攻防靶场(34):隐蔽的计划任务提权 Funbox1

目录

1. 侦查

    1.1 收集目标网络信息:IP地址

    1.2 主动扫描:扫描IP地址段

    1.3 搜索目标网站

2. 初始访问

    2.1 有效账户:默认账户

    2.2 利用面向公众的应用

    2.3 有效账户:默认账户

3. 权限提升

    3.1 计划任务/作业:Cron

靶场下载地址:https://www.vulnhub.com/entry/funbox-1,518/

1. 侦查

1.1 收集目标网络信息:IP地址

靶机启动后,没有提供IP地址。由于Kali和靶机在同一个C段,可以扫描ARP协议获取靶机IP地址。

ed27e8209a475f08f76a12d266d19dd0.png

1.2 主动扫描:扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描,发现21/FTP、22/SSH、80/HTTP、33060/TCP。

4cd301639b667756b6714217b886793a.png

1.3 搜索目标网站

访问80/HTTP,会跳转到域名,但域名无法解析。

1b7745b8d641bf4c50f7a089a8687d38.png

在本机添加域名绑定

f57dc889c54a255081ba535f068d2019.png

就能正常访问了

725391d34cd75d2133896fad2cbe39fd.png

是WordPress搭建的站点

5e7d75521b7b59e3fbe641bf92f5abed.png

2. 初始访问

2.1 有效账户:默认账户

扫描WordPress的后台帐号,并爆破帐号的密码。

8dce6a5c7d08eb75b2bab8cae0b3ab23.png

最终发现admin和joe两个帐号,且都成功爆破出密码,获得WordPress的admin和joe权限。

15ea5d7ae0ecf589deecb96b17b4e4fc.png

2.2 利用面向公众的应用程序

登录admin的WordPress后台

2b85b9bc958ab80768f0b1a94b1ea763.png

编辑插件内容,将内容改为反弹shell

461670cf69a72cdd62c71d3585351bc7.png

触发反弹shell

a2e45dbd447c7953b0926ea834a090fc.png

最终获得www-data权限

5999088ca76b78218c30d0d76282c408.png

2.3 有效账户:默认账户

使用joe的WordPress密码尝试登录SSH服务,竟然成功,获得joe用户权限

82f0bbb8e976d3ae2f7fae8d1c186590.png

3. 权限提升

以下提权操作,使用www-data用户权限或joe用户权限,效果是一样的。

3.1 计划任务/作业:Cron

默认shell是受限制的bash:rbash,可以使用vim命令获得正常shell

8a85e8af895a9fd53d270a3989ac45c6.png

3a7feacd0f53c8967342d0436a220d79.png

在用户目录下,发现 /home/funny/.backup.sh 备份脚本的功能是备份网站的根目录。

查看备份文件 /home/funny/html.tar 的修改时间,明显比其他文件的时间新,这说明刚刚完成过一次备份。

c471b1429199fbc76cce5145979ae33d.png

由此猜测,操作系统中存在定时执行备份脚本的计划任务。虽然这个环境无法通过计划任务或系统进程进行确认,但是可以通过pspy程序进行确认。

将pspy程序上传到目标服务器

3b0a8ecf70dccbb88abbfd6a88841237.png

赋予pspy程序可执行权限,然后执行

fef25b332d09da89146df5a8e633a420.png

最终可以看到,uid是0的root用户,和uid是1000的funny用户,都会定时执行备份脚本。

d1e576eda73919302b1295eb40278f81.png

那就往备份脚本中写入反弹shell的命令

80159f27e2a9279811ce09822665c843.png

有时是funny用户执行备份脚本反弹shell,可以获得funny用户权限

66cab828a14c9c6eb1f6e248dfc8aa9e.png

有时是root用户执行备份脚本反弹shell,可以获得root用户权限

b79c3291a91f5d26eee35d93f95dc4c6.png

通过root用户查看计划任务,确认funny用户每2分钟会执行一次备份脚本,root用户每5分钟会执行一次备份脚本。

0d66a5dbf05a07230a16c01ea8811643.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/67771.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

嵌入式入门Day38

C Day1 第一个C程序C中的输入输出输出操作coutcin练习 命名空间使用方法自定义命名空间冲突问题 C对字符串的扩充C风格字符串的使用定义以及初始化C风格字符串与C风格字符串的转换C风格的字符串的关系运算常用的成员变量输入方法 布尔类型C对堆区空间使用的扩充作业 第一个C程序…

kubernetes第七天

1.影响pod调度的因素 nodeName 节点名 resources 资源限制 hostNetwork 宿主机网络 污点 污点容忍 Pod亲和性 Pod反亲和性 节点亲和性 2.污点 通常是作用于worker节点上,其可以影响pod的调度 语法:key[value]:effect effect:[ɪˈfek…

docker minio镜像arm64架构

minio版本为RELEASE.2021-09-03T03-56-13Z 原项目信创改造,服务器资源改为了arm64架构,统信uos docker镜像库内没有对应的minio镜像,当前镜像为拉取源码后,自编译打包镜像,亲测可用。 使用方式 将tar包导入到服务器…

【DNS 阿里云,域名解析,解析到IP的指定端口】

- 进入 阿里云域名解析界面 - 点击 解析设置 - 添加记录 1.添加一条 A/AAAA 类型解析你的服务器的IP地址(不需要带端口号,这条解析只是起到中转作用) 示例:主机记录:aa.bb.com 记录值:xxx.xxx.xxx.xxx (…

前端实时显示当前在线人数的实现

实时显示当前在线人数的实现 本文档提供了在网页上实时显示当前在线人数的多种实现方法,包括使用 WebSocket 实现实时更新和轮询方式实现非实时更新。 方法一:使用 WebSocket 实现实时更新 服务器端设置 通过 Node.js 和 WebSocket 库(如 …

线性表的接口定义及使用

定义接口 using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks;namespace _001_线性表 {interface IListDS<T>//定义接口{int GetLength();void Clear();bool IsEmpty();void Add(T item);void Inser…

直流无刷电机控制(FOC):电流模式

目录 概述 1 系统框架结构 1.1 硬件模块介绍 1.2 硬件实物图 1.3 引脚接口定义 2 代码实现 2.1 软件架构 2.2 电流检测函数 3 电流环功能实现 3.1 代码实现 3.2 测试代码实现 4 测试 概述 本文主要介绍基于DengFOC的库函数&#xff0c;实现直流无刷电机控制&#x…

Vue3 + vue-virtual-scroller虚拟列表实现加载长列表

一、安装 github地址&#xff1a;https://vue-virtual-scroller-demo.netlify.app/chat demo运行地址&#xff1a;https://vue-virtual-scroller-demo.netlify.app/chat npm安装&#xff1a; npm install --save vue-virtual-scrollernextyarn安装&#xff1a; yarn add vu…

Google发布图像生成新工具Whisk:无需复杂提示词,使用图像和人工智能将想法可视化并重新混合

Whisk 是 Google Labs 的一项新实验&#xff0c;可使用图像进行快速而有趣的创作过程。Whisk不会生成带有长篇详细文本提示的图像&#xff0c;而是使用图像进行提示。只需拖入图像&#xff0c;即可开始创建。 whisk总结如下&#xff1a; Whisk 是 Google 实验室最新的生成图像实…

【面试题】技术场景 4、负责项目时遇到的棘手问题及解决方法

工作经验一年以上程序员必问问题 面试题概述 问题为在负责项目时遇到的棘手问题及解决方法&#xff0c;主要考察开发经验与技术水平&#xff0c;回答不佳会影响面试印象。提供四个回答方向&#xff0c;准备其中一个方向即可。 1、设计模式应用方向 以登录为例&#xff0c;未…

MySQL 子查询(重在练习)

第九章: 子查询 1.子查询的需求分析和问题解决 1.1基本使用 子查询(内查询)在主查询之前一次执行完成 子查询的结果被主查询(外查询)调用 注意事项 子查询要包含在括号内 将子查询放在比较条件的右侧 单行操作符对应单行子查询,多行操作符对应多行子查询 1.2子查询的分类…

物联网开发 的开发语言建议

对于物联网开发&#xff0c;选择合适的编程语言取决于具体的项目需求、硬件平台以及开发团队的技能。以下是几种常用的物联网开发语言及其适用场景&#xff0c;特别考虑到您当前的工作空间中包含 JavaScript 和 Vue 等技术栈&#xff1a; JavaScript (Node.js) 优点&#xff1a…

LeetCode:3298. 统计重新排列后包含另一个字符串的子字符串数目 II(滑动窗口 Java)

目录 3298. 统计重新排列后包含另一个字符串的子字符串数目 II 题目描述&#xff1a; 实现代码与解析&#xff1a; 滑动窗口 原理思路&#xff1a; 3298. 统计重新排列后包含另一个字符串的子字符串数目 II 题目描述&#xff1a; 给你两个字符串 word1 和 word2 。 如果…

海外招聘丨卡尔斯塔德大学—互联网隐私和安全副高级讲师

雇主简介 卡尔斯塔德大学以研究、教育和合作为基础。通过让社区参与知识发展&#xff0c;卡尔斯塔德大学为地区、国家和国际研究和教育发展做出了贡献&#xff0c;旨在提高可持续性、民主和健康。我们富有创造力的学术环境以好奇心、勇气和毅力为特征。通过采取批判性方法&…

CTFshow—文件包含

Web78-81 Web78 这题是最基础的文件包含&#xff0c;直接?fileflag.php是不行的&#xff0c;不知道为啥&#xff0c;直接用下面我们之前在命令执行讲过的payload即可。 ?filephp://filter/readconvert.base64-encode/resourceflag.php Web79 这题是过滤了php&#xff0c;…

iOS实际开发中使用Alamofire实现多文件上传(以个人相册为例)

引言 在移动应用中&#xff0c;图片上传是一个常见的功能&#xff0c;尤其是在个人中心或社交平台场景中&#xff0c;用户经常需要上传图片到服务器&#xff0c;用以展示个人风采或记录美好瞬间。然而&#xff0c;实现多图片上传的过程中&#xff0c;如何设计高效的上传逻辑并…

Cannot run program “docker“: CreateProcess error=2,系统找不到指定的文件

今天被这个问题坑了, 网上教程全是直接装插件就行 ,结果我连接可以成功 但是执行docker compose 就会出错, 检测配置 报错com.intellil,execution,process.ProcessNotCreatedException: Cannot run program “docker”: CreateProcess error2,系统找不到指定的文件 gpt 要我去…

Blender 2D动画与MATLAB数学建模:跨界融合的创新实践探索

文章目录 一、数据交换&#xff1a;从科学计算到创意表达的桥梁二、脚本自动化&#xff1a;从手动操作到无缝连接的升级三、跨界融合的创新实践意义《Blender 2D动画制作从入门到精通》亮点内容简介作者简介 《MATLAB数学建模从入门到精通》亮点内容简介作者简介 在数字创意与科…

vue项目上传ofd文件,导致文件类型丢失问题

1、问题 上传ofd文件&#xff0c;传到java后端&#xff0c;变成了无类型的文件&#xff0c;最后通过排查&#xff0c;发现前端通过vue组件上传的文件&#xff0c;没有文件类型了 2、解决办法 将文件内容重新放到一个新的文件中&#xff0c;并且给这个新的文件设置ofd类型 3…

HarmonyOS Next 日志工具介绍

HarmonyOS Next 日志工具介绍 在HarmonyOS Next开发中&#xff0c;日志是我们调试定位问题的主要手段&#xff0c;不管是hilog还是console&#xff0c;最终都可以输出到DevEco Studio的日志模块中&#xff1a; 在这里可以过滤应用进程、日志级别、日志内容呢&#xff0c;也可…