Linux/Doctor

Enumeration

nmap

已知目标开放了22,80,8089端口,扫描详细情况如下

可以看到对外开放了22,80,8089三个端口

TCP/80 SSTI

访问80端口,有一个info@doctors.htb的电子邮件,点击其他的也没有什么反应,猜测有可能需要域名访问

在/etc/hosts中增加主机与域名

然后在浏览器中访问该域名,进入了Doctor Secure Messaging登录页面,还可以注册新用户

先注册一个新用户,填好信息后显示账户被创建,但是只有20分钟

在New Message处创建的内容会在首页显示

并没有发现什么东西,但是在查看源代码发现了一个新的目录/archive

访问该页面却发现该页面是空白的,只有标题写着archive

但是在查看源代码时会显示xml输出,且之前创建的message标题test也包含在xml代码中

如果用户提供的标题值未经清理,则该页面容易受到服务器端模版注入(SSTI),如果能控制一个模版变量并插入 一个payload,有可能会被传入服务器执行

https://swisskyrepo.github.io/PayloadsAllTheThings/Server%20Side%20Template%20Injection/中详细讲述了如何检测是否存在该漏洞

首先,创建一个新的message,让标题为${7*7}

可以看到该代码只是原样输出,似乎并没有被执行,按照红线走下面那条路,再次创建标题为{{7*7}}的message

这次的得到的标题并不是输入的东西,而是真的计算了7*7=49,并返回了结果,可以判断存在SSTI注入,因为成功 执行了输入,所以顺着绿色剪头,这次输入{{7*'7'}}

得到了输出7次的结果,根据文章中描述,如果执行结果如上图所示,则很有可能使用的模板引擎为Jinja2

然后找到针对该引擎模板的反弹shell脚本并修改

在本地开启监听,然后在标题中输入以上代码,在刷新/archive页面即可得到shell

Lateral Movement

在目标系统上传linpeas来检查,先在本地开启http服务,然后将linpeas下载至目标,然后添加执行权限,最后执行

使用linpeas,在日志中发现了一个疑似密码Guitar123,但是这根本就不是邮箱的格式

使用该密码成功登录

Privilege Escalation

Splunk 8089

刚开始时枚举时,发现Splunk Forwarder实例正在端口8089上运行

Splunk是一种日志分析工具,用于收集、分析和可视化数据。尽管 Splunk 最初并非旨在成为 SIEM 工具,但它通常 用于安全监控和业务分析。Splunk 部署通常用于存储敏感数据,如果受到威胁,可能会为攻击者提供大量信息。 可以看到该程序以root身份运行,利用它可以使我们的权限升级,在本地克隆版本库,并输入 Python 版本漏洞利用 程序的文件夹

运行脚本,返回未认证

再次尝试使用刚刚获取的shaun:Guitar123来利用脚本,显示已经成功执行了指令

在kali中开启监听,然后执行一个反向shell

最终成功得到了一个shell,拥有root权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/646853.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

[每日一题] 01.25 - 子数整数

子数整数 k int(input()) flag False for i in range(10000,30001):a,b,c [int(str(i)[j:j 3]) for j in range(3)]if a % k 0 and b % k 0 and c % k 0:print(i)flag Trueif not flag:print(No)

Python批量采集亚马逊商品数据

嗨喽~大家好呀,这里是魔王呐 ❤ ~! python更多源码/资料/解答/教程等 点击此处跳转文末名片免费获取 知识点: 爬虫基本流程 非结构化数据解析 开发环境: python 3.8 解释器, 运行代码 pycharm 随便 配置 python解释器 DrissionPage >>> p…

前出深入-机器学习

文章目录 一、K近邻算法1.1 先画一个散列图1.2 使用K最近算法建模拟合数据1.3 进行预测1.4 K最近邻算法处理多元分类问题1.5 K最近邻算法用于回归分析1.6 K最近邻算法项目实战-酒的分类1.6.1 对数据进行分析1.6.2 生成训练数据集和测试数据集1.6.3 使用K最近邻算法对数据进行建…

阿里云服务器部署幻兽帕鲁联机服务器详细教程

幻兽帕鲁是一款备受欢迎的多人在线游戏,其联机服务器对于游戏的稳定运行至关重要。本文将详细介绍如何在阿里云服务器上部署幻兽帕鲁联机服务器,新手小白也能轻松搭建并管理自己的游戏环境。 还未购买阿里云服务器可以参照下面的步骤部署,已经…

Vue+OpenLayers7入门到实战:在地图上添加缩放控件、比例尺控件和鼠标经纬度位置显示控件

返回《Vue+OpenLayers7》专栏目录:Vue+OpenLayers7 前言 本章主要介绍如何使用OpenLayers7在地图上添加地图缩放控件,比例尺显示控件和鼠标经纬度位置展示控件这三个Control控件。 二、依赖和使用 "ol": "7.5.2"使用npm安装依赖npm install ol@7.5.…

【SpringBoot】mybatis基础操作

mybatis入门 1.mybatis准备操作 创建数据库: CREATE DATABASE mybatis_test DEFAULT CHARACTER SET utf8mb4; -- 使⽤数据数据 USE mybatis_test; -- 创建表[用户表] DROP TABLE IF EXISTS userinfo; CREATE TABLE userinfo ( id INT ( 11 ) NOT NULL AUTO_INCRE…

LeetCode刷题---分隔链表

解题思路: 根据题意对链表进行分割 创建链表l用来表示小于给定值x的链表,创建辅助链表left指向l的初始节点 创建链表r用来表示大于等于给定值x的链表,创建辅助链表right指向r的初始节点 创建辅助链表cur,指向head节点 对原链表进行遍历 如果当前节点的va…

Flink多流转换(2)—— 双流连结

双流连结(Join):根据某个字段的值将数据联结起来,“配对”去做处理 窗口联结(Window Join) 可以定义时间窗口,并将两条流中共享一个公共键(key)的数据放在窗口中进行配…

五、垃圾回收

1. 垃圾回收基础 1.1 什么是垃圾 简单说就是:内存中已经不再被使用到的内存空间就是垃圾。 1.2 如何判定是垃圾 1.2.1 引用计数法 引用计数法:给对象添加一个引用计数器,有访问就 1,引用失效就 -1 引用计数法的优缺点&#…

抖音信息流广告引流,这种方法你要知道-数灵通

随着抖音的普及,我们经常会在刷视频的过程中遇到各种广告。这些广告不仅种类繁多,而且形式各异。除了常见的开屏广告和达人合作广告,信息流广告也是抖音广告的一种重要形式。那么,什么是信息流广告呢? 信息流广告是一种…

03. 静态路由

文章目录 一. 静态路由概述1.1. 概述1.2. 路由信息获取方式1.3. 路由表的参数1.4. 路由协议的优先级1.5. 最优路由条目优先1.6. 最长前缀匹配原则 二. 实验实操2.1. 实验1:静态路由2.1.1. 实验目的2.1.2. 实验拓扑图2.1.3. 实验步骤(1)配置网…

数据结构——双链表

双链表中节点类型的描述: 双链表的初始化(带头结点) 、 双链表的插入操作 后插操作 InsertNextDNode(p, s): 在p结点后插入s结点 按位序插入操作: 思路:从头结点开始,找到某个位序的前驱结点&#xff…

周鸿祎回应坚定支持华为:因为 360 也被制裁了

在昨天的华为鸿蒙生态千帆启航仪式上,360集团创始人兼CEO周鸿祎发表演讲表示,360坚定地支持华为的决定源于双方都曾遭到制裁。周鸿祎在演讲中提到:“在华为最早被制裁的时候,我们是少数几个公开站出来坚定支持华为的公司。其实也很…

如何进行H.265视频播放器EasyPlayer.js的中性化设置?

H5无插件流媒体播放器EasyPlayer属于一款高效、精炼、稳定且免费的流媒体播放器,可支持多种流媒体协议播放,可支持H.264与H.265编码格式,性能稳定、播放流畅,能支持WebSocket-FLV、HTTP-FLV,HLS(m3u8&#…

【域名解析】如何将域名指向对应服务器IP

目录 🌷一、域名解析基本概念 🌼1. 定义 🌼2. 域名解析类型 🌷二、域名解析服务器IP地址 🌼1. 操作步骤 🌼2. 验证 🌷一、域名解析基础知识 🌼1. 基本概念 定义: …

luceda ipkiss教程 58:输出器件的版图和三维模型

在ipkiss中,通过visualize_3d_povray可以输出包含器件的三维模型参数的.pov文件,再通过POV-Ray(免费软件,下载地址:https://www.povray.org/download/)就可以查看器件的三维模型。 如: 代码如…

如何安装MeterSphere并实现无公网ip远程访问服务管理界面

文章目录 前言1. 安装MeterSphere2. 本地访问MeterSphere3. 安装 cpolar内网穿透软件4. 配置MeterSphere公网访问地址5. 公网远程访问MeterSphere6. 固定MeterSphere公网地址 正文开始前给大家推荐个网站,前些天发现了一个巨牛的 人工智能学习网站, 通…

vivado 接口、端口映射

接口 重要&#xff01;接口只能在“fpga”类型的&#xff1c;component&#xff1e;中定义。接口部分提供了<component>上所有可用物理接口的列表。<interfaces>部分包含嵌套在其中的一个或多个<interface>标记。一个接口是通过使用<port_map>标记由多…

Spring 声明式事务讲解,和 @Transactional注解的用法

目录 一、Spring框架介绍 二、什么是声明式事务 三、如何解决并发性事务问题 四、Transactional注解的用法 一、Spring框架介绍 Spring框架是一个开源的Java应用程序开发框架&#xff0c;旨在简化企业级Java应用程序的开发。它提供了一种轻量级的、全面的编程和配置模型&a…

进阶C语言-自定义类型

为了便于描述复杂的对象,C语言就支持了自定义类型&#xff0c;其中包括了结构体、枚举和联合体&#xff0c;下面将为大家一一介绍。 自定义类型 &#x1f388;1.结构体&#x1f50e;1.1结构的基础知识&#x1f50e;1.2结构的声明&#x1f50e;1.3特殊的声明&#x1f50e;1.4结构…