pwnlab_init

最新推荐文章于 2024-08-07 18:33:50 发布
最新推荐文章于 2024-08-07 18:33:50 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: OSCP靶机 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lonelyhat/article/details/105818040
版权

找到目标IP 192.168.11.131

扫描端口

开放80端口 apache中间件版本暂无可用exp

3306mysql数据库

111 rdp远程桌面

先扫一下80的目录

看到config.php

然后可能存在注入 使用sqlmap无结果放弃注入

查看URL

可能存在文件包含

http://192.168.11.131/index.php?page=php://filter/convert.base64-encode/resource=config.php

此文件包含不用填写后缀名

http://192.168.11.131/index.php?page=php://filter/convert.base64-encode/resource=config

base64解码出config.php的源码

以至于找到另一个文件读取和执行的漏洞

 

远程连接数据库

同样的base64解码

思路来了:

登录网页 上传木马获取webshell--》提权

先看看upload的源码怎么写的

<?php

session_start();

if (!isset($_SESSION['user'])) { die('You must be log in.'); }

?>

<html>

	<body>

		<form action='' method='post' enctype='multipart/form-data'>

			<input type='file' name='file' id='file' />

			<input type='submit' name='submit' value='Upload'/>

		</form>

	</body>

</html>

<?php 

if(isset($_POST['submit'])) {

	if ($_FILES['file']['error'] <= 0) {

		$filename  = $_FILES['file']['name'];

		$filetype  = $_FILES['file']['type'];

		$uploaddir = 'upload/';

		$file_ext  = strrchr($filename, '.');

		$imageinfo = getimagesize($_FILES['file']['tmp_name']);

		$whitelist = array(".jpg",".jpeg",".gif",".png"); 



		if (!(in_array($file_ext, $whitelist))) {

			die('Not allowed extension, please upload images only.');

		}



		if(strpos($filetype,'image') === false) {

			die('Error 001');

		}



		if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg' && $imageinfo['mime'] != 'image/jpg'&& $imageinfo['mime'] != 'image/png') {

			die('Error 002');

		}



		if(substr_count($filetype, '/')>1){

			die('Error 003');

		}



		$uploadfile = $uploaddir . md5(basename($_FILES['file']['name'])).$file_ext;



		if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile)) {

			echo "<img src=\"".$uploadfile."\"><br />";

		} else {

			die('Error 4');

		}

	}

}



?>

以上代码对文件的后缀进行白名单过滤,对文件格式类型也是进行白名单,对文件重命名。

1.使用截断

2.在图片中插入木马

使用文件执行的漏洞获取反弹shell

开始提权

我的shell不知是什么原因开始双写,不影响操作

使用数据库的密码进行登录尝试

我使用kane登录,在home下看见msgmike的程序执行后发现找不到文件

strings查看程序内部

有一个查看/home/mike/msg.txt的操作但是没有文件所以会有报错

在tmp目录下创建一个cat文件内容是/bin/bash 修改环境变量后让msgmike执行bash -i获得mike的权限

返回kane目录

到mike目录下

可能存在命令注入

来尝试一下

开始获取root权限

看起来是不让cat查看 重新获取root使用head查看

梵歆
关注
专栏目录
TypeError: LoraConfig.__init__() got an unexpected keyword argument ‘layer replication‘解决方案
weixin_43178406的博客
04-04 8万+
本文主要介绍了TypeError: LoraConfig.__init__() got an unexpected keyword argument ‘layer replication’,希望能对使用lora微调的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
TypeError:__init__() got an unexpected keyword argunent ‘executable_path‘解决方案
热门推荐
weixin_43178406的博客
06-30 7万+
本文主要介绍了TypeError:__init__() got an unexpected keyword argunent 'executable_path’解决方案,希望能对学习selenium的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案 2.1 方案一 2.2 方案二
pwnlab-init靶机渗透测试
weixin_49340699的博客
07-14 1025
pwnlab-init靶机渗透测试流程 流程 首先信息收集对目标网段进行扫描 netdiscover -i etho -r 192.168.19.0/24 发现目标主机192.168.19.149 用nmap对目标主机端口扫描 nmap -sV 192.168.19.149 开了三个端口 80 111 3306 首先访问80端口 三个页面有上传,登录,和一个啥也没有的home页面上传要求先登录 从登录页面下手 打开登录页面可以看到这个url很敏感 应该是存在文件包含漏洞 先扫一下目录看看有没有发
Vulnhub靶机 PWNlab_init
菜浪马废的博客
04-15 1325
找到靶机ip 扫描到端口 发现/config.php LFI 学习链接https://blog.csdn.net/qq_29419013/article/details/81202358 解码 得到了一个数据库账号 登录进去,看见三组账号(登录时加-D,不然不能登录) kent | Sld6WHVCSkpOeQ== JWzXuBJJNy mike | U0lmZHNURW42S...
No.18-VulnHub-PwnLab: init-Walkthrough渗透学习
qq_34801745的博客
01-15 1887
** VulnHub-PwnLab: init-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/pwnlab-init,158/ 靶机难度:中级(CTF) 靶机发布日期:2016年8月1日 靶机描述:Wellcome to “PwnLab: init”, my first Boot2Root virtual machine. Meant to b...
OSCP pwnlab_init 靶机渗透
Shadow的博客
04-07 476
pwnlab_init 靶机渗透 目标:得到root权限 作者:shadow 时间:2021-04-07 请注意:对于所有计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。 一、信息收集 netdiscover -i eth0 pwnlab_init主机ip为172.16.1.20 nmap -A -p- 172.16.1.20 我们看到开启了80、3306等端口,登..
红队打靶练习:PWNLAB: INIT
分享
12-12 759
【代码】红队打靶练习:PWNLAB: INIT。犹如蟒蛇缠绕般的窒息感.......
VulnHub-pwnlab_init渗透
chengshiming520的博客
06-17 981
VulnHub-pwnlab_init渗透
TypeError: AsyncConnectionPool.__init__() got an unexpected keyword argument ‘socket_options‘解决方案
weixin_43178406的博客
12-13 5万+
本文主要介绍了TypeError: AsyncConnectionPool.__init__() got an unexpected keyword argument ‘socket_options’ 解决方案,希望能对使用stable diffusion的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
pwnlab_init靶机
小小猪的博客
06-09 348
pwnlab_init靶机 arp-scan -l 查询靶机ip地址 nmap -sV -Pn -A x.x.x.231 发现开放80,111,3306端口 发现登录界面 查看URL http://x.x.x.231/index.php?page=login 可能存在文件包含漏洞 此文件包含不用填写后缀名http://x.x.x.231/index.php?page=php://filter/convert.base64-encode/resource=config .
vulnhub PwnLab: init
箭雨镜屋
01-03 3146
本文思路: nmap扫描---->dirb扫描---->nikto扫描---->LFI读取config.php,获得数据库账号密码---->远程登录mysql找到网站用户账户---->上传图片马,通过LFI(cookie参数值)获得反弹shell---->修改$PATH配合suid得到mike的shell---->suid结合命令注入提权
18-VulnHub-pwnlab_init
尼德霍格007
08-13 762
18-VulnHub-PwnLab: init 靶机地址:https://www.vulnhub.com/entry/pwnlab-init,158/ 目标:得到root权限&找到flag.txt 作者:尼德霍格007 时间:2021-8-12 注意:此次渗透在VMware虚拟机中演示,kali机IP地址为192.168.21.128。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。 一、信息收集 nmap扫描靶机地址 看到靶机地址是192.168.21.6 扫描靶机开
vulnhub靶机渗透:PWNLAB: INIT
Mysmycbx的博客
07-11 1033
vulnhub 靶机渗透:PWNLABINIT
vulnhub渗透日记11:pwnlab_init
ericalezl的博客
07-23 743
⏰时间:2023.7.23🗺️靶机地址:https://www.vulnhub.com/entry/pwnlab-init,158/⚠️文中涉及操作均在靶机模拟环境中完成,切勿未经授权用于真实环境。
PwnLab: init-文件包含、shell反弹、提权--靶机渗透思路讲解
最新发布
xt350488的博客
08-07 990
读新建取/home/mike/msg.txt文件,我们新建一个cat文件,并添加执行权限,依次执行以下命令。这些都试过了,那么直接包含index呢,出来了index的源码,就可以发现它的包含规则不能包含后缀。然而当我们调用cat命令的时候,cat会从以上目录来寻找,如果我们添加.到$PATH环境变量,我们切换这个mike用户,不能登录,鉴权失败,我们也就无法查看这个文件。切换用户kane,里面有一个msgmike文件,查看它,这有一个命令。在url上面有一个page,猜测是文件包含漏洞,我们包含。
vulnhub靶场--pwnlab_init靶场
zzzzzzkeai的博客
12-08 379
vulnhub靶场--pwnlab_init靶场
【甄选靶场】Vulnhub百个项目渗透——项目十八:pwnlab_init(LFI本地文件包含,PHP伪协议,文件上传绕过,逆向分析)
人间体佐菲的博客
09-21 1690
网络安全,信息安全,渗透测试
Pwnlab靶机
qq_58672257的博客
12-12 575
使用nmap函数得到pwnlab的ip为192.168.88.147。
2021年2月2日-NO18-Vulnhub-pwnlab_init-渗透学习
AnonyMousIT的博客
02-03 392
2021年2月2日-NO18-Vulnhub-pwnlab_init-渗透学习 一、简介 二、信息收集 扫描端口 可以看到 开放着80,111,3306,49422端口 使用nikto 网站进行扫描 看到 config.php可能含有数据库id和密码 访问web页面 这里可以看出 存在LFI(本地文件包含漏洞) 参考文章 https://diablohorn.com/2010/01/16/interesting-local-file-inclusion-method/ http://192.168.
__init__和_init_
07-27
__init__和__init__是同一个概念,都是Python中的特殊方法,用于初始化一个类的实例。\[1\]在Python中,每当创建一个类的实例时,都会自动调用该类的__init__方法。__init__方法的第一个参数永远是self,表示创建的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值