Devvortex

目标靶机

攻击机IP地址为10.10.16.2

信息收集

# nmap -sT --min-rate 10000 -p- 10.10.11.242 -oN port.nmap        
Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-21 10:32 CST
Warning: 10.10.11.242 giving up on port because retransmission cap hit (10).
Nmap scan report for 10.10.11.242
Host is up (0.21s latency).
Not shown: 33933 closed tcp ports (conn-refused), 31600 filtered tcp ports (no-response)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  httpNmap done: 1 IP address (1 host up) scanned in 107.34 seconds

端口开放情况:22和80端口

# nmap -sT -sC -sV -O -p22,80 10.10.11.242 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-21 10:35 CST
Nmap scan report for devvortex.htb (10.10.11.242)
Host is up (0.28s latency).PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.9 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 48:ad:d5:b8:3a:9f:bc:be:f7:e8:20:1e:f6:bf:de:ae (RSA)
|   256 b7:89:6c:0b:20:ed:49:b2:c1:86:7c:29:92:74:1c:1f (ECDSA)
|_  256 18:cd:9d:08:a6:21:a8:b8:b6:f7:9f:8d:40:51:54:fb (ED25519)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
|_http-server-header: nginx/1.18.0 (Ubuntu)
|_http-title: DevVortex
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 4.15 - 5.8 (96%), Linux 2.6.32 (95%), Linux 5.0 - 5.5 (95%), Linux 3.1 (95%), Linux 3.2 (95%), Linux 5.3 - 5.4 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (95%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%), Linux 5.0 (93%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelOS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 24.72 seconds

详细信息的探测结果:80端口服务由nginx 1.18.0起的http服务 ,操作系统为ubuntu系统,webtitle是DevVortex,无其他的信息

# nmap -sT --script=vuln -p22,80 10.10.11.242 -oN vuls.nmapStarting Nmap 7.94 ( https://nmap.org ) at 2024-02-21 10:34 CST
Stats: 0:00:00 elapsed; 0 hosts completed (0 up), 0 undergoing Script Pre-Scan
NSE Timing: About 0.00% done
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 10.10.11.242
Host is up (0.20s latency).PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-csrf: Couldn't find any CSRF vulnerabilities.Nmap done: 1 IP address (1 host up) scanned in 563.77 seconds

默认漏洞脚本的信息探测,似乎也没什么有价值的东西!

寻找立足点

首先访问80端口上开放的服务:

nikto扫描结果没什么发现,同时进行了目录扫描,也没什么突破点!

同时换gobuster再次进行扫描!

主动结束了,应该还是没什么东西!进行子域名的扫描:

gobuster vhost -u devvortex.htb -w /root/Desktop/top2000subdomain.txt --append-domain

发现了一个子域名为dev.devortex.htb,尝试访问子域名:

还是静态的东西,找不到突破点在什么地方,尝试再次对子域名进行目录扫描!

没等着扫描结束,就已经看到了相关路径,尝试访问administrator!

robots文件中再次提示了存在Joomla

发现了Joomla!存在历史漏洞,尝试寻找相关漏洞进行利用!发现了Joomla未授权访问漏洞(CVE-2023-23752),构造路径:/api/index.php/v1/config/application?public=true

lewis
P4ntherg0t1n5r3c0n##

发现了用户名和密码信息,尝试ssh直接登录(碰撞):

没那么简单,ssh密码错误,尝试登录到Joomla的后台,进行getshell!

进入后台之后,尝试利用Joomla后台getshell,找了一篇文章,介绍了三种方法joomla后台拿shell_joomla 后台getshell-CSDN博客;这里就用第三种方法进行尝试getshell!(这个比较简单)

找到了templates所在的地方:

在error文件中添加上反弹shell的代码,之后点击save&close:

本地建立监听,尝试访问shell的地址!http://dev.devvortex.htb/administrator/templates/atum/error.php

拿到初始的立足点!

提权

查看/etc/passwd文件,发现了存在一个活跃的用户为logan!看一下logan家目录下面的文件是否有权限让我们读取flag:

发现没有权限!寻找网站目录的相关配置文件:

发现了数据库的账号密码和网站的后台管理员账号密码相同!进入数据库之后,发现了两个用户的密码信息:

尝试利用john进行破解:

拿到了一个密码,应该就是logan用户的密码,尝试切换用户!

初步的提权成功了!查看flag文件,并且查看一下sudo权限!

能够执行apport-cli!权限提升经过查询资料发现了CVE-2023-1326,要求apport-cli的版本需要在2.26,而当前机器的apport-cli的版本是2.20.11;直接搬运CVE-2023.1326的exp,似乎无法执行!

需要在exp后面在添加一个less!

sudo /usr/bin/apport-cli -c /var/crash/some_crash_file.crash less

命令运行之后,输入v,之后再输入!/bin/bash回车即可!

权限提升成功!读取最终flag文件!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/260912.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MyBatis Plus:自定义typeHandler类型处理器

目录 引言:关于TypeHandler PostGreSQL:JSON数据类型 PostGreSQL数据库驱动:PGobject类 TypeHandler类型处理器 自定义类型处理器 类型处理器实现:PGJsonTypeHandler 注册类型处理器 引言:关于TypeHandler MyBa…

centos通过VNC连接

1.Centos上安装VNC服务端 yum list|grep vnc yum -y install tightvnc-server 2.windows电脑安装VNC客户端 下载并安装VNC-Viewer-7.9.0-Windows https://download.csdn.net/download/sj349781478/88856711 3.Centos启动VNC服务 #vncserver 4.通过客户端连接VNC服务端

kafka命令行操作

kafka命令行操作: 配置环境变量: export JAVA_HOME/usr/lib/jvm/java-1.8.0-openjdk export JRE_HOME${JAVA_HOME}/jre export CLASSPATH.:${JAVA_HOME}/lib:${JRE_HOME}/lib:$CLASSPATH export JAVA_PATH${JAVA_HOME}/bin:${JRE_HOME}/bin export PATH…

AI顶流OpenAI又一重磅力作Sora,究竟是什么?一文弄懂Sora:简介|发展历程|主要功能|使用场景|替代软件|AI软件工具推荐!

要说最近一周的头条热搜,非Sora莫属!Sora的诞生,再一次引发了人们对AI人工智能以及AIGC的关注。 对第一次听说Sora的人,可能会好奇,大家都在说的Sora是什么? Sora是什么软件? Sora&#xff0…

XML Map 端口进阶篇——常用关键字和格式化器详解

XML Map 端口是用于在不同XML之间建立关系映射的工具,允许通过拖拽操作实现源XML和目标 XML之间的数据字段映射,除此之外,XML Map 端口还提供了其它丰富多彩的功能,使用户能够更加灵活和高效的处理XML 数据映射任务,让…

解锁创意灵感,探索FlutterExampleApps项目的奥秘

解锁创意灵感,探索FlutterExampleApps项目的奥秘 项目简介 FlutterExampleApps项目是一个包含各种示例应用链接的仓库,旨在演示Flutter应用开发中的各种功能、特性和集成。 项目包含了以下几个部分,每个部分都涵盖了不同的内容和主题&…

使用 Next.js 连接 mysql 数据库

前言 本文主要为大家介绍,如何使用 Next 框架实现一个简单的后端接口,并且从数据库中请求数据返回给前端。 实现 创建api/getData文件夹 项目创建完成后在 app 文件下新建api文件夹,在 api 文件夹下新建 getData 文件夹,在 ge…

L1-047 装睡-java

输入格式: 输入在第一行给出一个正整数N(≤10)。随后N行,每行给出一个人的名字(仅由英文字母组成的、长度不超过3个字符的串)、其呼吸频率和脉搏(均为不超过100的正整数)。 输出格…

实现Slider 滑块组件标记动态变化

实现以上效果&#xff0c;下拉框、slider滑块、按钮都在同一行&#xff0c;设置flex布局后&#xff0c;发现silider滑块最右边的标记数字一直都如下竖着显示&#xff0c;后来通过给源组件的标记区.el-slider__marks-text增加一个宽度后解决该问题。 <template><div>…

如何使用IP代理解决亚马逊账号IP关联问题?

亚马逊账号IP关联问题是指当同一个IP地址下有多个亚马逊账号进行活动时&#xff0c;亚马逊会将它们关联在一起&#xff0c;从而可能导致账号被封禁或限制。 为了避免这种情况&#xff0c;许多人选择使用IP代理。 IP代理为什么可以解决亚马逊IP关联问题&#xff1f; IP代理是…

2.20 day2 QT

自由发挥登录窗口的应用场景&#xff0c;实现一个登录窗口界面 #include "widget.h"Widget::Widget(QWidget *parent): QWidget(parent) {//窗口相关设置this->setWindowTitle("登入页面"); //设置 窗口 标题this->setWindowIcon(QIcon("D:…

算法项目(2)—— LSTM、RNN、GRU(SE注意力)、卡尔曼轨迹预测

本文包含什么? 项目运行的方式(包教会)项目代码LSTM、RNN、GRU(SE注意力)、卡尔曼四种算法进行轨迹预测.各种效果图运行有问题? csdn上后台随时售后.项目说明 本文实现了三种深度学习算法加传统算法卡尔曼滤波进行轨迹预测, 预测效果图 首先看下不同模型的指标: 模型RM…

佳能2580的下载手册

凡是和电子产品有关的产品其内部都开始不断地进行内卷&#xff0c;在不断地内卷背后&#xff0c;意味着科技更新和换代&#xff0c;自己也入手了一台佳能2580的打印机&#xff0c;一台相对比较老式的打印机&#xff0c;以此不断地自己想要进行打印的需要。 下载的基础步骤&…

调用接口时不时出现 Error: socket hang up

项目场景&#xff1a; 提示&#xff1a;这里简述项目相关背景&#xff1a; 今天采用golang创建了一个http服务&#xff0c;准备对若干接口进行测试。 问题描述 提示&#xff1a;这里描述项目中遇到的问题&#xff1a; 在测试第一个接口时&#xff0c;发现采用postman调用接口…

Jenkins 2.426.3新版设置中文

1. 插件页面显示无法联网 &#xff0c;点击Plugins一直提示连接超时&#xff0c;设置公司代理后 2. 稍等一会儿点击如下图&#xff0c;插件就出来了&#xff0c;然后输入Locale进行下载 3. 以下是我下载安装好的 4.打开设置&#xff0c;找到Locale选项&#xff0c;设置成zh_CN…

禁止电子邮箱地址登录WordPress后台的插件No Login by Email Address

WordPress 4.5及之后的版本增加了使用注册用户的电子邮件地址代替用户名登录的功能&#xff0c;但是大多数个人站长的管理员邮箱地址都是固定&#xff0c;而且到其他站点进行评论留言也是同一个邮箱地址&#xff0c;很容易给一些别有用心的可乘之机&#xff0c;所以禁止WordPre…

Java后端底座从无到有的搭建(随笔)

文章目录 开发模式的演变草创时期1.0时期&#xff08;基座时期&#xff09;1.1时期&#xff08;低代码时期&#xff09;2.0时期&#xff08;无代码时期&#xff09; 前言&#xff1a;本文是笔者在初创公司&#xff0c;一年多来Java后端服务底座搭建过程的总结&#xff0c;如有不…

Java 最全面试总结——4.Spring篇

1、什么是spring? Spring 是个 java 企业级应用的开源开发框架。 Spring 主要用来开发 Java 应用&#xff0c;但是有些扩展是针对 构建 J2EE 平台的 web 应用。 Spring 框架目标是简化 Java 企业级应用开发&#xff0c;并通过 POJO 为基础的编程 模型促进良好的编程习惯。…

Gradle统一管理依赖

背景 随着项目越来越大&#xff0c;module 越来越多&#xff0c;依赖的库也越来越多&#xff0c;依赖管理也越来越混乱。 我们一般会有以下需求&#xff1a; 1. 项目依赖统一管理&#xff0c;在单独文件中配置 2. 不同 Module 中的依赖版本号统一 管理 Gradle 依赖 说明&a…

【动态规划专栏】专题二:路径问题--------6.地下城游戏

本专栏内容为&#xff1a;算法学习专栏&#xff0c;分为优选算法专栏&#xff0c;贪心算法专栏&#xff0c;动态规划专栏以及递归&#xff0c;搜索与回溯算法专栏四部分。 通过本专栏的深入学习&#xff0c;你可以了解并掌握算法。 &#x1f493;博主csdn个人主页&#xff1a;小…