Linux/OpenAdmin

Enumeration

nmap

用nmap扫描发现目标对外开放了22和80,端口详细信息如下

从nmap的结果看到,是apache的default page,使用工具跑一下目录,看了官 网文档的结果然后写个小字典节约时间,扫描结果如下

On the page at /music, there is a link that doesn't point to another link on / music, but rather an administration tool. What is the relative path? 这个问题引导应该是要去看/music页面的源代码,里面有一些其他的链接,应该 是/ona

Exploitation

OpenNetAdmin 18.1.1 Remote Code Execution

访问该链接后就看到了版本信息,可以回答第三个问题

提示了版本信息,并且知道该版本是一个很久的版本,所以先去搜搜有没有什 么现成的漏洞,然后发现有现成的rce,将利用脚本镜像到工作目录

查看脚本发现利用xajaxargs参数来注入命令,输入服务的url

利用脚本搞了很久都没成功,查看别人写的文章才发现,是因为没有在url的最后加/

试了两三个命令去链接kali机,但都没有成功,引导的题目让填写用户,将 www-data填写提交后问jimmy的密码,有可能这个就是关键 但是脚本得到的shell并不能利用,因为脚本只是读取命令然后输出结果,然后无限循环,尝试直接利用脚本中关键的指令来反弹shell,先尝试执行id,发现成功了

┌──(kali㉿kali)-[~/vegetable/openadmin]
└─$ curl --silent -d

"xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxar gs[]=ip%3D%3E;id&xajaxargs[]=ping" http://10.10.10.171/ona/

...[snip]...

uid=33(www-data)
gid=33(www-data) groups=33(www-data)

...[snip]...

然后替换id为反弹shell的指令

提前在kali中开启监听,回车后即可得到一个www-data shell

Lateral Movement

jimmy

按照刚才的提示,现在应该去寻找jimmy的密码,最终在 database_settings.inc.php中找到了数据库的用户名密码

考虑可能重复使用密码,很幸运,利用该密码成功登录jimmy

可以去到其他地方

joanna

index.php显示了一个登录页面,其中还有hash

main.php显示如下,疑似登录后会返回joanna的密钥

进一步发现在本地监听了一个52846端口,有可能和刚才的网站有关系

刚刚的index.php中还得到了一个hash,先尝试破解该hash值

使用命令创建远程ssh隧道,将会把目标的52946端口转发到kali的8888端口

现在就可以使用jimmy/Revealed登录该网站

登陆之后,按照代码中描写,将得到joanna的ssh密钥

然后使用ssh2john生成hash,john来破解

利用rsa密钥登录joanna,然后可以拿到user的flag

ssh -i rsa joanna@10.10.10.171

Privilege Escalation

发现可以免密使用root权限执行以下命令

恰巧nano可以用来提权

执行命令sudo -u root /bin/nano /opt/priv

使用nano打开后,nano允许使用快捷方式插入文件,按ctrl + R后再次按ctrl + X 执行系统命令,然后执行上图中最后一行的命令即可

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/324728.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

深入了解WPF控件:基础概念与用法(三)

掌握WPF控件:熟练常用属性(三) DataGrid 用于显示和编辑数据的表格控件。它可以从多种数据源(如SQL数据库、LINQ查询或任何其他可绑定的数据源)中显示和编辑数据,支持排序、筛选、分页等功能。 DataGrid…

2024全新开发API接口调用管理系统网站源码 附教程

2024全新开发API接口调用管理系统网站源码 附教程 用layui框架写的 个人感觉很简洁 方便使用和二次开发

Android 11.0 mtp模式下连接pc后显示的文件夹禁止删除copy重命名功能实现

1.前言 在11.0的系统rom定制化开发中,usb连接pc端的时候有好几种模式,在做otg连接pc端的时候,改成mtp模式的时候,在pc端可以看到产品设备 的显示的文件夹的内容,对于产品设备里面的文件在pc端禁止做删除重命名拷贝等操作功能的实现 2.mtp模式下连接pc后显示的文件夹禁止删…

项目:基于OpenCV+百度云人脸识别项目

一.项目框架 基于OpenCV和百度云人脸识别的项目可以使用以下的框架来实现: 数据采集和预处理:使用OpenCV来采集摄像头或读取图像文件,并对图像进行预处理操作,例如裁剪、调整大小、灰度化等。 人脸检测:使用OpenCV的人…

MySQL多表查询(改进版)

1.创建student和score表 mysql> CREATE TABLE student (-> id INT(10) NOT NULL UNIQUE PRIMARY KEY ,-> name VARCHAR(20) NOT NULL ,-> sex VARCHAR(4) ,-> birth YEAR,-> department VARCHAR(20) ,-> address VARCHAR(50)-> ); Query O…

Leetcode2707. 字符串中的额外字符

Every day a Leetcode 题目来源:2707. 字符串中的额外字符 解法1:动态规划 题目要求将字符串 s 分割成若干个互不重叠的子字符串(以下简称为子串),同时要求每个子串都必须在 dictionary 中出现。一些额外的字符可能…

uniapp使用Android Studio离线打包

环境准备 Android Studio: 下载地址APP离线SDK下载: 下载地址; 目前我使用得是“Android-SDK3.8.7.81902_20230704”;需要与hbuider版本配套使用。Appkey: 参考我 以上三步准备好后,进行接下来的不住: 准备工程 导…

SpringBoot中整合ElasticSearch快速入门以及踩坑记录

场景 若依前后端分离版手把手教你本地搭建环境并运行项目: 若依前后端分离版手把手教你本地搭建环境并运行项目_本地运行若依前后端分离-CSDN博客 参考上面搭建项目。 ElaticSearch Elasticsearch 是java开发的,基于 Lucene 的搜索引擎。它提供了一…

Spring中的事件机制

文章目录 摘要正文jdk事件Spring事件Spring事件监听ApplicationContext主动监听注解监听Bean监听 Spring事件发布 总结 摘要 在这篇文章我们将介绍Spring的事件机制,包括Spring内置事件、自定义事件、事件监听、事件发布、事件广播机制、事件异常处理等内容。Sprin…

STM32 TIM输出比较、PWM波形

单片机学习! 目录 一、输出比较简介 二、PWM简介 三、输出比较通道 3.1通用定时器的输出比较部分电路 3.2高级定时器的输出比较部分电路 四、输出模式控制器 五、PWM基本结构 六、PWM参数计算 总结 前言 文章讲述STM32定时器的输出比较功能,它主…

K8S中使用helm安装MinIO

注意事项 使用helm部署MinIO分为两部分 helm部署MinIO operator,用来管理tenant(K8S集群中只能部署一个)helm部署MinIO tenant,真实的MinIO Cluster(K8S集群中可以部署多个) 使用helm部署到K8S集群&…

网工每日一练(1月15日)

1.某计算机系统由下图所示的部件构成,假定每个部件的千小时可靠度为R,则该系统的千小时的可靠度为 ( D ) 。 2.以下IP地址中,属于网络 201.110.12.224/28 的主机IP是( B )。 A.201.110.12.224 B.201.110.12.238 C.20…

【文本到上下文 #5】:RNN、LSTM 和 GRU

一、说明 欢迎来到“完整的 NLP 指南:文本到上下文 #5”,这是我们对自然语言处理 (NLP) 和深度学习的持续探索。从NLP的基础知识到机器学习应用程序,我们现在深入研究了神经网络的复杂世界及其处理语言的深刻能力。 在…

如何快速部署本地训练的 Bert-VITS2 语音模型到 Hugging Face

Hugging Face是一个机器学习(ML)和数据科学平台和社区,帮助用户构建、部署和训练机器学习模型。它提供基础设施,用于在实时应用中演示、运行和部署人工智能(AI)。用户还可以浏览其他用户上传的模型和数据集…

pip与pip3的区别

pip 和 pip3 都是 Python 的包管理工具,用于安装第三方库。它们的区别在于: pip 是 Python 2 和 Python 3 通用的包管理工具,它可以安装适用于 Python 2 和 Python 3 的库。pip3 是专门用于 Python 3 的包管理工具,它只能安装适用…

2023.12.30性质

若连通图上各边的权值均不相同,则该图的最小生成树是唯一的。 由k算法,即由边从小到大的顺序构造,如果边权值各不相同,那么构造出来的最小生成树唯一,就是唯一的顺序,从小到大 关于带权无向图的最小生成…

2024年信息安全不完全预测

不需要专家预言就能知道,计算机安全将在2024年出现在新闻中,而且可能不是什么好事。但2024年网络犯罪分子将如何试图突破防御并窃取有价值的数据,值得我们看一看安全专家们的看法和预测。 不需要专家预言就能知道,计算机安全将在…

<Linux> 进程间通信

目录 前言: 一、进程间通信 (一)进程间通信目的 (二)进程通信的要求 (三)进程间通信分类 二、管道 (一)什么是管道 (二)基本原理 &#…

SQL性能分析

SQL性能分析 1、SQL执行频率 ​ MySQL 客户端连接成功后,通过 show [session|global] status 命令可以提供服务器状态信 息。通过如下指令,可以查看当前数据库的INSERT、UPDATE、DELETE、SELECT的访问频次: -- session 是查看当前会话 ; …

20240115如何在线识别俄语字幕?

20240115如何在线识别俄语字幕? 2024/1/15 21:25 百度搜索:俄罗斯语 音频 在线识别 字幕 Bilibili:俄语AI字幕识别 音视频转文字 字幕小工具V1.2 BING:音视频转文字 字幕小工具V1.2 https://www.bilibili.com/video/BV1d34y1F7…