打靶日记——NullByte

2025-04-24 1 0

前期信息搜集

主机发现

打靶日记——NullByte插图

端口扫描,发现 80 111 777 37200 这几个端口,除了 80 以外全是不常见的端口于是决定进行进一步的版本以及详细信息的扫描与发现

打靶日记——NullByte插图1

发现靶机把默认的 ssh 的 22 端口改成了 777 端口剩下的两个服务是 RPC 服务的端口(不是很了解但是没什么用)

打靶日记——NullByte插图2

进行一下 nmap 自带的漏洞扫描看看有没有明显的可利用的漏洞,发现没有明显的可以直接利用的漏洞

打靶日记——NullByte插图3

渗透阶段

先打开浏览器看看 80 端口是什么页面,发现是一张图片上面的话翻译过来是一句谜语没什么用

打靶日记——NullByte插图4

然后进行目录扫描看看有什么东西,发现有 phpmyadmin 和一个 uploads 目录去看看 uploads 目录下有什么东西

打靶日记——NullByte插图5

发现什么东西都没有,而且 phpmyadmin 无法用弱密码去登录那么接下来该怎么做呢?

打靶日记——NullByte插图6

其实一开始的那张图片里面的 exif 信息里面有一串神奇的字符串是网站的目录(这谁能想的到 =_=),一个靶机搞得跟杂项题目一样

打靶日记——NullByte插图7

访问这个目录发现是一个输入字符串的输入框,在源码中有一串注释提示我们这个地方要用弱密码去破解

打靶日记——NullByte插图8

这里我用 Burp 加上 rockyou 字典去破解,但是建议大家还是用 hydra 比较好 Burp 还是太慢了,这里我们找到返回长度不同的返回包于是我们找到了密码

打靶日记——NullByte插图9

输入正确的密码后我们到了一个类似于用户查询的页面,因为我们什么信息都没有所以这个地方大概率是用来做 sql 注入或者文件包含的

打靶日记——NullByte插图10

测试发现存在 sql 注入漏洞

打靶日记——NullByte插图11

这里可以用手注也可以用 sqlmap 可能有人想在这里写入一句话木马我觉得这不是个好办法因为没有确切的目录信息不能确定写入文件的绝对路径,这里展示一下手注,首先我们要试出来有几列,发现 order by 3 时不报错但是 order by 4 时会报错,于是得出有三列

打靶日记——NullByte插图12

然后用 union select 来测试每一个数据的位置在哪里,得到数据的显示位置

打靶日记——NullByte插图13

然后就是 sql 注入三板斧了,爆库和数据库版本,爆表,爆目录;得到了数据库名和版本,版本大于 5 所以我们可以不用用字典去爆表

打靶日记——NullByte插图14

接下来我们看看这个数据库有什么表,发现只有一个 users 表

http://10.10.10.139/kzMb5nVYJw/420search.php?usrtosearch=" union select database(),(select group_concat(table_name) from information_schema.tables where table_schema="seth"),3 -- +

打靶日记——NullByte插图15

接下来就是去看这个表里面有哪些字段了,可以看到有四个字段

http://10.10.10.139/kzMb5nVYJw/420search.php?usrtosearch=" union select database(),(select group_concat(column_name) from information_schema.columns where table_name="users"),3 -- +

打靶日记——NullByte插图16

直接去表里面查询这几个字段中间用 ~ 进行分割得到了用户名和密码

http://10.10.10.139/kzMb5nVYJw/420search.php?usrtosearch=" union select (select group_concat(id,0x7e,user,0x7e,pass,0x7e,position) from users),(select group_concat(column_name) from information_schema.columns where table_name="users"),3 -- +

打靶日记——NullByte插图17

可以看到密码是 base64 加密,进行解密,解码出来又是一串字符串用 kali 去查看我们得到的字符串是什么加密

打靶日记——NullByte插图18

识别出来是 MD5 加密

打靶日记——NullByte插图19

直接用在线的解密网站进行解密,得到密码

打靶日记——NullByte插图20

由于我们扫描时发现有 ssh 的端口,于是我们直接用得到的用户名和密码进行登录尝试,得到了初始的shell

打靶日记——NullByte插图21

提权

这里先进行一些常规的提权尝试,实在不行再上内核提权(当然直接上应该也行),先看看这个用户有没有特权,发现一个都没有

打靶日记——NullByte插图22

然后就是 SUID 提权,查找可以用来提权的文件(命令比较固定),发现在 /var/www/backup 里面有可以用来提权的文件,感觉比较可能可以用来提权

打靶日记——NullByte插图23

运行后发现好像是调用了 ps 这一条命令,于是接下来就是要把 ps 这一条命令与 /bin/bash 连接起来让这个脚本去调用 ps 的时候可以开启一个 bash

打靶日记——NullByte插图24

于是我们就可以在当前目录建立一个 /bin/sh 的软链接(可以粗略的理解为快捷方式)然后把 PATH 环境变量改为当前目录,这样当运行了 procwatch 这个文件后不会先去 /bin 目录寻找 ps 这个可执行文件,而是会先在当前目录寻找名为 ps 的可执行文件即我们刚刚创建的软链接进而以 root 权限执行 /bin/sh ,具体操作如图

打靶日记——NullByte插图25

吐槽

建议以后做靶机就好好做不要加一些奇奇怪怪的图片隐写进来

相关文章:

  1. 打靶日记——Jarbas
  2. 打靶日记–Tr0ll
  3. 打靶日记——pWnOS1
  4. 打靶日记——Brainpan1
  5. 打靶日记–CONNECT THE DOTS

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评 4A测评
网络安全
0 0

相关文章

【THM】offensive-hackpark
检测与应对新型国家级网络持久化攻击技术
高负荷安全运营中心如何有效分级处理威胁情报警报
WordPress User Registration & Membership 权限提升及网站接管利用漏洞详情(CVE-2025-2563)
网络犯罪新宠:SheByte推出q99订阅制钓鱼服务
Java Reflection:java反序列化基础详解

发布评论