IT评测·应用市场-qidao123.com技术社区

标题: creative打靶学习笔记(4) [打印本页]

---

作者: 张春    时间: 2025-4-2 23:24
标题: creative打靶学习笔记(4)

参考视频【Tryhackme系列网安课程-Creative-难度3-哔哩哔哩】 https://b23.tv/6qzkzyh
nmap扫描

访问，解决无法域名分析

输入目标的ip去浏览器访问，但是它返回了一个域名并且页面报错说we can't connect to the server at creative.thm,查了查可能导致这种情况的原因：查了之后总结最可能得原因是，目标服务器可能强制要求使用特定的域名访问，而直接使用IP会导致无法准确分析或匹配域名，从而拒绝连接。

当你在浏览器中输入目标IP访问时，服务器返回域名 creative.thm 并提示无法连接，重要原因如下：

• 虚拟主机设置：目标服务器设置了基于域名的虚拟主机，要求必须通过特定域名（如 creative.thm）访问，直接使用IP会导致服务器无法辨认要加载的站点。
  
• 应用层重定向：网站代码或服务器设置强制将IP请求重定向到域名 creative.thm，但本地DNS未分析该域名，导致浏览器无法找到服务器。
  

解决方法是在本地hosts文件中添加IP到域名的映射，之后通过域名访问网站。
/etc/host记录了ip和域名之间的映射关系

果然这里的映射没有这台靶机的，添加进去
留意这里echo不要用">",不然直接覆盖了，要用追加">>"

然后革新页面

目录和子域扫描

扫描看一下有没有其他目录这里还是用gobuster
扫描目录

` gobuster dir -u http://creative.thm -w /usr/share/wordlists/dirb/big.txt`呃这里报错了，错误信息显示服务器对不存在的URL返回了与预期匹配的状态码（例如301），导致Gobuster无法准确辨认哪些路径是有效的。换成域名重新扫

这里只有一个assets目录
命令解释

> **dir**：指定Gobuster的工作模式为**目录爆破模式**>> **-u http://creative.thm**：指定目标的url，-u是url的缩写>> **-w /usr/share/wordlists/dirb/big.txt**：指定使用的字典文件>扫描子域名

由于这里是一个域名，可以尝试一下是否有子域名，我们换一个字典 gobuster vhost -u http://creative.thm -w /usr/share/wordlists/

这里找字典有个小本领，由于路径太深了不方便记忆，可以逐级按tab键查找

1. gobuster vhost -u http://creative.thm -w /usr/share/wordlists/SecLists/Discovery/DNS/bitquark-subdomains-top100000.txt --append-domain

复制代码

留意后面要加参数：--append-domain 选项会 自动在字典中的每一行后面添加目标的__域名，也就是说，实际的 Host 头部会变成

1. test.creative.thm
2. admin.creative.thm
3. mail.creative.thm

复制代码

dirb vs gobuster

之前没有用过gobuster由于命令太长，本日研究一下：（kali中直接输入gobuster便可提示安装）
这里有一个关于gobuster和dirb的比力，我们可以针对需求选择性使用：

扫出来一个beta.creative.thm
试着访问一下
还是要先加分析映射，不然访问不了，ip不变
echo "10.10.123.51 beta.creative.thm" >> /etc/hosts

上面的笔墨说明，这是用来探测指定URL是否存活的
这里可以这样检测:
1、在本地架设一个http服务，这里默认是8000端口

可以看到请求是成功的，靶机向我们发起了请求，试了试换一个8001端口可以检测到该URL是访问不到的
由于可以或许控制它向表面发起http请求，可以怀疑它存在ssrf漏洞
SSRF

> **SSRF是我们可以或许控制这台服务器，向我们所指定的某一个资源发起请求**，比如让他们去访问某一个url>> 我们可以通过伪协议的方法去让它访问本身本地的文件，或者可以让它对本身的内网发起请求>> 一样平常我们没有办法直接访问到一台服务器的内网，但是我们可以通过这台服务器让它本身去访问>> 如果它内网中的一些服务器存在漏洞，就可以间接的去攻击到>> 或者说用以去访问这台机器上本身的一些隐藏资源>

内网的定义：内网（Internal Network），也称为私有网络或局域网（LAN，Local Area Network），是指一个组织或机构内部建立的专用网络，用于连接内部设备、共享资源并实现安全通信。内网通常与外网（互联网）隔离，通过防火墙、路由器等设备举行访问控制，确保内部数据的安全性和隐私性。
一样平常是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。

（碰到填url的框可以试试ntlm relay和ssrf)
这里伪协议无法利用
file:///etc/passwd
试着让它访问本身本地 127.0.0.1
发现它确实可以对本身发送请求

所以可以试一下检测它的服务器上有没有隐藏的端口（which我们外部没有办法直接访问到但是它自身可以或许举行通信
这里大佬先容了一个工具：SSRFmap
github下载解压然后命令行打开
然后安装依赖的库

SSRFmap快速扫描示例

这里的请求文件也可以按f12->network->发起一个请求->保存到本地

复制请求头

创建request.txt,粘贴请求头和请求体（文件存储在ssrfmap目录下比力方便
copy request-headers->copy post data

python3 ssrfmap.py -h看看实例用法，留意要用python3不然会报错

这里我们要举行端口扫描所以用第一行

output文件打不开可以选择用sublime打开）
搜索结果中的open，即开放端口
这里ctrlF最好最大化再做，不然麻烦

发现1337端口开放，尝试访问

看起来是一个系统根目录
逐级发起请求来检察信息
http://127.0.0.1:1337发现一个叫saad的用户

然后看看他的用户目录下有什么
http://127.0.0.1:1337/home/saad

这里有个.ssh,检察发现可以看到他的id_rsa私钥

Ctrl u检察网页源代码 复制

前两步之前讲过，发现这里id_rsa还做了加密，所以需要离线破解离线破解
这里还是用之前用过的工具john
先找位置： locate ssh2john
xxx2john这个工具就是把某一种格式转换成john能理解的密文，然后再用john来破解

这个时候再试试ssh连接，输入密钥密码sweetness
连接成功

开始提权
提权

sudo -l需要密码

实际渗透中，历史文件很有用，由于内里很可能会有些明文密码

可以看到他的明文密码
这里拿到明文密码之后，尝试直接 sudo su，显示：Sorry, user saad is not allowed to execute '/usr/bin/su' as root on m4lware.

这里发现可以用管理员身份执行ping命令，但是之前也在那个gtf网站上查过了，ping命令不在可以利用的二进制文件列表里
但是这里留意到有一行

搜索一下：

这里有很多讲ld_preload提权的文章
ld_preload

> ld_preload是可以用来指定我们在执行程序的时候链接哪个库，所以我们可以编写一个自定义的恶意的库来执行>Linux Privilege Escalation using LD_Preload - Hacking Articles

tmp目录

这里切换到tmp目录的来由：

tmp作为一个临时目录，固然说不肯定要在这个目录举行提权操作，但是在这个目录下操作每每是有权限的，而且行为会稍微隐蔽一些

写入源代码之后按步骤编译

end

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 IT评测·应用市场-qidao123.com技术社区 (https://dis.qidao123.com/)

Powered by Discuz! X3.4