Devvortex

news2024/12/22 23:44:56

目标靶机

攻击机IP地址为10.10.16.2

信息收集

# nmap -sT --min-rate 10000 -p- 10.10.11.242 -oN port.nmap        
Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-21 10:32 CST
Warning: 10.10.11.242 giving up on port because retransmission cap hit (10).
Nmap scan report for 10.10.11.242
Host is up (0.21s latency).
Not shown: 33933 closed tcp ports (conn-refused), 31600 filtered tcp ports (no-response)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 107.34 seconds

端口开放情况:22和80端口

# nmap -sT -sC -sV -O -p22,80 10.10.11.242 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-21 10:35 CST
Nmap scan report for devvortex.htb (10.10.11.242)
Host is up (0.28s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.9 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 48:ad:d5:b8:3a:9f:bc:be:f7:e8:20:1e:f6:bf:de:ae (RSA)
|   256 b7:89:6c:0b:20:ed:49:b2:c1:86:7c:29:92:74:1c:1f (ECDSA)
|_  256 18:cd:9d:08:a6:21:a8:b8:b6:f7:9f:8d:40:51:54:fb (ED25519)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
|_http-server-header: nginx/1.18.0 (Ubuntu)
|_http-title: DevVortex
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 4.15 - 5.8 (96%), Linux 2.6.32 (95%), Linux 5.0 - 5.5 (95%), Linux 3.1 (95%), Linux 3.2 (95%), Linux 5.3 - 5.4 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (95%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%), Linux 5.0 (93%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 24.72 seconds

详细信息的探测结果:80端口服务由nginx 1.18.0起的http服务 ,操作系统为ubuntu系统,webtitle是DevVortex,无其他的信息

# nmap -sT --script=vuln -p22,80 10.10.11.242 -oN vuls.nmap

Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-21 10:34 CST
Stats: 0:00:00 elapsed; 0 hosts completed (0 up), 0 undergoing Script Pre-Scan
NSE Timing: About 0.00% done
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 10.10.11.242
Host is up (0.20s latency).

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-csrf: Couldn't find any CSRF vulnerabilities.

Nmap done: 1 IP address (1 host up) scanned in 563.77 seconds

默认漏洞脚本的信息探测,似乎也没什么有价值的东西!

寻找立足点

首先访问80端口上开放的服务:

nikto扫描结果没什么发现,同时进行了目录扫描,也没什么突破点!

同时换gobuster再次进行扫描!

主动结束了,应该还是没什么东西!进行子域名的扫描:

gobuster vhost -u devvortex.htb -w /root/Desktop/top2000subdomain.txt --append-domain

发现了一个子域名为dev.devortex.htb,尝试访问子域名:

还是静态的东西,找不到突破点在什么地方,尝试再次对子域名进行目录扫描!

没等着扫描结束,就已经看到了相关路径,尝试访问administrator!

robots文件中再次提示了存在Joomla

发现了Joomla!存在历史漏洞,尝试寻找相关漏洞进行利用!发现了Joomla未授权访问漏洞(CVE-2023-23752),构造路径:/api/index.php/v1/config/application?public=true

lewis
P4ntherg0t1n5r3c0n##

发现了用户名和密码信息,尝试ssh直接登录(碰撞):

没那么简单,ssh密码错误,尝试登录到Joomla的后台,进行getshell!

进入后台之后,尝试利用Joomla后台getshell,找了一篇文章,介绍了三种方法joomla后台拿shell_joomla 后台getshell-CSDN博客;这里就用第三种方法进行尝试getshell!(这个比较简单)

找到了templates所在的地方:

在error文件中添加上反弹shell的代码,之后点击save&close:

本地建立监听,尝试访问shell的地址!http://dev.devvortex.htb/administrator/templates/atum/error.php

拿到初始的立足点!

提权

查看/etc/passwd文件,发现了存在一个活跃的用户为logan!看一下logan家目录下面的文件是否有权限让我们读取flag:

发现没有权限!寻找网站目录的相关配置文件:

发现了数据库的账号密码和网站的后台管理员账号密码相同!进入数据库之后,发现了两个用户的密码信息:

尝试利用john进行破解:

拿到了一个密码,应该就是logan用户的密码,尝试切换用户!

初步的提权成功了!查看flag文件,并且查看一下sudo权限!

能够执行apport-cli!权限提升经过查询资料发现了CVE-2023-1326,要求apport-cli的版本需要在2.26,而当前机器的apport-cli的版本是2.20.11;直接搬运CVE-2023.1326的exp,似乎无法执行!

需要在exp后面在添加一个less!

sudo /usr/bin/apport-cli -c /var/crash/some_crash_file.crash less

命令运行之后,输入v,之后再输入!/bin/bash回车即可!

权限提升成功!读取最终flag文件!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1460844.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

FPGA高端项目:FPGA实现SDI视频编解码工程解决方案,提供3套工程源码和技术支持

目录 1、前言免责声明 2、相关方案推荐本博已有的 SDI 编解码方案本方案的SDI图像缩放应用本方案的SDI图像缩放视频拼接应用本方案的SDI图像缩放UDP网络视频发送应用本方案的SDI视频编码输出应用本方案的SDI视频编码图像缩放视频拼接输出应用本方案的SDI视频编码SFP光口收发应用…

如何在Ubuntu部署Emlog,并将本地博客发布至公网可远程访问

文章目录 前言1. 网站搭建1.1 Emolog网页下载和安装1.2 网页测试1.3 cpolar的安装和注册 2. 本地网页发布2.1 Cpolar临时数据隧道2.2.Cpolar稳定隧道(云端设置)2.3.Cpolar稳定隧道(本地设置) 3. 公网访问测试总结 前言 博客作为使…

Flask数据库操作-Flask-SQLAlchemy

Flask中一般使用flask-sqlalchemy来操作数据库。flask-sqlalchemy的使用介绍如下: 一、SQLAlchemy SQLALchemy 实际上是对数据库的抽象,让开发者不用直接和 SQL 语句打交道,而是通过 Python 对象来操作数据库,在舍弃一些性能开销…

ASO专家绝不会分享的高级应用商店优化秘密!(2)

上回我们讨论了“推广应用内购买、实施应用内事件、如果使用特殊字符,请勿使用全部 30 个字符、新的评级是应用商店优化的货币、 在 Google Play 上,评论中的关键词很重要”等五个方面的内容,接下来小柚将继续和大家分享一些更细节的部分。 …

护眼台灯哪家品牌好?盘点全网五大爆款

护眼台灯能比较好的改善学习环境光线,尤其是现在孩子的近视率比较高,所以特别多家长都会给孩子准备上一盏台灯。但是也有一些消费者反馈护眼台灯购买后的体验不尽人意,甚至使用中还会出现很多负面影响,特别是新闻报道关于护眼台灯…

K8S临时小结

k8s是什么?能解决什么问题? k8s是容器管理平台,一套复杂的开源系统 如何更好的维护pod,k8s第二大要素(pod控制器) k8s的很多对容器(pod)管理的高级特性,都是基于控制器…

day51 java面向对象OOP

一、类和对象 1 对象、类 对象:一个实体 对象包含静态特征和动态特征 静态特征:属性(实例变量) 动态特征:行为(实例方法) 把具有相同属性和方法的对象分为一类 2 现实对象转化程序的对象…

Project_Euler-04 题解

Project_Euler-04 题解与优化 今天带来欧拉计划的第4题的程序分析与优化。 题目 如何判断回文数 int is_reverse(int n){int x n, sum 0;while (x){sum sum * 10 x % 10;x / 10;}return sum n; }如果为回文数,返回1,否则返回0. 暴力破解 两个循…

07 Redis之持久化(RDB+AOF)

4 Redis持久化 Redis 是一个内存数据库,然而内存中的数据是不持久的,若主机宕机或 Redis 关机重启,则内存中的数据全部丢失。 当然,这是不允许的。Redis 具有持久化功能,其会按照设置以快照或操作日志的形式将数据持…

Nginx缓存相关配置解析

文章目录 前言配置示例proxy_cacheproxy_cache_pathproxy_cache_keyproxy_cache_validproxy_cache_lockproxy_cache_methodsproxy_cache_bypassproxy_no_cacheproxy_cache_min_usesadd_header 可选项 使用示例通过响应头判断是否走缓存 缓存手动删除原博客 前言 客户端需要访问…

第五篇【传奇开心果系列】Python文本和语音相互转换库技术点案例示例:详细解读pyttsx3的`preprocess_text`函数文本预处理。

传奇开心果短博文系列 系列短博文目录Python文本和语音相互转换库技术点案例示例系列 短博文目录前言一、pyttsx3的preprocess_text函数文本预处理基本用法示例代码二、实现更复杂的文本预处理逻辑示例代码三、去除停用词、词干提取示例代码四、词形还原、拼写纠正示例代码五、…

力扣面试150 验证回文串 双指针 Character API

Problem: 125. 验证回文串 文章目录 思路复杂度Code 思路 👨‍🏫 参考题解 Character.isLetterorDigit(char c):判读字符 c 是否是字母或者数字 Character.toLowerCase(char c):将字符 c 转换为小写字母 复杂度 时间复杂度: …

基于vue的个性化推荐餐饮系统Springboot

项目:基于vue的个性化推荐餐饮系统Springboot 摘要 现代信息化社会下的数据管理对活动的重要性越来越为明显,人们出门可以通过网络进行交流、信息咨询、查询等操作。网络化生活对人们通过网上购物也有了非常大的考验,通过网上进行点餐的人也…

「Java开发指南」MyEclipse如何支持Spring Scaffolding?(三)

在上文中(点击这里回顾>>),主要为大家介绍了CRUD Scaffolding,本文将继续介绍应用程序的分层、代码助手等。 MyEclipse v2023.1.2离线版下载 3. 应用程序的分层 应用程序分层是应用程序开发领域中非常常见的体系结构方法…

欲速则不达,慢就是快!

引言 随着生活水平的提高,不少人的目标从原先的解决温饱转变为追求内心充实,但由于现在的时间过得越来越快以及其他外部因素,我们对很多东西的获取越来越没耐心,例如书店经常会看到《7天精通Java》、《3天掌握XXX》等等之类的书籍…

算法沉淀——二叉树中的深搜(leetcode真题剖析)

算法沉淀——二叉树中的深搜 01.计算布尔二叉树的值02.求根节点到叶节点数字之和03.二叉树剪枝04.验证二叉搜索树05.二叉搜索树中第K小的元素06.二叉树的所有路径 二叉树的深度优先搜索是一种遍历二叉树的方法,它通过深度递归的方式探索树的结构。有两种主要形式&am…

【洛谷 P8780】[蓝桥杯 2022 省 B] 刷题统计 题解(贪心算法+模拟+四则运算)

[蓝桥杯 2022 省 B] 刷题统计 题目描述 小明决定从下周一开始努力刷题准备蓝桥杯竞赛。他计划周一至周五每天做 a a a 道题目,周六和周日每天做 b b b 道题目。请你帮小明计算,按照计划他将在第几天实现做题数大于等于 n n n 题? 输入格式 输入一…

机器人内部传感器阅读笔记及心得-位置传感器-光电编码器

目前,机器人系统中应用的位置传感器一般为光电编码器。光电编码器是一种应用广泛的位置传感器,其分辨率完全能满足机器人的技术要求,这种非接触型位置传感器可分为绝对型光电编码器和相对型光电编码器。前者只要将电源加到用这种传感器的机电…

智慧驿站_智慧文旅驿站_轻松的驿站智慧公厕_5G智慧公厕驿站_5G模块化智慧公厕

多功能城市智慧驿站是在智慧城市建设背景下,所涌现的一种创新型社会配套设施。其中,智慧公厕作为城市智慧驿站的重要功能基础,具备社会配套不可缺少的特点,所以在应用场景上,拥有广泛的需求和要求。那么,城…

基于深度学习的红肉新鲜过期判决系统matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 4.1 系统构成与流程 4.2 模型训练与优化 5.算法完整程序工程 1.算法运行效果图预览 2.算法运行软件版本 MATLAB2022a 3.部分核心程序 ...............................................…