当前位置：首页 > article >正文

实战打靶集锦-36-Deception

article 2026/2/11 17:33:32

文章目录

1. 主机发现
2. 端口扫描
3. 服务枚举
4. 服务探查
5. 系统提权
6. 写在最后

靶机地址：https://download.vulnhub.com/haclabs/Deception.ova

1. 主机发现

目前只知道目标靶机在192.168.56.xx网段，通过如下的命令，看看这个网段上在线的主机。

$ nmap -sP 192.168.56.0/24

在这里插入图片描述
锁定靶机IP地址为192.168.56.109。

2. 端口扫描

通过下面的命令进行端口扫描。

$ sudo nmap -p- 192.168.56.109

在这里插入图片描述
端口比较少。

3. 服务枚举

端口比较少，直接枚举一下服务。

$ sudo nmap -p22,80 -A -sV -sT 192.168.56.109

在这里插入图片描述

4. 服务探查

枚举出来没啥特别的，目前知道的是80端口上运行了apache服务，并且靶机系统应该是ubuntu，直接浏览器访问一下。
在这里插入图片描述
是apache的默认页面，没啥好看的，直接枚举一下目录吧。

$ dirsearch -u http://192.168.56.109

在这里插入图片描述
又是phpmyadmin，又是wordpress，数量不多，信息量还不少，手工简单看了一下，phpmyadmin有一个登录页面。

然后在/phpmyadmin/doc/html/index.html页面下，暴露了phpmyadmin的版本信息，如下图。

wordpress下面有一个首页，里面暴露了一个用户信息。
在这里插入图片描述
并且在这个页面上，很多link都指向了localhost，把localhost写道/etc/hosts文件中，不过这个意义不大，因为指向的都是https://localhost。另外就是wp的登录页面。

既然有wordpress，先用wpscan扫描一下。

$ wpscan --url http://192.168.56.109/。

在这里插入图片描述
本来怕有遗漏，想直接从根上扫描，竟然提示貌似没有运行Wordpress，修改成从/wordpress路径扫描。

$ wpscan --url http://192.168.56.109/wordpress/ -e u

在这里插入图片描述
枚举出来了两个用户，以及wordpress的版本信息。直接用wpscan对这俩用户爆破一下。

$ wpscan --url http://192.168.56.109/wordpress/ -U yash -P /usr/share/wordlists/rockyou.txt

在爆破用户的过程中，咱们别闲着，既然有php页面，直接挂上dirb挂上big字典专门扫描一下php页面

$ dirb http://192.168.56.109/ /usr/share/wordlists/dirb/big.txt -X .php

在这里插入图片描述
显然不可能是0个啊，我们都已经扫出来了前面，缩小一下范围，只扫/phpmyadmin和/wordpress下面，顺便扫描一下.html页面。

$ dirb http://192.168.56.109/phpmyadmin/ /usr/share/wordlists/dirb/big.txt -X .php
$ dirb http://192.168.56.109/wordpress/ /usr/share/wordlists/dirb/big.txt -X .php
$ dirb http://192.168.56.109/phpmyadmin/ /usr/share/wordlists/dirb/big.txt -X .html
$ dirb http://192.168.56.109/wordpress/ /usr/share/wordlists/dirb/big.txt -X .html

在这里插入图片描述这次确实扫描出来一些之前没有发现的php页面，进去看看，/phpmyadmin下面的页面都需要登录才能访问，/wordpress下面的没啥实质内容。对于.html的扫描，只在/wordpress下面有所发现，如下图。

名字，有点靶机的尿性，尤其是hint.html。手工访问看看。
在这里插入图片描述
这个hint页面的信息，有很大的嫌疑，这里应该是个线索，再看看另外两个页面。

这个robots页面也有些嫌疑，貌似提供一个数据，显示搜索结果，进一步看页面代码，知道了一些逻辑。

大意是通过ID查询50次？随便输入一下试试看
在这里插入图片描述
确实随着输入次数的增多，这个计数在减少，页面刷新后，计数清零，除此之外没发现啥。接下来看看那个homepage的API tokens是个啥，这里的homepage也不知道是wordpress的homepage还是phpmyadmin的，也或者是根目录/，都看一下吧。首先在/phpmyadmin的请求响应中带有9个token，不过都是同一个值，如下图。
在这里插入图片描述
除此之外，在根路径/的返回中也有一个比较有意思的信息，就是有API old0、API old1、API old2，以及API new，如下图所示。

目前这两处的token和API还不知道怎么使用，并且base64解吗也是失败的。直接把API的那几个按照编号顺序拼装到一起（API new放最后），再base64解吗试试看。
在这里插入图片描述
仍然失败。回到刚才wordpress密码爆破的地方，15分钟过去了，针对yash用户爆了将近36000个密码，没有结果。

用同样的方法针对haclabs用户爆一下。

$ wpscan --url http://192.168.56.109/wordpress/ -U haclabs -P /usr/share/wordlists/rockyou.txt

在这里插入图片描述
也没有爆破出结果。当目前为止，wordpress上没啥进展，searchsploit也没找到合适的漏洞。

还是在phpmyadmin上做做文章吧，先找一下对应版本有没有什么漏洞。

理论上有搞头，实在没招的时候，来试试。先用前面找出来的两个账号爆破一下phpmyadmin的登录页面。

$ hydra -l yash-P /usr/share/wordlists/rockyou.txt -vV 192.168.56.109 http-post-form "/phpmyadmin/index.php:pma_username=^USER^&pma_password=^PASS^:Error"
$ hydra -l haclabs -P /usr/share/wordlists/rockyou.txt -vV 192.168.56.109 http-post-form "/phpmyadmin/index.php:pma_username=^USER^&pma_password=^PASS^:Error"

在这里插入图片描述
两个用户一起爆破还是挺壮观的，效率也比较高。爆破的同时，看看上面searchsploit扫描出来的漏洞，也没有什么有价值的发现。回过头来看一下爆破结果，都没有成功。到目前为止，phpadmin页面爆破了，wordpress页面爆破了，都没有找到密码。前面找到的token和API字符串也不知道怎么用。剩下的就是ssh的登录了，先试试yash和haclabs是否可以ssh，如果可以的话，也爆破一下，先用token和API的字符串爆破，不行再用rockyou。
在这里插入图片描述
至少证明两个用户都可以爆破，按照前面的思路爆破一下。构建的字典如下，找出来的token，API字符串，以及四个API字符串的排列组合。

爆破一下。

$ hydra -l yash -P mydict.txt 192.168.56.109 ssh

在这里插入图片描述卧槽，太变态了，yash的密码爆出来了，竟然是那四个API字符串的排列组合中的一个，5F4DCC3B5AA765D61D8327DEB882CF99，貌似就是我们第一次组装出来的，可惜我们前面直接去base64解吗了，谁能想到会是这么变态的密码啊。登录进去，获得yash用户的flag。
在这里插入图片描述

5. 系统提权

查看系统信息。
在这里插入图片描述
64位的ubuntu 18.04.3。直接跑一下linpeas。首先是可能有问题的三个CVE漏洞，这个我感觉都不是很靠谱，放到最后。

接下来就是巨多的SUID相关的内容，如下图。

看来就在这里了，尤其是linpeas自动高亮出来的python2.7，但是不太会用，这是个二进制文件，咋写SUID啊，查找一下gtfobins。
在这里插入图片描述
有类似的用法，这里试用一下。

yash@haclabs:/tmp$ /usr/bin/python2.7 -c "import os; os.execl('/bin/sh', 'sh', '-p')"

在这里插入图片描述
貌似成功了，验证一下。
这算成功吗？感觉应该算哈。获取一下flag，如果获取到，就算，可惜的是老天不作美，死活没有找到flag。

除了原来发现的flag1之外，在haclabs用户下还发现了flag2。最后上网搜索了一下，这个靶机的flag在/root/deception下面，如下图。
在这里插入图片描述
到此结束。

6. 写在最后

这个靶机有些意思，有不同的思路，还有网友找到了haclabs用户的密码位haclabs987654321，通过haclabs用户进行提权，这个我没有试过，大家可以试试。

实战打靶集锦-36-Deception

文章目录

1. 主机发现

2. 端口扫描

3. 服务枚举

4. 服务探查

5. 系统提权

6. 写在最后

相关文章：

实战打靶集锦-36-Deception

前端开发技术演进与就业现实：顺应时代方能不被淘汰-优雅草卓伊凡

敏捷开发：以人为本的高效开发模式

HarmonyOS 基础组件和基础布局的介绍

CAD插入属性块弹窗提示输入属性值——CAD知识讲堂

Redis 主要能够用来做什么

MySQL GROUP BY 和 HAVING 子句中 ‘Unknown column‘ 错误的深入解析

Sentinel实战(三)、流控规则之流控效果及流控小结

JavaScrip——DOM编程

表单的前端数据流向

PP-ChatOCRv3新升级：多页PDF信息抽取支持自定义提示词工程，拓展大语言模型功能边界

《二叉树：二叉树的顺序结构-＞堆》

OpenLayers：封装Overlay的方法

软件重构与项目进度的矛盾如何解决

Mysql+Demo 获取当前日期时间的方式

数智化时代下开源AI大模型驱动的新型商业生态构建——基于AI智能名片与S2B2C商城小程序的融合创新研究

Spring Cloud Alibaba 技术全景与实战指南

回归预测 | Matlab实现NRBO-Transformer-BiLSTM多输入单输出回归预测

了解 PoE 握手协议在网络配电中的重要性

小智机器人相关函数解析，BackgroundTask::Schedule (***)将一个回调函数添加到后台任务队列中等待执行

基于Python设计的TEQC数据质量可视化分析软件

人月神话：如何有效的避免Bug的产生

Git的基础使用方法

轮胎厂相关笔记

Java常用异步方式总结

【Easylive】视频在线人数统计系统实现详解 WebSocket 及其在在线人数统计中的应用

tomcat 目录结构组成

苍穹外卖day12

Unity Final IK：下一代角色动画与物理交互的技术解析

前端开发时的内存泄漏问题