Linux/BountyHunter

Enumeration

nmap

第一次扫描发现系统对外开放了21,22,80端口,端口详细信息如下

和以前一样,先从80端口的http服务开始探索

TCP/80

访问站点,主页有三个按钮,about,contact和portal。看起来像是一个安全研究,漏洞悬赏这一类的网站

点击about按钮,会滚动网页到对应地方,有更详细的介绍,介绍团队是针对系统漏洞的赏金猎人,如果感兴趣可以联系,还提到了团队成员掌握了缓冲区溢出漏洞,在最下面有一个报价表下载的按钮

点击contact会转到一个留言板

点击portal进入一个很简单的页面

点击here跳转到一个log_submit.php表单

dirsearch

先暂时放着,扫描一下web目录,看看有没有其他发现

dirsearch -u "http://10.10.11.100"

扫描发现只有这几个响应是200,但是并没有发现什么有意思的东西,db.php是空白的

resources下有readme.txt

但是并没有发现有意思的东西

Foothold

XML外部实体注入(XXE)

刚才还发现了log_submit.php,是一个表单,填写完内容点击提交后显示,如果DB准备好,将会添加下列信息,又出现了db,刚刚还发现了db.php

在burpsuite中可以发现,在提交这个包时对data进行了编码

尝试使用CyberChef去解码,先解一遍url,然后解base64,得到了结果,发现请求包中的数据是xml格式的

尝试利用xxe来检索文件,参考XML External Entity - Payloads All The Things

根据xml头,选择这个paylaod

编辑payload,然后对代码进行base64编码,在转化成url编码

将编码内容作为data的值发送,服务器响应后返回/etc/passwd文件

再次尝试,看看能否直接读取db.php文件的内容,但是失败了,而读取index.php也不行,查看别人的payload,发现有可能是因为无法将php代码处理为xml实体,所以使用了php过滤器

和刚才的方法一样,先编码

然后发送请求,得到的响应是被base64编码过的

将响应包中的内容解码得到了db.php的内容,可以看到有一些登录凭证

刚才在查看/etc/passwd时发现能登陆的用户只有root和development,考虑密码复用,尝试使用ssh连接远程主机,尝试development:m19RoAU0hP41A1sTsq6K时成功,可以找到user.txt

Privilege Escalation

在development目录下不仅发现了user.txt,还发现了contract.txt

该文件写有一段话,其中提到了有关 John 与 Skytrain Inc 的合同以及“rm -rf”事件的信息。还建议了我们可以研究的内部工具。

尝试在系统中搜索有关Skytrain Inc的东西

发现了留下的信息中提到的东西,进入该目录,发现了一个python脚本和一个无效票据目录

在刚刚的提示中还说了给了权限,猜测有可能与sudo有关,发现确实如此

首先看看python脚本中到底写了什么,可以看到一开始就要打开文件,匹配文件后缀为.md,而invalid_tickets中就有四个后缀名为.md的文件


#Skytrain Inc Ticket Validation System 0.1
#Do not distribute this file.def load_file(loc):if loc.endswith(".md"):return open(loc, 'r')else:print("Wrong file type.")exit()def evaluate(ticketFile):#Evaluates a ticket to check for ireggularities.code_line = Nonefor i,x in enumerate(ticketFile.readlines()):if i == 0:if not x.startswith("# Skytrain Inc"):return Falsecontinueif i == 1:if not x.startswith("## Ticket to "):return Falseprint(f"Destination: {' '.join(x.strip().split(' ')[3:])}")continueif x.startswith("__Ticket Code:__"):code_line = i+1continueif code_line and i == code_line:if not x.startswith("**"):return FalseticketCode = x.replace("**", "").split("+")[0]if int(ticketCode) % 7 == 4:validationNumber = eval(x.replace("**", ""))if validationNumber > 100:return Trueelse:return Falsereturn Falsedef main():fileName = input("Please enter the path to the ticket file.\n")ticket = load_file(fileName)#DEBUG print(ticket)result = evaluate(ticket)if (result):print("Valid ticket.")else:print("Invalid ticket.")ticket.closemain()

如果文件名能够匹配,就检查文件中的内容,检查第一行是不是"# Skytrain Inc",检查第二行是不是"## Ticket to ",检查有没有"__Ticket Code:__",在ticket行必须以"**"开头,ticket除以7的余数必须等于4,满足这个条件,则会调用eval函数删除"**"……

先尝试使用python脚本处理一张无效票据

在无效票据的基础上创建一张有效的

因为python脚本执行了危险函数eval,可以尝试导入os模块,并调用system函数来提权,编写md文件如下

# Skytrain Inc
## Ticket to New Haven
__Ticket Code:__
**18+410+__import__('os').system('bash')**
##Issued: 2021/04/06
#End Ticket

执行命令后成功获取root权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/743728.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

3D全景:为各行业提供更真实的交互体验

近年来,随着科技的不断发展,3D全景技术逐渐融入到了我们的日常生活中来。3D全景技术的应用落地,为广大用户提供了全新的视觉体验,让人们能够更加真实、直观地感受各行业的场景。 3D全景的优势就在于真实感和互动性,可以…

原型模式(Clone)——创建型模式

原型模式(clone)——创建型模式 什么是原型模式? 原型模式是一种创建型设计模式, 使你能够复制已有对象, 而又无需依赖它们所属的类。 总结:需要在继承体系下,实现一个clone接口,在这个方法中以本身作为拷…

openssl3.2 - exp - export ecc pubkey from ecc priv key

文章目录 openssl3.2 - exp - export ecc pubkey from ecc priv key概述笔记END openssl3.2 - exp - export ecc pubkey from ecc priv key 概述 前面实验已经生成了ECC私钥, 现在做从ECC私钥(内容为公私钥对, 里面既有私钥信息, 也有公钥信息)导出ECC公钥. 实验对应的命令行…

v-model 粗略解析

v-model 粗略解析 v-model是什么? 双向数据绑定,可以从data流向页面,也可以从页面流向data通常用于表单收集,v-model 默认绑定 value 值书写形式: v-model:value"" 或 v-model v-model原理是什么&#xf…

信道模拟器广泛应用于通信产业 我国企业竞争力不断提高

信道模拟器广泛应用于通信产业 我国企业竞争力不断提高 信道模拟器,模拟通信信道受环境因素影响产生各种特征的仪器,主要由接收电路、发射电路、模拟器、主控CPU等组成,可用于外场环境或者实验室环境中。 根据新思界产业研究中心发布的《202…

微信小程序一次性订阅requestSubscribeMessage授权和操作详解

一次性订阅:用户订阅一次发一次通知 一、授权 — requestSubscribeMessage Taro.requestSubscribeMessage({tmplIds: [], // 需要订阅的消息模板的id的集合success (res) {console.log("同意授权", res)},fail(res) {console.log(拒绝授权, res)}})点击或…

基于R语言piecewiseSEM结构方程模型在生态环境领域技术教程

原文链接:基于R语言piecewiseSEM结构方程模型在生态环境领域技术应用https://mp.weixin.qq.com/s?__bizMzUzNTczMDMxMg&mid2247597092&idx7&sn176695e746eccff68e04edda6521f131&chksmfa823dc3cdf5b4d5b77181eb1bd9a2d659ff38e23c7ea78d33bc1cc7d0…

vue3+Echarts实现中国地图

成品图: 准备工作: 1、创建一个vue3的项目 2、安装Echarts,最好是安装新版本或者比较稳定的版本 3、开发地图需要一个china.json文件 这里我就介绍一下如何获取china,json文件 阿里云 DataV - 数据可视化平台 (aliyun.com) 复制上面地址打开网…

直方图均衡化原理和实现

基本思想 将原始图像的直方图分布转换为一个均匀分布的直方图,这样原图中的高频率亮度值会被展宽,而低频率亮度值则被压缩,从而达到增强图像对比度的效果。 计算过程 假设我们有一个灰度图像,其像素值范围从0到L-1(…

达梦8数据库下载安装教程(windows)

写作不易,欢迎点赞~ 这里多说一嘴,如果想从Oracle把数据迁移到达梦数据库可参考我这篇文章:https://blog.csdn.net/li836779537/article/details/136642028?spm1001.2014.3001.5502 达梦8安装包(windows) 链接&…

美国洛杉矶云服务器的亮点优势

随着云计算技术的快速发展,云服务器已成为企业、个人用户追求高效、稳定、安全数据存储和运算的重要选择。在众多云服务器中,美国洛杉矶云服务器以其独特的优势脱颖而出,受到越来越多用户的青睐。本文将为您科普美国洛杉矶云服务器的亮点优势…

C++提高笔记(三)---STL容器(vector、deque)

1、vector容器 1.1vector基本概念 功能:vector数据结构和数组非常相似,也称为单端数组 vector与普通数组区别:不同之处在于数组是静态空间,而vector可以动态扩展 动态扩展:并不是在原空间之后续接新空间&#xff0…

【PHP + 代码审计】文件包含

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~ ✨主攻领域:【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】 🎉点赞➕评论➕收…

应对恶意IP攻击的有效方法

在当今数字化时代,网络攻击已经成为了互联网安全的重大挑战之一。恶意IP攻击是网络安全领域中的一种常见威胁,它可能导致数据泄露、服务中断、系统瘫痪等严重后果。因此,有效地应对恶意IP攻击至关重要。IP数据云将深入探讨如何应对恶意IP攻击…

精酿啤酒与日式料理的精致体验

当Fendi Club啤酒遇见日式料理,一场味蕾的精致盛宴就此展开。Fendi Club啤酒以其醇厚的口感和与众不同的麦香,为日式料理增添了别样的风味,而日式料理则以其精致的制作和丰富的口感,为啤酒带来了更多的层次感。 Fendi Club啤酒&am…

【论文笔记合集】ARIMA 非平稳过程通过差分转化为平稳过程

本文作者: slience_me 文章目录 ARIMA 非平稳过程通过差分转化为平稳过程文章原文具体解释详解 ARIMA 非平稳过程通过差分转化为平稳过程 文章原文 Many time series forecasting methods start from the classic tools [38, 10]. ARIMA [7, 6] tackles the foreca…

芯片公司SAP具体操作流程:从设计到生产的科技之旅

芯片公司作为现代科技产业的重要支柱,其运作涉及多个复杂环节。SAP作为一套企业资源计划系统,为芯片公司提供了从产品设计到生产制造的全方位管理支持。下面,我们就来详细科普一下芯片公司在SAP中的具体操作流程。 首先,芯片公司需…

阿里云服务器安全狗免费使用多引擎智能查杀引擎

云服务器具有按量付费、降低综合成本等诸多优势,受到很多企业的欢迎。 因此,目前使用的云服务器越来越多。 阿里云是目前云服务器中最具影响力的品牌,因此选择阿里云服务器的用户数量也是最多的。 那么阿里云服务器需要安装杀毒软件吗&#x…

CentOS 7安装MySQL及初始化操作教程

一、引言 MySQL是一款广泛使用的开源关系型数据库管理系统,适用于各种规模的应用场景。在CentOS 7系统中安装MySQL并进行初始化操作,可以为我们的应用程序提供稳定、可靠的数据存储服务。本文将详细介绍CentOS 7安装MySQL及初始化操作的步骤。 目录 一、…

行业认可 | 海云安上榜《2024年网络与信息安全行业全景图》多个领域

近日,深圳市网络与信息安全行业协会正式发布《2024年网络与信息安全行业全景图》。海云安凭借过硬的技术实力及成熟的网络与信息安全产品及服务获得行业认可,入围6大类目共计17项细分领域。包括: 业务安全(软硬件开发安全、人工智…