靶机地址:https://www.vulnhub.com/entry/pinkys-palace-v1,225/
靶机难度:中级(CTF)
靶机发布日期:2018年3月6日
靶机描述:Box信息:使用仅DHCP主机和桥接适配器类型在VirtualBox上进行了测试。
难以获得用户:简单/中级
扎根困难:容易/中级
目标:得到root权限&找到flag.txt
作者:DXR嗯嗯呐
nmap扫描IP
nmap扫描端口
8080 http nginx 1.10.3
31337 http-proxy squid 3.5.23
64666 openssh7.4
直接访问8080端口返回403
403forbidden :一个HTTP协议的状态码,简单理解为没有权限访问此站。该状态表示服务器理解了本次请求但是拒绝执行该任务,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。
配置192.168.56.11:31337,访问8080端口
curl -i --proxy http://192.168.56.11:31337http://127.0.0.1:8080/
可以访问
这里将url的IP配置为127.0.0.1,是因为通过 *** 传递http求情时,127.0.0.1指向 *** 服务器的地址(192.168.56.11)也就是靶机的地址。
使用gobuster爆破目录
gobuster dir -p http://192.168.56.11:31337-u http://127.0.0.1:8080-t 30 -w /usr/share/wordlists/dirbuster/directory-list-2.3- *** all.txt -s 200,301,302
Gobuster这款工具基于Go编程语言开发,可使用该工具来对目录、文件、DNS和VHost等对象进行暴力破解攻击。
dir:传统的目录爆破模式;
dns:DNS子域名爆破模式;
vhost:虚拟主机爆破模式;
-p: *** 配置
-u:URL连接
-t:线程数(默认是10)
-w:字典,本次使用的是用的DirBuster的字典。
-s:只显示200,301,302状态的网页
找到了一个/littlesecrets-main目录
测试一下显示:账号或密码错误,这样也没办法依次爆破账号密码
使用burpsuite抓包,sqlmap跑一下看看,
因为需要 *** ,首先在user options模块设置 ***
在proxy模块设置浏览器访问的 ***
浏览器 *** 设置为127.0.0.1:8080,就可以抓到包了
使用sqlmap测试,发现http消息头user-agent参数存在基于时间的盲注
sqlmap --proxy="http://192.168.56.11:31337"? -r sqlmap.txt --level 3 --batch
使用sqlmap找到登陆的账号密码
sqlmap --proxy="http://192.168.56.11:31337"? -r sqlmap.txt --level 3 --batch -D pinky_sec_db -T users -C user,pass --dump
密码是MD5加密,解密获得
pinkymanage\3pinkysaf33pinkysaf3
pinky\f543dbfeaf238729831a321c7a68bee4 (破解失败)
登陆一下,web界面不能登陆,ssh可以登陆
进去看了一圈都不能提权,现在home目录下也发现了pinky但是密码破解不了
在/var/www/html/littlesecrets-main/ultrasecretadminf1l35目录获得提示,将他将rsa秘钥放在这里,不知道是不是pinky秘钥测试一下
将key写到kail中,之一次因为权限太大,修改权限,显示格式错误
将秘钥通过base64解码,将解码获得数据接入一个文件
修改600权限,连接pinky用户
在家目录下获得提示
没懂什么意思,同时但看adminhelper文件具备root用户的SID权限,执行以下是个打印程序
靶机自带gdb调试工具,使用gdb打开程序
查看main函数,发现程序使用了strcpy函数,看来是个缓冲区溢出的问题,也同时发现了spawn函数
info functions :列出可执行文件的所有函数名称,在内存中的symbol table查找,结果中的地址是内存里的地址,所以得到结果后,直接b(break,添加断点)这个地址,即可正确加断点。
jump:当调试程序时,你可能不小心走过了出错的地方,可jump回去
break : 给程序设置断点
i b : 查看断点
delect 编号 : 删除断点
disas $pc:反汇编当前函数。
spawn()则会创建一个新的进程来执行,生成一个子进程。返回代码将表明的状态创建进程。
直接打印1024个字符,发现报错但是不返回报错的位置
只能慢慢测试找到他溢出的位置了,找到了溢出的位置,第72个字符
使用jump调用spawn函数时获得shell
这样的话我们将EIP中的返回地址修改为spawn函数的内存地址,让程序溢出时,通过EIP跳转到spawn函数执行获得shell,获得ROOT权限
查看程序运行之后spawn函数的内存位置
0x00005555555547d0 需要调整顺序\xd0\x47\x55\x55\x55\x55,前两位00不要,是因为\x00代表空格,在运行中\x00自动终止程序运行。
最后拼接的字符串如下,测试一下
run? $(python -c "print 'a' * 72 + '\xd0\x47\x55\x55\x55\x55'")
成功执行了spawn函数,spawn函数获得交换shell。
接下来执行程序
命令:https://www.freebuf.com/articles/web/adminhelper $(python -c "print 'a' * 72 + '\xd0\x47\x55\x55\x55\x55'")
成功利用缓冲区溢出,获得root权限
完成!!!
此靶机不难,都是之前用过的知识,这次有拿起来感觉自己知识一点都不牢固,感觉自己真废。
1、使用nmap扫描靶机端口,发现系统需要配置31337 *** 才可以访问8080端口,使用gobuster爆破目录,获得一个登陆界面。
2、使用sql对登陆界面测试,发现http消息头中user-agent参数存在基于时间的盲注。通过sqlmap找到pinkymanage用户账号密码。
3、ssh登陆pinkymanage用户,在var的目录下获得base加密的pinky的秘钥,解密使用秘钥登陆pinky用户。
4、在pinky用户家目录下,发现一个存在SID权限的root拥有者的程序,gdb调试使用info functions命令查看发现程序存在strcpy函数,可能存在缓冲区溢出漏洞,spawn函数可以获得一个交互的shell。
5、测试发现72个字符可临程序溢出,gdb调用程序,run运行程序,disas spawn查看spawn函数的程序运行后内存的地址,将72个字符与spawn内存地址拼接,spawn内存地址将会覆盖EIP的返回地址,调用spawn函数。
6、https://www.freebuf.com/articles/web/adminhelper $(python -c "print 'a' * 72 + '\xd0\x47\x55\x55\x55\x55'")成功将spawn内存地址覆盖EIP的返回地址,调用spawn函数获得一个root权限的shell。
本文导读目录: 1、轰动的网络的黑客案有哪些? 2、全球最为严重的黑客入侵事件有哪几起? 3、世界上著名的黑客事件有那些~ 4、著名的黑客事件都有哪些 5、世界上大名鼎鼎的黑客都做过哪...
bim工程师是什么(BIM工程师证书到底有什么用?)很多人会问BIM工程师是什么?是不是就是建模员,笔者认为严格的意义上来说BIM建模员是BIM工程师的必经之路,只不过在这条路上有的人肯学习、肯钻研,...
1.概述 互联网要赚钱的话,需要赶上第一班车,否则就是给别人抬轿了。所以10月末看到这个自动做任务赚钱的手机在内测的信息后,就购买了,现在还处于公测期,上车要趁早,说下自己的切身使用感受。 2.产...
黑客找记录相关问题 专业盗微信黑客联系方式便宜相关问题 视觉黑客如何盗窃数据 想找个黑客当师傅去哪里找(黑客师傅)...
陈卓璇再度由于讲话,“半山坡太挤了”而走上热搜榜,果真是刘姐,敢说敢言,先前“凭着一句我都站的不足高吗”取得成功爆红,那麼,半山坡太挤了代表什么意思什么鬼?下边我就产生陈卓璇经典金句內容合辑。...
两个月左右的泰迪犬的喂养方法 1、饮食营养均衡,定时定量 幼犬消化能力弱,人的食物对它来说既诱惑又危险。因此主人一定要狠下心来,只给小狗提供专门优质的犬类食品。要养成定时喂食的习惯,平时不要随...