Linux/Doctor

Enumeration

nmap

已知目标开放了22,80,8089端口,扫描详细情况如下

可以看到对外开放了22,80,8089三个端口

TCP/80 SSTI

访问80端口,有一个info@doctors.htb的电子邮件,点击其他的也没有什么反应,猜测有可能需要域名访问

在/etc/hosts中增加主机与域名

然后在浏览器中访问该域名,进入了Doctor Secure Messaging登录页面,还可以注册新用户

先注册一个新用户,填好信息后显示账户被创建,但是只有20分钟

在New Message处创建的内容会在首页显示

并没有发现什么东西,但是在查看源代码发现了一个新的目录/archive

访问该页面却发现该页面是空白的,只有标题写着archive

但是在查看源代码时会显示xml输出,且之前创建的message标题test也包含在xml代码中

如果用户提供的标题值未经清理,则该页面容易受到服务器端模版注入(SSTI),如果能控制一个模版变量并插入 一个payload,有可能会被传入服务器执行

https://swisskyrepo.github.io/PayloadsAllTheThings/Server%20Side%20Template%20Injection/中详细讲述了如何检测是否存在该漏洞

首先,创建一个新的message,让标题为${7*7}

可以看到该代码只是原样输出,似乎并没有被执行,按照红线走下面那条路,再次创建标题为{{7*7}}的message

这次的得到的标题并不是输入的东西,而是真的计算了7*7=49,并返回了结果,可以判断存在SSTI注入,因为成功 执行了输入,所以顺着绿色剪头,这次输入{{7*'7'}}

得到了输出7次的结果,根据文章中描述,如果执行结果如上图所示,则很有可能使用的模板引擎为Jinja2

然后找到针对该引擎模板的反弹shell脚本并修改

在本地开启监听,然后在标题中输入以上代码,在刷新/archive页面即可得到shell

Lateral Movement

在目标系统上传linpeas来检查,先在本地开启http服务,然后将linpeas下载至目标,然后添加执行权限,最后执行

使用linpeas,在日志中发现了一个疑似密码Guitar123,但是这根本就不是邮箱的格式

使用该密码成功登录

Privilege Escalation

Splunk 8089

刚开始时枚举时,发现Splunk Forwarder实例正在端口8089上运行

Splunk是一种日志分析工具,用于收集、分析和可视化数据。尽管 Splunk 最初并非旨在成为 SIEM 工具,但它通常 用于安全监控和业务分析。Splunk 部署通常用于存储敏感数据,如果受到威胁,可能会为攻击者提供大量信息。 可以看到该程序以root身份运行,利用它可以使我们的权限升级,在本地克隆版本库,并输入 Python 版本漏洞利用 程序的文件夹

运行脚本,返回未认证

再次尝试使用刚刚获取的shaun:Guitar123来利用脚本,显示已经成功执行了指令

在kali中开启监听,然后执行一个反向shell

最终成功得到了一个shell,拥有root权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/646853.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

[每日一题] 01.25 - 子数整数

子数整数 k int(input()) flag False for i in range(10000,30001):a,b,c [int(str(i)[j:j 3]) for j in range(3)]if a % k 0 and b % k 0 and c % k 0:print(i)flag Trueif not flag:print(No)

美易平台:美股盘前动态:半导体股领涨,中概股表现各异

随着全球经济的波动和科技行业的快速发展,投资者对于股市的关注日益增加。近期,美国股市在盘前交易中呈现出了半导体股的普遍上涨态势。其中,英特尔(Intel)的股价上涨了1.6%,英伟达(NVIDIA&…

Python批量采集亚马逊商品数据

嗨喽~大家好呀,这里是魔王呐 ❤ ~! python更多源码/资料/解答/教程等 点击此处跳转文末名片免费获取 知识点: 爬虫基本流程 非结构化数据解析 开发环境: python 3.8 解释器, 运行代码 pycharm 随便 配置 python解释器 DrissionPage >>> p…

前出深入-机器学习

文章目录 一、K近邻算法1.1 先画一个散列图1.2 使用K最近算法建模拟合数据1.3 进行预测1.4 K最近邻算法处理多元分类问题1.5 K最近邻算法用于回归分析1.6 K最近邻算法项目实战-酒的分类1.6.1 对数据进行分析1.6.2 生成训练数据集和测试数据集1.6.3 使用K最近邻算法对数据进行建…

阿里云服务器部署幻兽帕鲁联机服务器详细教程

幻兽帕鲁是一款备受欢迎的多人在线游戏,其联机服务器对于游戏的稳定运行至关重要。本文将详细介绍如何在阿里云服务器上部署幻兽帕鲁联机服务器,新手小白也能轻松搭建并管理自己的游戏环境。 还未购买阿里云服务器可以参照下面的步骤部署,已经…

Vue+OpenLayers7入门到实战:在地图上添加缩放控件、比例尺控件和鼠标经纬度位置显示控件

返回《Vue+OpenLayers7》专栏目录:Vue+OpenLayers7 前言 本章主要介绍如何使用OpenLayers7在地图上添加地图缩放控件,比例尺显示控件和鼠标经纬度位置展示控件这三个Control控件。 二、依赖和使用 "ol": "7.5.2"使用npm安装依赖npm install ol@7.5.…

Sql server强制走索引

遇到一个奇怪的问题,同样的SQL,只是一个where条件不一样,一个是column1 AAA,一个是column1 BBB,他们的查询效率却差距甚大,一个要60秒,一个1秒以下。查看查询计划,一个使用了索引&…

【SpringBoot】mybatis基础操作

mybatis入门 1.mybatis准备操作 创建数据库: CREATE DATABASE mybatis_test DEFAULT CHARACTER SET utf8mb4; -- 使⽤数据数据 USE mybatis_test; -- 创建表[用户表] DROP TABLE IF EXISTS userinfo; CREATE TABLE userinfo ( id INT ( 11 ) NOT NULL AUTO_INCRE…

LeetCode刷题---分隔链表

解题思路: 根据题意对链表进行分割 创建链表l用来表示小于给定值x的链表,创建辅助链表left指向l的初始节点 创建链表r用来表示大于等于给定值x的链表,创建辅助链表right指向r的初始节点 创建辅助链表cur,指向head节点 对原链表进行遍历 如果当前节点的va…

电商数据:新时代的商业智慧与决策之源

随着科技的飞速发展,电子商务已经深入到我们生活的方方面面。人们越来越依赖网络购物平台来满足生活中的需求,而这种转变不仅改变了消费者的购物习惯,更对整个商业环境产生了深远的影响。在这其中,电商数据作为这一变革的核心要素…

Flink多流转换(2)—— 双流连结

双流连结(Join):根据某个字段的值将数据联结起来,“配对”去做处理 窗口联结(Window Join) 可以定义时间窗口,并将两条流中共享一个公共键(key)的数据放在窗口中进行配…

五、垃圾回收

1. 垃圾回收基础 1.1 什么是垃圾 简单说就是:内存中已经不再被使用到的内存空间就是垃圾。 1.2 如何判定是垃圾 1.2.1 引用计数法 引用计数法:给对象添加一个引用计数器,有访问就 1,引用失效就 -1 引用计数法的优缺点&#…

使用lora接收多个传感器数据方案设计

每个传感器的数据使用空格进行拼接,类似于"11 22 33 44 55"的字符串,Lora接收到字符串数据后,在循环中遍历接收到的数据字符串,使用一个二维数组存储数据,二维数组中的每一个一维数组为一个传感器的数据。当…

美易官方京东养车回应索赔事件:推动行业健康发展并携手品牌商家加码补贴

近日,一则关于途虎养车起诉京东索赔500万元的新闻引起了业界的广泛关注。据华尔街见闻1月25日报道,针对此事,京东养车相关负责人作出了回应。京东养车表示,“震虎价”并非针对特定企业,其核心目的在于通过提升效率来改…

抖音信息流广告引流,这种方法你要知道-数灵通

随着抖音的普及,我们经常会在刷视频的过程中遇到各种广告。这些广告不仅种类繁多,而且形式各异。除了常见的开屏广告和达人合作广告,信息流广告也是抖音广告的一种重要形式。那么,什么是信息流广告呢? 信息流广告是一种…

【.NET Core】深入理解任务并行库 (TPL)

【.NET Core】深入理解任务并行库 (TPL) 文章目录 【.NET Core】深入理解任务并行库 (TPL)一、概述二、数据并行(任务并行库)三、Parallel.For 循环示例四、Parallel.ForEach 循环示例五、处理并行循环中的异常六、数据并行总结6.1 不要假定并行的速度始…

什么是多视角回归?

多视角回归(Multi-view Regression)是一种机器学习方法,它处理具有多个数据源或视角的问题。在多视角回归中,每个视角提供了关于样本的不同信息。这种方法旨在综合这些信息以提高建模的性能。 具体而言,多视角回归适用…

03. 静态路由

文章目录 一. 静态路由概述1.1. 概述1.2. 路由信息获取方式1.3. 路由表的参数1.4. 路由协议的优先级1.5. 最优路由条目优先1.6. 最长前缀匹配原则 二. 实验实操2.1. 实验1:静态路由2.1.1. 实验目的2.1.2. 实验拓扑图2.1.3. 实验步骤(1)配置网…

数据结构——双链表

双链表中节点类型的描述: 双链表的初始化(带头结点) 、 双链表的插入操作 后插操作 InsertNextDNode(p, s): 在p结点后插入s结点 按位序插入操作: 思路:从头结点开始,找到某个位序的前驱结点&#xff…

周鸿祎回应坚定支持华为:因为 360 也被制裁了

在昨天的华为鸿蒙生态千帆启航仪式上,360集团创始人兼CEO周鸿祎发表演讲表示,360坚定地支持华为的决定源于双方都曾遭到制裁。周鸿祎在演讲中提到:“在华为最早被制裁的时候,我们是少数几个公开站出来坚定支持华为的公司。其实也很…