.172/ravagers.html

Hex解密

a g e n t : a v e n g e r s

这就和8000端口的登录界面相切合了呀

登录成功,发现是个没接触过的管理平台

百度百科的介绍

左点点右点点:发现了个上传点

尝试上传webshell:

发现上传的文件直接保存在tmp下

通过谷歌查下该程序的漏洞

https://github.com/TBGSecurity/splunk_shells

https://bbs.mayidui.net/t3017.html

利用该poc

由于该poc是用来模拟人为的登录,上传应用包来达到反弹shell的目的,可能由于版本的原因(登录进来后正式版试用已结束,必须修改为免费版),会卡在这里。

只能自己将下面生成的这个文件包上传,从而反弹shell。成功上传会出现shell-app的样式(如上)

成功反弹shell,并修改原本的poc,仅保留生成shell包的部分。

由于不是交互式shell,利用python重新反回交互式shell

python -c "import pty;pty.spawn('/bin/bash');"

由于我们登录进来的密码是从亚卡箭处的跳转找到的,所以该权限下应该是能够获取亚卡箭的flag的。

通过搜索拥有查看权限的文件

find -name *yaka* 2>/dev/null

查看txt

通过将该文件copy到网页将其下载

给予下载权限

获得亚卡箭的flag:

Yaka Arrow:{74E57403424607145B9B77809DEB49D0}

剩下最后一个肯定是提权在root下获取

尝试Passwd,但passwd 不可写

尝试利用suid提权

find / -user root -perm -4000 -print 2>/dev/null

在opt下存在,opt正好是yaka_flag的路径

运行这个ignite

这不就是ifconfig吗

hd /opt/ignite

反编译可以看见system运行ifconfig

通过path改变ifconfig 的位置

echo "/bin/bash" >/tmp/ifconfig

chmod +x /tmp/ifconfig

export PATH=/tmp:$PATH

/opt/ignite

查看root下文件

风暴战斧的falg

Storm Breaker:{0C683E44D2F04C6F62B99E87A38CF9CC}

end.

VulnHub靶场学习_HA: Avengers Arsenal的更多相关文章

  1. VulnHub靶场学习_HA: InfinityStones

    HA-InfinityStones Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-infinity-stones,366/ 背景: 灭霸认为,如果他杀 ...

  2. VulnHub靶场学习_HA: ARMOUR

    HA: ARMOUR Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-armour,370/ 背景: Klaw从“复仇者联盟”超级秘密基地偷走了一些盔甲 ...

  3. VulnHub靶场学习_HA: Chanakya

    HA-Chanakya Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chanakya,395/ 背景: 摧毁王国的策划者又回来了,这次他创造了一个难 ...

  4. VulnHub靶场学习_HA: Pandavas

    HA: Pandavas Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-pandavas,487/ 背景: Pandavas are the warr ...

  5. VulnHub靶场学习_HA: Natraj

    HA: Natraj Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-natraj,489/ 背景: Nataraj is a dancing avat ...

  6. VulnHub靶场学习_HA: Chakravyuh

    HA: Chakravyuh Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chakravyuh,388/ 背景: Close your eyes a ...

  7. VulnHub靶场学习_HA:Forensics

    HA:Forensics Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-forensics,570/ 背景: HA: Forensics is an ...

  8. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  9. Vulnhub靶场——DC-1

    记一次Vulnhub靶场练习记录 靶机DC-1下载地址: 官方地址 https://download.vulnhub.com/dc/DC-1.zip 该靶场共有5个flag,下面我们一个一个寻找 打开 ...

随机推荐

  1. CDNbest-设置不缓存

    写在开始之前 有时候根据业务需求,我们网站不需要缓存,这时候就需要设置下 让网站不走缓存 步骤一 登录平台找到我们的站点->站点设置->缓存设置 如图 备注:填写需要操作的域名,时间为&q ...

  2. 我们是怎么实现Grpc CodeFirst

    前言: Grpc默认是ProtoFirst的,即先写 proto文件,再生成代码,需要人工维护proto,生成的代码也不友好,所以出现了Grpc CodeFirst,下面来说说我们是怎么实现Grpc ...

  3. HDU 1754 I hate it 树状数组维护区间最大值

    Problem Description 很多学校流行一种比较的习惯.老师们很喜欢询问,从某某到某某当中,分数最高的是多少.这让很多学生很反感. 不管你喜不喜欢,现在需要你做的是,就是按照老师的要求,写 ...

  4. Redis系列(一):小试牛刀

    引言 随着互联网的高速发展,传统的关系数据库(如MySQL.Microsoft SQL Server等)已不能满足日益增长的业务需求,如商品秒杀.抢购等及时性非常强的功能,随着应用高并发的访问,会造成 ...

  5. 最便捷的神经网络可视化工具之一--Flashtorch

    前言 几周前,我在AnitaB.org组织的Hopperx1 London上发表了演讲作为伦敦科技周的一部分. 在演讲结束后,我收到了热烈的反馈,所以我决定写一个稍微长一点的演讲版本来介绍FlashT ...

  6. 打造Worktile敏捷开发管理工具的思与惑

    从2019年初,我们团队准备开发一款适合研发团队使用的敏捷开发管理工具,那时候我们也在思考,到底什么样的工具才算是优秀的研发管理工具,研发管理的场景.方法和流派有很多,市面上关于研发管理工具的产品也是 ...

  7. 解析PE文件

    最近在自学解析PE文件,根据小辣椒(CFF Explorer)以及各论坛上大佬的帖子,做了个黑屏打印PE文件的,历时7天完成,在此想跟有相关需要的同学们分享下思路,有不足之处也希望大家不吝赐教,指点出 ...

  8. coding++:SpringBoot 处理前台字符串日期自动转换成后台date类型的三种办法

    第(1)种: 使用@DateTimeFormat(pattern = “yyyy-MM-dd HH:mm:ss”)注解在实体字段上. 这种方式的优点是:可以灵活的定义接收的类型 缺点很明显:不能全局统 ...

  9. js原生模拟new 关键字

    function newOperator(ctor){ if(typeof ctor !== 'function'){ throw 'newOperator function the first pa ...

  10. mac主机无法访问虚拟机中的Ubuntu运行的web服务

    第一点: 检查主机和虚拟机之间是否连通: 在mac主机中ping 虚拟机ip 虚拟机ip可以在虚拟机命令行中输入 ifconfig查看 第二点: 如果不能ping通,改变虚拟机的网络连接方式为:桥接模 ...