Linux/OpenAdmin

Enumeration

nmap

用nmap扫描发现目标对外开放了22和80,端口详细信息如下

从nmap的结果看到,是apache的default page,使用工具跑一下目录,看了官 网文档的结果然后写个小字典节约时间,扫描结果如下

On the page at /music, there is a link that doesn't point to another link on / music, but rather an administration tool. What is the relative path? 这个问题引导应该是要去看/music页面的源代码,里面有一些其他的链接,应该 是/ona

Exploitation

OpenNetAdmin 18.1.1 Remote Code Execution

访问该链接后就看到了版本信息,可以回答第三个问题

提示了版本信息,并且知道该版本是一个很久的版本,所以先去搜搜有没有什 么现成的漏洞,然后发现有现成的rce,将利用脚本镜像到工作目录

查看脚本发现利用xajaxargs参数来注入命令,输入服务的url

利用脚本搞了很久都没成功,查看别人写的文章才发现,是因为没有在url的最后加/

试了两三个命令去链接kali机,但都没有成功,引导的题目让填写用户,将 www-data填写提交后问jimmy的密码,有可能这个就是关键 但是脚本得到的shell并不能利用,因为脚本只是读取命令然后输出结果,然后无限循环,尝试直接利用脚本中关键的指令来反弹shell,先尝试执行id,发现成功了

┌──(kali㉿kali)-[~/vegetable/openadmin]
└─$ curl --silent -d"xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxar gs[]=ip%3D%3E;id&xajaxargs[]=ping" http://10.10.10.171/ona/...[snip]...uid=33(www-data)
gid=33(www-data) groups=33(www-data)...[snip]...

然后替换id为反弹shell的指令

提前在kali中开启监听,回车后即可得到一个www-data shell

Lateral Movement

jimmy

按照刚才的提示,现在应该去寻找jimmy的密码,最终在 database_settings.inc.php中找到了数据库的用户名密码

考虑可能重复使用密码,很幸运,利用该密码成功登录jimmy

可以去到其他地方

joanna

index.php显示了一个登录页面,其中还有hash

main.php显示如下,疑似登录后会返回joanna的密钥

进一步发现在本地监听了一个52846端口,有可能和刚才的网站有关系

刚刚的index.php中还得到了一个hash,先尝试破解该hash值

使用命令创建远程ssh隧道,将会把目标的52946端口转发到kali的8888端口

现在就可以使用jimmy/Revealed登录该网站

登陆之后,按照代码中描写,将得到joanna的ssh密钥

然后使用ssh2john生成hash,john来破解

利用rsa密钥登录joanna,然后可以拿到user的flag

ssh -i rsa joanna@10.10.10.171

Privilege Escalation

发现可以免密使用root权限执行以下命令

恰巧nano可以用来提权

执行命令sudo -u root /bin/nano /opt/priv

使用nano打开后,nano允许使用快捷方式插入文件,按ctrl + R后再次按ctrl + X 执行系统命令,然后执行上图中最后一行的命令即可

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/626112.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

new Handler(getMainLooper())与new Handler()的区别

Handler 在Android中是一种消息处理机制。 new Handler(); 创建handler对象,常用在已经初始化了 Looper 的线程中调用这个构造函数(即非主线程),如果感觉不好理解,可以把Handler handler new Handler() 理解为常用在…

Redis学习指南(11)-Redis的有序集合数据类型介绍

文章目录 特点和用途常用命令插入操作查询操作删除操作 示例总结 Redis的有序集合数据类型是一种高效的数据结构,能够存储多个成员和对应的分值,并能够根据分值进行快速的查找、插入和删除操作。本文将详细介绍Redis的有序集合数据类型,包括其…

【PostgreSQL】函数与操作符-数学函数和操作符

PostgreSQL函数与操作符-数学函数和操作符 PostgreSQL提供了许多数学函数和操作符,以处理数值数据。以下是一些常用的数学函数和操作符: PostgreSQL数学操作符 下表展示了所有可用的数学操作符。 操作符描述例子结果加2 35-减2 - 3-1*乘2 * 36/除&a…

曲面上偏移命令的查找

今天学习老王的SW绘图时,遇到一个命令找不到,查询了一会终于找到了这个命令,防止自己忘记,特此记录一下,这个命令就是“曲面上偏移”,网上好多的教程都是错误的,实际上这个命令没有在曲面里面&a…

MySQL(三)——函数

上期文章 MySQL(二)——SQL 文章目录 上期文章字符串函数数值函数日期函数流程函数总结 函数:一段可以直接被另一段程序调用的程序或代码 字符串函数 函数功能CONCAT(S1,S2,…Sn)字符串拼接,将S1,S2,…Sn拼接成一个字符串LOWER…

js原型和new过程

在JavaScript中,原型和继承是实现代码复用和扩展的重要机制。而new关键字则是用来创建对象的。 原型(Prototype): 在JavaScript中,每个对象都有一个原型(prototype)对象,这个原型对…

Docker查找docker组及用户

查找所有组及用户: cat /etc/passwd 可以查看所有用户的列表w 可以查看当前活跃的用户列表cat /etc/group 查看用户组在/etc/group 中的每条记录分四个字段: 第一字段:用户组名称; 第二字段:用户组密码; 第…

快速前端开发01

前端开发 1 前端开发1.快速开发网站2.浏览器能识别的标签2.1 编码(head)2.2 title(head)2.3 标题2.4 div和span2.4.5 超链接2.4.6 图片小结2.4.7 列表2.4.8 表格2.4.9 input系列(7个)2.4.10 下拉框2.4.11 多…

php踩坑:ajax向php提交整型值,$_POST中获取到的却是string类型的值

前端ajax提交number类型的值-1: $.ajax({url : theUrl,data : {data: {s: -1} // s是整数值-1},type: post,success: function(data) {console.log(data);} }php端获取到的却是string类型的"-1": $data$_POST[data]; // {"s":&…

Flask 项目怎么配置并创建第一个小项目?附上完成第一个小案例截图

目录 1. 为什么要学习 flask? 2. flask 是什么? 3. flask 如何使用? 要安装 Flask,可以按照以下步骤进行: 4. 使用流程 4.1. 新建项目 4.1.1. 打开 pycharm,新建项目 4.1.2. 设置目录,并…

MySql前言

🎥 个人主页:Dikz12🔥个人专栏:MySql📕格言:那些在暗处执拗生长的花,终有一日会馥郁传香欢迎大家👍点赞✍评论⭐收藏 目录 数据库有哪些软件?? Mysql MySql数…

一道使用LinkedList和Stack解决的算法题

一、无法吃午餐的学生数量 学校的自助午餐提供圆形和方形的三明治,分别用数字 0 和 1 表示。所有学生站在一个队列里,每个学生要么喜欢圆形的要么喜欢方形的。 餐厅里三明治的数量与学生的数量相同。所有三明治都放在一个 栈 里,每一轮&#…

华为手表开发:WATCH 3 Pro(10)获取心率_java 华为手表获取心跳

华为手表开发:WATCH 3 Pro(10)获取心率_java 华为手表获取心跳 Excerpt 文章浏览阅读1.2k次。鸿蒙开发,获取手表心跳,按钮点击后触发的方法,我们将跳转页面的代码写在这个位置就可以实现点击按钮进行跳转页面的动作。在HTML文件“index.hml”,添加按钮,这里按钮用到是标…

14.鸿蒙HarmonyOS App(JAVA)时钟组件计时器倒计时单选按钮复选框开关switch与开关按钮ToggleButton图像组件示范

鸿蒙HarmonyOS App(JAVA) 时钟组件 计时器 倒计时 单选按钮 复选框 开关switch 开关按钮ToggleButton 图像组件 ability_main.xml <?xml version"1.0" encoding"utf-8"?> <DirectionalLayoutxmlns:ohos"http://schemas.huawei.co…

HarmonyOS4.0系列——05、状态管理之@Prop、@Link、@Provide、@Consume,以及@Watch装饰器

状态管理 看下面这张图 Components部分的装饰器为组件级别的状态管理&#xff0c;Application部分为应用的状态管理。开发者可以通过StorageLink/LocalStorageLink 实现应用和组件状态的双向同步&#xff0c;通过StorageProp/LocalStorageProp 实现应用和组件状态的单向同步。…

同一对象放入集合转换成json异常记录

1、错误格式 [{"conditions":[{"field":"name","logic":"","relationship":"EQ"}],"logic":"AND"},{"$ref":"$[0]"}] 2、产生错误原因 单个对象想产生多条数…

关于群晖ARPL界面能出现ip但是使用Synology Assistant搜索不到ip问题 及解决方法

文章引用ing304 频道文章&#xff1a;https://qun.qq.com/qqweb/qunpro/share?_wv3&_wwv128&appChannelshare&inviteCode20jx8dPsU2z&contentID1m4NKs&businessType2&from181174&shareSource5&bizka 前言 当进入该界面后 提示IP无法访问&a…

【学习心得】图解Git命令

图解Git命令的图片是在Windows操作系统中的Git Bash里操作截图。关于Git的下载安装和理论学习大家可以先看看我写的另两篇文章。链接我放在下面啦&#xff1a; 【学习心得】Git快速上手_git学习心得-CSDN博客 【学习心得】Git深入学习-CSDN博客 一、初始化仓库 命令&#xff…

eBPF运行时安全

引言 eBPF作为当前linux系统上最为炙手可热的技术&#xff0c;通常被用于网络流量过滤和分析、系统调用跟踪、性能优化、安全监控&#xff0c;当下比较知名的项目有Cilium、Falco等。 Cilium 是一个开源的容器网络和安全性项目&#xff0c;致力于提供高效的容器通信和强大的安…

2023.12.16

邻接矩阵构造 typedef struct {int arcs[MaxVexNum][MaxVexNum];int vexnum, arcnum; } AMGraph; 其中&#xff0c;arc是一个二维数组&#xff0c;用于表示各个顶点之间的边的关系。vexnum表示图中顶点的数量&#xff0c;arcnum表示图中边的数量。 示例 AMGraph graph;…