JIS-CTF

news2024/11/14 15:40:50

环境配置

正常打开虚拟机,找不到IP地址,解决方案是登录到靶机:

账号 technawi 
口令 3vilH@ksor

然后启用网卡:sudo ifconfig ens33 up

分配IP:sudo dhclient

信息收集

# nmap -sn 192.168.1.0/24 -oN live.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-08 16:50 CST
Nmap scan report for 192.168.1.1
Host is up (0.00033s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.1.2
Host is up (0.00015s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.64
Host is up (0.00048s latency).
MAC Address: 00:0C:29:26:DB:23 (VMware)
Nmap scan report for 192.168.1.254
Host is up (0.00044s latency).
MAC Address: 00:50:56:FB:59:24 (VMware)
Nmap scan report for 192.168.1.60
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 1.95 seconds
# nmap -sT --min-rate 10000 -p- 192.168.1.64 -oN port.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-08 16:50 CST
Nmap scan report for 192.168.1.64
Host is up (0.0011s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:26:DB:23 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 3.14 seconds
# nmap -sT -sC -sV -O -p22,80 192.168.1.64 -oN deatils.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-08 16:51 CST
Nmap scan report for 192.168.1.64
Host is up (0.00064s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 af:b9:68:38:77:7c:40:f6:bf:98:09:ff:d9:5f:73:ec (RSA)
|   256 b9:df:60:1e:6d:6f:d7:f6:24:fd:ae:f8:e3:cf:16:ac (ECDSA)
|_  256 78:5a:95:bb:d5:bf:ad:cf:b2:f5:0f:c0:0c:af:f7:76 (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
| http-title: Sign-Up/Login Form
|_Requested resource was login.php
|_http-server-header: Apache/2.4.18 (Ubuntu)
| http-robots.txt: 8 disallowed entries 
| / /backup /admin /admin_area /r00t /uploads 
|_/uploaded_files /flag
MAC Address: 00:0C:29:26:DB:23 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.21 seconds

信息收集结果汇总:存活主机的IP地址为192.168.1.64 开放端口为22 和 80端口

因此主要的突破点在80端口上,经过详细信息的扫描发现 登陆页面标题,后端请求的资源是login.php 存在robots.txt 内容存在8个不可以访问的路径!

# nmap -sT --script=vuln -p22,80 192.168.1.64 -oN vuln.nmap
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.1.64
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.1.64:80/
|     Form id: 
|_    Form action: check_login.php
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-enum: 
|   /admin_area/: Possible admin folder
|   /login.php: Possible admin folder
|   /admin_area/index.php: Possible admin folder
|   /robots.txt: Robots file
|   /css/: Potentially interesting directory w/ listing on 'apache/2.4.18 (ubuntu)'
|_  /js/: Potentially interesting directory w/ listing on 'apache/2.4.18 (ubuntu)'
| http-slowloris-check: 
|   VULNERABLE:
|   Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750
|       Slowloris tries to keep many connections to the target web server open and hold
|       them open as long as possible.  It accomplishes this by opening connections to
|       the target web server and sending a partial request. By doing so, it starves
|       the http server's resources causing Denial Of Service.
|       
|     Disclosure date: 2009-09-17
|     References:
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_      http://ha.ckers.org/slowloris/
MAC Address: 00:0C:29:26:DB:23 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 345.59 seconds

漏洞脚本探测结果为80端口上可能存在csrf漏洞,csrf漏洞的优先级拍后,后面就没有什么探测出来的漏洞了。

渗透测试

整个信息收集的结果看下来,估计突破点就是在80端口上了,先看看网站吧:

看了到登录的页面,这里就需要去测试SQL注入了。先不着急去测试,先看看其他的内容,既然存在服务了,就去做一下目录的爆破:

dirsearch -u http://192.168.1.64/ -w /root/Desktop/dicc.txt 

同时我们看一下robots.txt文件下的路径,是否能带给我们新的思路

整个信息还是蛮多的~ 挨个进行访问下:

backup:

admin:

admin_area目录:

存在相关的内容,看一下源码:

拿到flag2,同时拿到了网站的用户名和密码!

r00t:

uploads:

uploaded_files:

该目录看不到什么东西,同样源码里面也是空的!

flag:

flag目录下面,可以拿到第一个flag!

整个robots文件下面的路径都看了一遍了,找到了两个flag,以及网站的用户名和密码!回去看一下目录扫描的结果!

整体上也没有什么资产,看一下assets

没什么价值,直接登录了毕竟已经拿到了账号和密码。

文件上传,直接穿马试试!

文件上传成功了,但是没有回显给我们上传的文件的路径!会想到之前看到了uploads路径!回去看看是不是上传到了该目录下!

还是看不到什么信息,但是根据这个目录的名字,还是怀疑文件是上传到了这个目录下面,尝试直接加上上传的文件名,看看能否访问到:

访问成功,接下来就是上传反弹shell:(利用kali自带的反弹shell即可/usr/share/webshells/php/php-reverse-shell.php)

kali利用nc进行监听,然后访问上传的反弹shell!

成功拿到初始的shell,接下来就是去找一下flag 345 和 提权阶段。

提权

进入网站的目录:

发现了hint.txt和flag.txt文件,查看权限:

发现了hint是有权限的,但是flag是没有权限查看的!那就看一下hint:

成功发现了flag3!同时提示我们尝试去寻找用户technawi的密码去读取flag文件,同时说密码可以在一个隐藏文件中找到!

隐藏文件就是以“.”开头的文件啦? (偏了! 几乎把所有可疑的真·隐藏文件看了一遍都没找到~)

最后看了一下wp:在/etc/目录下利用grep 匹配flag:

grep -rs "flag" /etc/
-r递归子目录 
-s忽略错误

最后找到了一个文件,查看具体的内容:

发现了账号和密码信息,尝试进行登录!

利用su切换用户!通过sudo -l查看当前用户的sudoers文件内容中的权限:

三个ALL,直接提权:

sudo /bin/bash

看下flag直接提权了!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1304099.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【cocotb】【达坦科技DatenLord】Cocotb Workshop分享

https://www.bilibili.com/video/BV19e4y1k7EE/?spm_id_from333.337.search-card.all.click&vd_sourcefd0f4be6d0a5aaa0a79d89604df3154a 方便RFM实现 cocotb_test 替代makefile , 类似python 函数执行

pytest + yaml 框架 -59.用例失败重跑机制pytest-rerunfailures

前言 有些接口可能不太稳定,第一次跑的时候由于网络原因或者其它原因失败,但是重新跑2次又成功了。 对于这种需要重新跑几次的场景,可以使用用例失败重跑机制,需安装pytest-rerunfailures 插件。 场景示例 失败重跑需要依赖 py…

19 redis缓存数据同步问题

1、缓存穿透 指缓存和数据库中都没有的数据,而用户不断发起请求。由于缓存不命中,并且出于容错考虑,如果从存储层查不到数据则不写入缓存,这将导致这个不存在的数据每次请求都要到存储层去查询,缓存就没有意义了。 在…

[CQOI2014] 危桥

[CQOI2014] 危桥 题目描述 Alice 和 Bob 居住在一个由 \(N\) 座岛屿组成的国家,岛屿被编号为 \(0\) 到 \(N-1\)。某些岛屿之间有桥相连,桥上的道路是双向的,但一次只能供一人通行。其中一些桥由于年久失修成为危桥,最多只能通行两…

【sqli靶场】第二关和第三关通关思路

目录 前言 一、sqli靶场第二关 1.1 判断注入类型 1.2 判断数据表中的列数 1.3 使用union联合查询 1.4 使用group_concat()函数 1.5 爆出users表中的列名 1.6 爆出users表中的数据 二、sqli靶场第三关 2.1 判断注入类型 2.2 观察报错 2.3 判断数据表中的列数 2.4 使用union联合…

电脑出现错误0x80004005怎么解决,解决0x80004005的问题

当电脑出现0x80004005错误时,通常是由于系统或应用程序之间的通信问题或文件系统损坏引起的。该错误代码表示未指定错误,在Windows系统中较为常见。 一.解决0x80004005错误的步骤 重新启动电脑 有时候,错误只是一个暂时的问题,重…

C语言常用字符串

目录 1.什么是字符串 2.如何定义字符串 第3和第4定义的区别:3是字符串变量,4是字符串常量,不予许被修改 3.strlen和sizeof的区别 4.地址分配(malloc,realloc,free,memset) 案例 5.字符串拷贝(strcpy,strncpy) …

【docker】容器使用(Nginx 示例)

查看 Docker 客户端命令选项 docker上面这三张图都是 常用命令: run 从映像创建并运行新容器exec 在运行的容器中执行命令ps 列出容器build 从Dockerfile构建映像pull 从注册表下载图像push 将图像上载到注册表…

windows启动出现 zookeeper此处不应有java

可能是Java 路径出了问题,这个programFiles直接有空格,没错就有空格,笔者一开始以为这么点算什么空格,需要把这个对应的Java文件到别的英文路径下,并且修改环境变量。就可以启动的。 还可以启动方式有很多种&#xff0…

【操作系统和计网从入门到深入】(二)进程

前言 这个专栏其实是博主在复习操作系统和计算机网络时候的笔记,所以如果是博主比较熟悉的知识点,博主可能就直接跳过了,但是所有重要的知识点,在这个专栏里面都会提到!而且我也一定会保证这个专栏知识点的完整性&…

python——第十七天

方法重写(overwrite) 、方法覆盖(override ):在继承的基础上,子类继承了父类的方法,如果不能满足自己使用,我们就可以重写或覆盖该方法 函数重载(overload): 在强数据类型的编程语言中(如Java、C、C等等): 函数名称…

高通平台开发系列讲解(USB篇)MBIM驱动详解

文章目录 一、数据结构二、源码分析三、adroid_mbim创建四、读写 /dev/adroid_mbim4.1、读gsi_ctrl_dev_read4.2、写gsi_ctrl_dev_write沉淀、分享、成长,让自己和他人都能有所收获!😄 📢本文主要介绍高通平台USB网卡MBIM驱动。 一、数据结构 目录:drivers/usb/gadget/…

Python使用分段函数拟合数据

Python使用分段函数拟合数据 前言前提条件相关介绍实验环境使用分段函数拟合数据代码实现输出结果 前言 由于本人水平有限,难免出现错漏,敬请批评改正。更多精彩内容,可点击进入Python日常小操作专栏、OpenCV-Python小应用专栏、YOLO系列专栏…

【LeetCode】每日一题 2023_12_12 下一个更大元素 IV(堆,优先级队列/单调栈)

文章目录 刷题前唠嗑题目:下一个更大元素 IV题目描述代码与解题思路 刷题前唠嗑 LeetCode?启动!!! 时隔两天,LeetCode 每日一题重新开张,流感已经不能阻挡我的脚步了! 题目&#x…

【FAQ】推送前台应用的通知处理功能没生效,如何进行排查?

一、前台应用的通知处理简介 在调用推送接口时可以设置“foreground_show”字段控制前台应用的通知栏消息是否通过NC展示。“foreground_show”默认值为“true”,应用在前台时由NC展示通知栏消息;当设置为“false”时,应用在前台时&#xff…

<习题集><LeetCode><链表><61/83/82/86/92>

目录 61. 旋转链表 83. 删除排序链表中的重复元素 82. 删除排序链表中的重复元素 II 86. 分隔链表 92. 反转链表 II 61. 旋转链表 https://leetcode.cn/problems/rotate-list/ public ListNode rotateRight(ListNode head, int k) {//k等于0,或者head为空&…

高效利用内存资源之动态内存管理详解

目录 一、为什么存在动态内存分配 二、动态内存函数的介绍 2.1malloc 2.2free 2.3calloc 2.4realloc 三、常见的动态内存错误 3.1对NULL指针的解引用操作 3.2对动态开辟空间的越界访问 3.3对非动态开辟内存使用free释放 3.4使用free释放一块动态开辟内存的一部分 3.…

GNSS 精密单点定位(PPP) 所需数据文件及格式说明

目录 1.PPP所需的数据文件 (1)PPP中必要文件: (2)其他非必要文件: (3)文件示例: 2.数据下载方式 (1)网址下载: (2)GAMP II-GOOD软件下载 1.PPP所需的数据文件 (1)PPP中必要文件: 文件 功能 •观测值文件&…

降采样方法对NCC得分的影响因素评估

定位算法原理 关于不同的定位场景,最适合使用的算法原理,Halcon的原理文档中描述如下: 在图案缩放可用忽略,图案纹理丰富的场景,适合采用基于互相关的匹配。 输入参考图像,搜索图像,参考图像在搜索图像上滑动,得到滑动位置的NCC得分。如下图所示,高于阈值的最亮的地…

【多组学数据驱动的机器学习:生物医学研究的创新与突破】

简介:随着生物医学研究的不断发展,多组学数据在疾病预防、诊断和治疗方面发挥着越来越重要的作用。本文将介绍如何利用机器学习技术对多组学数据进行综合分析,以及这种方法在生物医学研究中的优势和潜力。 正文: 一、多组学数据…