Vulnhub:hacksudo2

news2024/11/15 6:56:09

靶机下载地址

信息收集

主机发现

nmap 192.168.31.0/24 -Pn -T4

靶机ip:192.168.31.188

端口扫描

nmap 192.168.31.188 -A -p- -T4

开放端口有80,111,1337(ssh),2049(nfs)。

目录扫描

访问http服务。

点击图片进入游戏。玩了一下没看到什么信息。

目录扫描。

dirsearch -u http://192.168.31.188

结合这个系列靶机的渗透测试经验,file.php可能存在文件包含漏洞,缺少一个参数。

info.php,敏感信息泄露,网站根路径/var/www/html。

readme.md

Poppoppero.

模糊测试参数

file.php存在文件包含漏洞的可能,wfuzz模糊查询参数。

wfuzz -c -u http://192.168.31.188/file.php?FUZZ=/etc/passwd -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt --hh 238

参数file。

渗透

文件包含漏洞利用(LFI)

http://192.168.31.188/file.php?file=/etc/passwd,可知root和hacksudo有默认shell。(这样看可能比较乱,可以在终端使用curl查看curl 'http://192.168.31.188/file.php?file=/etc/passwd')

已经验证存在文件包含漏洞,尝试包含远程文件getshell,但是需要确认一个前提——php开启allow_url_include(允许远程包含)。从info.php内容得知,不允许远程文件包含。

LFI本地文件包含,且没有文件上传功能点如何getshell。

1、利用日志文件,例如:apache日志文件/Nginx错误日志/SSH登录日志,往日志文件中“写”一句话木马,文件包含日志文件来执行日志文件的一句话木马。经过测试利用日志文件写入一句话木马getshell的方法是不可行的。

2、通过LFI获取hacksudo用户的ssh私钥、公钥文件以此getshell也不可行,因为不回显。

NFS结合LFI

NFS共享目录挂载到本地

nmap探测靶机开放端口,知道靶机上运行了NFS服务,将NFS共享目录挂载到本地Linux。步骤如下:

1、查看nfs服务器上可用的共享目录
showmount -e 192.168.31.188
2、在Linux机器上创建一个用于挂载的目录
mkdir tp
3、mount命令挂载nfs共享目录
mount -t nfs 192.168.31.188:/mnt/nfs tp -o nolock

mount命令挂载到本地时出现了很多问题,例如:can't find /mnt/ in /etc/fstab,搜索引擎的普遍解决方式是在/etc/fstab下添加

192.168.31.188:/mnt/nfs  mnt  nfs  default  0  0        
  1. 需要挂载的文件系统或需要挂载的目录

  2. 挂载点

  3. 文件系统

  4. 挂载形式

  5. 是否备份,0是忽略,1是备份

  6. fsck选项

修改后提示:mount: (hint) your fstab has been modified, but systemd still uses the old version; use 'systemctl daemon-reload' to reload.按照提示使用systemctl daemon-reload消除了这个报错,成功挂载。

成功挂载后,将反弹shell复制到挂载目录中,即上传到共享文件夹。

nc开启监听,利用LFI包含反弹shell文件,成功getshell。

# python获得交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash");'

利用NFS提权

现在我们拿到了一个低权限shell,查看/etc/exports文件(NFS配置文件),发现可利用NFS提权。

框起来的部分解释:

  1. /mnt/nfs。共享文件夹路径。

  2. *。远程用户可挂载。

  3. rw。可读可写。

  4. no_root_squash。允许在共享内以root身份写入文件。

利用挂载NFS分享提权:这个提权方法的前提是启用no_root_squash。原理是只要我们在本地挂载共享目录时攻击机是root用户,就能以root身份赋予恶意可执行文件SUID权限,此时目标机共享文件夹中也会做相同修改,再执行恶意可执行文件达到提权目的。

这里我复制/bin/bash到挂载的共享文件夹中,修改权限并赋予SUID权限,之后执行SUID bash即可获得root shell(为什么不通过自定义漏洞利用程序,因为该靶机没有编译环境)。需要注意的是bash版本,先看一下目标机bash版本——5.0.17。

攻击机的bash版本——5.2.21。版本不同会报错的,需要找和目标机版本相同的bash。(刚好有个Ubuntn是5.0.17版本的bash)

将合适版本的bash复制到攻击机的挂载目录下,修改权限并赋予SUID。

chmod 777 bash
chmod +s bash

./bash -p 执行bash。

get root.txt!🎆

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2108281.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Mysql】系统服务启动访问报错问题处理:this is incompatible with sql_mode=only_full_group_by

一、背景: 本来已经正常运行的平台,突然有一天由于对服务器进行部分操作迁移,发现jar可以正常启动,但是访问功能一直报错,监控后台日志后,发现了问题: 报错的具体信息如下: Caused…

岳阳市美术馆预约平台(小程序)论文

摘 要 互联网发展至今,无论是其理论还是技术都已经成熟,而且它广泛参与在社会中的方方面面。它让信息都可以通过网络传播,搭配信息管理工具可以很好地为人们提供服务。针对高校教师成果信息管理混乱,出错率高,信息安全…

QT运行ROS工程

文章目录 使用QT创建ROS工程项目配置修改cmake环境配置运行设置 运行 使用QT创建ROS工程 工程名字和路径 下一步(直接选择默认选项就可以)->完成 完成之后 是这样的 接下来在工作空间里面创建功能包 鼠标选中src点击右键->添加新文件 name::功能包的名字…

2024国赛数学建模ABC题思路模型

完整的思路模型请查看文末名片 完整的思路模型请查看文末名片 完整的思路模型请查看文末名片

大屏可视化:完美自适应的解决方案

你好,我是沐爸,欢迎点赞、收藏、评论和关注。 昨天我们聊到阿里 DataV 大屏的五种自适应方案,每一种多少都有些瑕疵,如果没有看过昨天的博客,回头可以了解下:链接 可视化大屏如何完美适配屏幕&#xff1f…

新160个crackme - 048-monkeycrackme1

运行分析 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/8e7c9973721b4df1997cc9a83e0ef2b6.png 500x) 点击注册无反应 PE分析 Delphi程序,32位,无壳 静态分析&动态调试 使用DeDeDark进行分析,发现Register按钮事件地址入口…

Dataframe合并大两个df如何完美融合

哈喽,大家好,我是木头左! 一、引言 在数据分析过程中,经常需要将多个DataFrame进行合并。本文将详细介绍如何使用pandas库中的merge()、concat()、join()等方法实现两个DataFrame的合并,以及各种方法的适用场景和优缺…

【靶场】pikachu—RCE

🏘️个人主页: 点燃银河尽头的篝火(●’◡’●) 如果文章有帮到你的话记得点赞👍收藏💗支持一下哦 【靶场】pikachu—RCE 第一关 exec "ping"第二关 exec "eval" 第一关 exec “ping” 尝试 ping 一下本地12…

文生软件!国内没有任何一家大模型能做到的事,他却做到了!

书接上回,我们一手实测了一下阶跃星辰新出的文生图大模型Step-1X,效果非常的不错。 感兴趣的小伙伴们可以去看一下哈:[有彩蛋]大模型独角兽阶跃星辰文生图模型Step-1X上线,效果具说很炸裂?快来看一手实测!…

24. Redis缓存问题

1. 前言 在小型项目中(例如大部分 toB 业务),Redis 被作为缓存,我们无需过多关注缓存的性能,但是对于高并发的场景(例如 toC 的在线电商业务),在商品秒杀或者库存抢购的时候,Redis 也可能存在诸多潜在的问题,例如缓存穿透、缓存雪崩。 2. 缓存问题 2.1 缓存穿透 面…

「OC」iOS事件处理流程

「OC」初识iOS事件处理流程 文章目录 「OC」初识iOS事件处理流程触摸事件触摸事件的响应周期事件 响应者UIEventUITouchUIResponder 触摸流程系统响应阶段APP响应阶段寻找最佳响应者 构成响应链 寻找最佳响应者和响应链的区别总结参考资料 触摸事件 iOS的事件有好几种&#xf…

PDF到CAD转换:四大实用工具指南!

将纸质图纸或PDF文件转化为可编辑的CAD文件是一项基本技能。无论是为了更好地进行团队协作,还是为了简化设计流程,找到一个合适的PDF转CAD工具都是至关重要的。本文将深入探讨几款主流工具的功能特色,并结合实际使用经验分享个人见解。 福昕…

机器之心 | 预训练无需注意力,扩展到4096个token不成问题,与BERT相当

本文来源公众号“机器之心”,仅用于学术分享,侵权删,干货满满。 原文链接:预训练无需注意力,扩展到4096个token不成问题,与BERT相当 本文提出了双向门控 SSM(BiGS)模型,…

vben admin里面换行useTable里面的columns

{title: 标题,dataIndex: systemName,width: 300, minWidth: 300,customRender: ({ text }: { text: string }) > {return ${text};},}, customRender: ({ text }: { text: string }) > { return ${text}; },这行代码. 方法② ellipsis: false,加这个进去&#xff…

半导体产业核心环节有哪些?2024年中国半导体产业研究报告大揭秘!

半导体指常温下导电性能介于导体与绝缘体之间的材料。半导体应用在集成电路、消费电子、通信系统、光伏发电、照明应用、大功率电源转换等领域。半导体产业经济则是指以半导体产品为核心的经济活动,包括芯片设计、制造、封装测试及应用等。它是全球经济的支柱&#…

Linux 硬件学习 s3c2440 arm920t蜂鸣器

1.查找手册时钟图,输入12m想要通过pll得到400m的信号 2.对比pll值,找到最近的为405,得到pll中mdiv为127,pdiv为2,sdiv为1 3.想要得到fclk400,hclk100,pclk50,对比分频比例&#xff0…

Unet改进24:添加DualConv||轻量级深度神经网络的双卷积核

本文内容:在不同位置添加DualConv 目录 论文简介 1.步骤一 2.步骤二 3.步骤三 4.步骤四 论文简介 卷积神经网络(CNN)架构通常对内存和计算要求很高,这使得它们在硬件资源有限的嵌入式系统中不可行。 我们提出了双卷积核(DualConv)来构建轻量级深度神经网络。DualConv结…

亚马逊云科技 Gen BI 2024-09-04 上海站QuickSight

机缘 我又来了,感觉不上班比上班还要忙 天天像特种工一天,今天有度过的充实的一天,上午去图书馆,下午去了 亚马逊云科技 Gen BI 技术体验日 。 具体照片可以去 这里看 哈哈,这个就是我了 商业智能的趋势 根据艾瑞咨…

WildCard平台:什么是 ChatGPT 随心用?什么是 Claude 随心用?什么是随心用全能套餐?

最近胖虎收到很多私信都在询问,很多人搞不清楚什么是 ChatGPT 随心用?什么是 Claude 随心用?什么是随心用全能套餐?下面就对三种套餐做了全面的QA解答。 如果想直接使用随心用,或者订阅ChatGPT,或者支付 C…

示波器基础知识汇总(1)

系列文章目录 1.元件基础 2.电路设计 3.PCB设计 4.元件焊接 5.板子调试 6.程序设计 7.算法学习 8.编写exe 9.检测标准 10.项目举例 11.职业规划 文章目录 前言1、电子信号2、波属性①、幅度②、相移③、周期④、频率⑤、波形正弦波方波/矩形波三角波/锯齿波脉冲复合波 3、信…