HA: Avengers Arsenal

Vulnhub靶场

下载地址:https://www.vulnhub.com/entry/ha-avengers-arsenal,369/

背景:

复仇者联盟本来是地球上最强大的英雄,但是如果没有可信赖的武器,有些英雄就不够强大。

目标是收集所有5种最强大的武器:

美队振金盾、雷神之锤、风暴战斧、洛基权杖、亚卡箭、

 

首页炫酷,好评:

点击Avengersbook发现是tony的主页

对IP进行全端口扫描

8191:

使用了MongoDB数据库,后续没有用到

8000:

8089:

找不到信息

80端口下:搜索常见的路径

http://192.168.136.172/robots.txt

访问该文件夹,发现一个压缩包,打开要密码,试了常见密码无果,怀疑是要信息收集生成密码(一般网页上有姓名、生日等就是要生成字典进行爆破的),

http://192.168.136.172/groot/

同时,源码提示Use Stark Information,所以给出的信息可以是要使用的。

通过pydictor这款工具生成字典,发现没有成功。

https://github.com/LandGrey/pydictor/blob/master/docs/doc/usage.md

fcrackzip -D -p sedb_152621.txt -u hammer.zip

未能成功枚举出来。

思考了下,发现该工具主要是针对中国人的姓名、日期习惯规定的,所以找了个适用于外国人的社工字典库。经典的cupp试试,同时它也存在适合国内的cupper。

fcrackzip -D -p tony.txt -u hammer.zip

密码为:Stark12008

还要密码

再次尝试上面两个密码文件爆破,pdf爆破利用pdfcrack

pdfcrack -f mjlonir.pdf -w tony.txt

成功获取到雷神之锤的flag

Mjølnir:{4A3232C59ECDA21AC71BEBE3B329BF36}

目录扫描发现的路径:

http://192.168.136.172/.git/

使用.git工具抓取下,发现获取到的数据与访问的存在区别,下载的文件没有想要的flag。

是对其他靶机的介绍与分类

访问目录,依次访问查找有用信息

发现了除了上面之外的链接

http://192.168.136.172/.git/logs/HEAD

https://github.com/Hackingzone/hackingarticles

点击updated

Base64加密

美队振金盾的falg:

Captain America's Shield:{061786D9A8BB89A2FE745DD26FE2E13C}

通过目录扫描发现的

http://192.168.136.172/images/

6.gif总是显得格格不入

怀疑隐写,却不是。

17.jpeg,存在二维码,有戏

打开17.jpeg是个二维码,读取是spammimic

度娘第一条,http://www.spammimic.com

spammimic是一种加密的方式

那要破解的数据呢,接着翻

尝试下目录

http://192.168.136.172/spammimic/scepter.txt

http://www.spammimic.com往下拉,选择空格

洛基权杖的flag

Scepter:{469F1394A349DCF8A742653CE093FA80}

目录扫描的结果验证完后,开始查看网页的源码,查找信息

view-source:http://192.168.136.172/

发现存在跳转

http://192.168.136.172/ravagers.html

Hex解密

a g e n t : a v e n g e r s

这就和8000端口的登录界面相切合了呀

登录成功,发现是个没接触过的管理平台

百度百科的介绍

左点点右点点:发现了个上传点

尝试上传webshell:

发现上传的文件直接保存在tmp下

通过谷歌查下该程序的漏洞

https://github.com/TBGSecurity/splunk_shells

https://bbs.mayidui.net/t3017.html

利用该poc

由于该poc是用来模拟人为的登录,上传应用包来达到反弹shell的目的,可能由于版本的原因(登录进来后正式版试用已结束,必须修改为免费版),会卡在这里。

只能自己将下面生成的这个文件包上传,从而反弹shell。成功上传会出现shell-app的样式(如上)

成功反弹shell,并修改原本的poc,仅保留生成shell包的部分。

由于不是交互式shell,利用python重新反回交互式shell

python -c "import pty;pty.spawn('/bin/bash');"

由于我们登录进来的密码是从亚卡箭处的跳转找到的,所以该权限下应该是能够获取亚卡箭的flag的。

通过搜索拥有查看权限的文件

find -name *yaka* 2>/dev/null

查看txt

通过将该文件copy到网页将其下载

给予下载权限

获得亚卡箭的flag:

Yaka Arrow:{74E57403424607145B9B77809DEB49D0}

剩下最后一个肯定是提权在root下获取

尝试Passwd,但passwd 不可写

尝试利用suid提权

find / -user root -perm -4000 -print 2>/dev/null

在opt下存在,opt正好是yaka_flag的路径

运行这个ignite

这不就是ifconfig吗

hd /opt/ignite

反编译可以看见system运行ifconfig

通过path改变ifconfig 的位置

echo "/bin/bash" >/tmp/ifconfig

chmod +x /tmp/ifconfig

export PATH=/tmp:$PATH

/opt/ignite

查看root下文件

风暴战斧的falg

Storm Breaker:{0C683E44D2F04C6F62B99E87A38CF9CC}

end.

VulnHub靶场学习_HA: Avengers Arsenal的更多相关文章

  1. VulnHub靶场学习_HA: InfinityStones

    HA-InfinityStones Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-infinity-stones,366/ 背景: 灭霸认为,如果他杀 ...

  2. VulnHub靶场学习_HA: ARMOUR

    HA: ARMOUR Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-armour,370/ 背景: Klaw从“复仇者联盟”超级秘密基地偷走了一些盔甲 ...

  3. VulnHub靶场学习_HA: Chanakya

    HA-Chanakya Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chanakya,395/ 背景: 摧毁王国的策划者又回来了,这次他创造了一个难 ...

  4. VulnHub靶场学习_HA: Pandavas

    HA: Pandavas Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-pandavas,487/ 背景: Pandavas are the warr ...

  5. VulnHub靶场学习_HA: Natraj

    HA: Natraj Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-natraj,489/ 背景: Nataraj is a dancing avat ...

  6. VulnHub靶场学习_HA: Chakravyuh

    HA: Chakravyuh Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chakravyuh,388/ 背景: Close your eyes a ...

  7. VulnHub靶场学习_HA:Forensics

    HA:Forensics Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-forensics,570/ 背景: HA: Forensics is an ...

  8. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  9. Vulnhub靶场——DC-1

    记一次Vulnhub靶场练习记录 靶机DC-1下载地址: 官方地址 https://download.vulnhub.com/dc/DC-1.zip 该靶场共有5个flag,下面我们一个一个寻找 打开 ...

随机推荐

  1. 大数据软件安装之HBase(NoSQL数据库)

    一.安装部署 1.Zookeeper正常部署 (见前篇博文大数据软件安装之ZooKeeper监控 ) [test@hadoop102 zookeeper-3.4.10]$ bin/zkServer.s ...

  2. JAVA EE,JAVA SE,JAVA ME,JDK,JRE,JVM之间的区别

    JAVA EE是开发企业级应用,主要针对web开发有一套解决方案. JAVA SE是针对普通的桌面开发和小应用开发. JAVA ME是针对嵌入式设备开发,如手机. JRE是程序的运行环境 JDK是程序 ...

  3. JDK_API关于时间的表达

    判断日期是否是闰年 给定格式格式化 第二种表示时间的 Date        java.util         类 Date 表示特定的瞬间,精确到毫秒. 构造方法            Date( ...

  4. spring的ioc依赖注入的三种方法(xml方式)

    常见的依赖注入方法有三种:构造函数注入.set方法注入.使用P名称空间注入数据.另外说明下注入集合属性 先来说下最常用的那个注入方法吧. 一.set方法注入 顾名思义,就是在类中提供需要注入成员的 s ...

  5. python set() leetcode 签到820. 单词的压缩编码

    题目 给定一个单词列表,我们将这个列表编码成一个索引字符串 S 与一个索引列表 A. 例如,如果这个列表是 ["time", "me", "bell& ...

  6. Manjaro更新后 搜狗拼音输入法突然无法正常使用

    之前Manjaro已经用了很久了,很多该配置的都已经配置好了,但是搜狗拼音在系统更新后突然无法使用 1检查 如下依赖 2.检查配置文件 3.发现一切配置没问题,此时输入 sogou-qimpanel ...

  7. Redis 缓存更新一致性

    当执行写操作后,需要保证从缓存读取到的数据与数据库中持久化的数据是一致的,因此需要对缓存进行更新. 因为涉及到数据库和缓存两步操作,难以保证更新的原子性. 在设计更新策略时,我们需要考虑多个方面的问题 ...

  8. Java基础语法(8)-数组中的常见排序算法

    title: Java基础语法(8)-数组中的常见排序算法 blog: CSDN data: Java学习路线及视频 1.基本概念 排序: 是计算机程序设计中的一项重要操作,其功能是指一个数据元素集合 ...

  9. Dockerfile极简入门与实践

    前文中,罗列了docker使用中用到的基本命令 此文,将会对怎样使用Dockerfile去创建一个镜像做简单的介绍 Dockerfile命令 要开始编写Dockerfile,首先要对相关的命令有个清晰 ...

  10. 纯html加css的键盘UI效果图

    先上效果图: 没有打字的功能,纯属是个界面图(一时无聊写的) 代码如下: <!DOCTYPE html> <html> <head> <meta charse ...