打靶记录16——Momentum

2024-09-07 23:20
文章标签 16 记录 momentum 打靶

本文主要是介绍打靶记录16——Momentum,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

靶机:

https://download.vulnhub.com/momentum/Momentum.ova

下载后使用 VirtualBox 打开

难度:中

目标:取得 root 权限 + 2 Flag

攻击方法:

  • 主机发现
  • 端口扫描
  • 信息收集
  • Web 路径爆破
  • XSS 漏洞
  • JS 脚本分析
  • AES 解密
  • Redis 认证漏洞

主机发现

sudo arp-scan -l

端口扫描和服务发现

nmap -p- 192.168.0.104扫描全端口

nmap -p22,80 -sV -sC 192.168.0.104

发现 SSH 的版本是 OpenSSH 7.9

HTTP 是 Apache httpd 2.4.38

访问 80 端口的 Web 服务

发现 id 参数,测试SQL注入只是把值原原本本的返回到页面中

那么可能存在 XSS 漏洞,尝试输入 payload

获得 cookie

cookie=U2FsdGVkX193yTOKOucUbHeDp1Wxd5r7YkoM8daRtj0rjABqGuQ6Mx28N1VbBSZt解码Base64,发现Salted,意思是加盐了,应该是使用了某种加密算法

目录扫描

dirsearch -u “http://192.168.0.102/”

main.js 里的文件,重点关注里面的注释,是一段加密解密的代码

function viewDetails(str) {window.location.href = "opus-details.php?id="+str;
}/*
var CryptoJS = require("crypto-js");
var decrypted = CryptoJS.AES.decrypt(encrypted, "SecretPassphraseMomentum");
console.log(decrypted.toString(CryptoJS.enc.Utf8));
*/

让我们逐行解释一下代码:

var CryptoJS = require("crypto-js");
  • 功能:这行代码将 crypto-js 库引入到当前的 JavaScript 文件中。
  • 解释:require 是 Node.js 中用于引入模块的函数,crypto-js 是一个常用的加密解密库,支持多种加密算法,包括 AES、SHA、MD5 等。
var decrypted = CryptoJS.AES.decrypt(encrypted, "SecretPassphraseMomentum");
  • 功能:这行代码解密一个加密的消息。
  • 解释:
    • CryptoJS.AES.decrypt 是 crypto-js 库中用于 AES 解密的函数。
    • encrypted 是要解密的加密文本(假设它已定义,并且是一个有效的加密字符串)。
    • “SecretPassphraseMomentum” 是用于解密的密钥(passphrase)。这个密钥必须与加密时使用的密钥完全相同。
    • 解密函数返回的是一个 CryptoJS.lib.CipherParams 对象,它包含解密后的数据,但还未转换成可读的字符串。
console.log(decrypted.toString(CryptoJS.enc.Utf8));
  • 功能:这行代码将解密后的数据转换为 UTF-8 编码的字符串,并输出到控制台。
  • 解释:
    • .toString(CryptoJS.enc.Utf8) 方法将 CryptoJS.lib.CipherParams 对象转换为一个 UTF-8 编码的字符串。
    • CryptoJS.enc.Utf8 是 crypto-js 库中用于处理 UTF-8 编码的编码器。

总结

这段代码的总体功能是:

  1. 引入 crypto-js 库。
  2. 使用 AES 算法解密一个加密的消息,使用指定的密钥。
  3. 将解密后的数据转换为 UTF-8 字符串,并输出结果。

那么我们得到如下信息:

密文:U2FsdGVkX193yTOKOucUbHeDp1Wxd5r7YkoM8daRtj0rjABqGuQ6Mx28N1VbBSZt
密钥:SecretPassphraseMomentum
加密算法:AES

百度搜索:cryptojs在线解密,获得一个网址:https://www.sojson.com/encrypt.html#google_vignette

填入密文和密钥即可解密成功,获得明文:auxerre-alienum##

前面又看到目标靶机开放了 22 端口,那么这个明文是不是就是登录的账号密码呢?

账号:auxerre

密码:auxerre-alienum##

成功登录目标靶机

获得第一个 flag

信息收集

uname -a 查看内核版本

searchsploit 4.19 查找有没有已知的内核漏洞的提权代码

这些都是失败的,没有一个可以成功提权的

lsb_release -a 查看操作系统

继续信息收集,发现了一个 redis 账号

redis 是一个非关系型数据库,它的安全性不好,有非授权的漏洞,它会默认监听 0.0.0.0 的 6379 端口,并且不需要进行认证

Redis 认证漏洞

ss -pantu 查看开放的所有端口,发现 6379 确实是开启的,但是靶机的管理员把监听地址设置成了 127.0.0.1 ,导致我们没有办法从外网直接来连接这个端口,但是我们已经通过 SSH 登录进来了,可以直接连 redis 数据库了

redis-cli 执行命令连进去,info 可以看见很多信息,说明不需要身份认证

发现 db0 这个库,然后还有一个 key

redis 这个非关系型的数据库是通过键值对的形式来存储数据的,不像 Mysql 这种关系型数据库是通过表来存放结构化的数据

keys * 命令查找所有键。

Get rootpass 获取键 rootpass 的值。

获得 m0mentum-al1enum##

结合 rootpass 这个键名,尝试登录 root 账号,我直接 su 成 root 账号,然后输入密码,成功登录!

cat root.txt 获取第2个 flag

学习笔记

  • 利用 redis 这种非授权的身份认证的漏洞,其实我们可以在目标靶机上做很多攻击的手段
  • 比如可以通过读取关键文件,从而帮助自己去实现提权
  • 或者也可以通过 redis 向目标靶机里面去直接写入一个 Webshell,从而拿到一个权限
  • 又或者调用一些第三方的外部的模块,通过模块的加载,利用 redis 进程权限比较松散的这种配置漏洞,也可以通过加载模块的方式,实现操作系统指令的直接执行

这篇关于打靶记录16——Momentum的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1146456

相关文章

在Spring Boot中浅尝内存泄漏的实战记录

《在SpringBoot中浅尝内存泄漏的实战记录》本文给大家分享在SpringBoot中浅尝内存泄漏的实战记录,结合实例代码给大家介绍的非常详细,感兴趣的朋友一起看看吧... 目录使用静态集合持有对象引用,阻止GC回收关键点:可执行代码:验证:1,运行程序(启动时添加JVM参数限制堆大小):2,访问 htt

MySQL 中查询 VARCHAR 类型 JSON 数据的问题记录

《MySQL中查询VARCHAR类型JSON数据的问题记录》在数据库设计中,有时我们会将JSON数据存储在VARCHAR或TEXT类型字段中,本文将详细介绍如何在MySQL中有效查询存储为V... 目录一、问题背景二、mysql jsON 函数2.1 常用 JSON 函数三、查询示例3.1 基本查询3.2

Python获取中国节假日数据记录入JSON文件

《Python获取中国节假日数据记录入JSON文件》项目系统内置的日历应用为了提升用户体验,特别设置了在调休日期显示“休”的UI图标功能,那么问题是这些调休数据从哪里来呢?我尝试一种更为智能的方法:P... 目录节假日数据获取存入jsON文件节假日数据读取封装完整代码项目系统内置的日历应用为了提升用户体验,

Spring Boot 配置文件之类型、加载顺序与最佳实践记录

《SpringBoot配置文件之类型、加载顺序与最佳实践记录》SpringBoot的配置文件是灵活且强大的工具,通过合理的配置管理,可以让应用开发和部署更加高效,无论是简单的属性配置,还是复杂... 目录Spring Boot 配置文件详解一、Spring Boot 配置文件类型1.1 applicatio

MySQL INSERT语句实现当记录不存在时插入的几种方法

《MySQLINSERT语句实现当记录不存在时插入的几种方法》MySQL的INSERT语句是用于向数据库表中插入新记录的关键命令,下面:本文主要介绍MySQLINSERT语句实现当记录不存在时... 目录使用 INSERT IGNORE使用 ON DUPLICATE KEY UPDATE使用 REPLACE

Python 中的异步与同步深度解析(实践记录)

《Python中的异步与同步深度解析(实践记录)》在Python编程世界里,异步和同步的概念是理解程序执行流程和性能优化的关键,这篇文章将带你深入了解它们的差异,以及阻塞和非阻塞的特性,同时通过实际... 目录python中的异步与同步:深度解析与实践异步与同步的定义异步同步阻塞与非阻塞的概念阻塞非阻塞同步

Python Dash框架在数据可视化仪表板中的应用与实践记录

《PythonDash框架在数据可视化仪表板中的应用与实践记录》Python的PlotlyDash库提供了一种简便且强大的方式来构建和展示互动式数据仪表板,本篇文章将深入探讨如何使用Dash设计一... 目录python Dash框架在数据可视化仪表板中的应用与实践1. 什么是Plotly Dash?1.1

Spring Boot中定时任务Cron表达式的终极指南最佳实践记录

《SpringBoot中定时任务Cron表达式的终极指南最佳实践记录》本文详细介绍了SpringBoot中定时任务的实现方法,特别是Cron表达式的使用技巧和高级用法,从基础语法到复杂场景,从快速启... 目录一、Cron表达式基础1.1 Cron表达式结构1.2 核心语法规则二、Spring Boot中定

国内环境搭建私有知识问答库踩坑记录(ollama+deepseek+ragflow)

《国内环境搭建私有知识问答库踩坑记录(ollama+deepseek+ragflow)》本文给大家利用deepseek模型搭建私有知识问答库的详细步骤和遇到的问题及解决办法,感兴趣的朋友一起看看吧... 目录1. 第1步大家在安装完ollama后,需要到系统环境变量中添加两个变量2. 第3步 “在cmd中

Spring Retry 实现乐观锁重试实践记录

《SpringRetry实现乐观锁重试实践记录》本文介绍了在秒杀商品SKU表中使用乐观锁和MybatisPlus配置乐观锁的方法,并分析了测试环境和生产环境的隔离级别对乐观锁的影响,通过简单验证,... 目录一、场景分析 二、简单验证 2.1、可重复读 2.2、读已提交 三、最佳实践 3.1、配置重试模板