news 2026/7/18 23:58:16

014靶场-NullByte

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
014靶场-NullByte

靶场环境下载下来,在本地vamware测试!

信息收集及漏洞利用

map -p- 192.168.115.0/24,nmap 192.168.115.157 -T4 -A -O,发现22、80端口等

目录扫描,dirsearch -u http://192.168.115.157/和dirb http://192.168.115.157,发现有用的就是phpmyadmin目录:

其它无可用信息!oscp考试不能用bp,因为用hydra爆破尝试:

提示爆破成功,但是登录的时候失败,说明不行!

由于80端口可以访问,打开首页只有一张图片:

查看源码也没发现有用的,把图片下载下来使用strings 查看一下:

两个工具提取出的文本,做为密码爆破phpmyadmin,也无果!

把爆破出的密码做为目录访问试试,结果成功了:

输入key或者kzMb5nVYJw 都提示无效的key,查看源码发现下一段提示:

说明可以爆破试试:

elite是key,输入之后如下:

测试一下sql注入:

sql注入漏洞!然后按照步骤获取数据库,获取数据表,获取数据列等,最后最user表获取数据:

用户名:ramses,密码:YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE,这么多大小写字母,很像base64编码,解码后:c6d6bd7ebf806f43c76acc3681703b81,像是md5加密,继续解密试试:omega。用户名和密码都有了,进行phpmyadmin和ssh远程登录,最后ssh登录成功,注意这个靶场的ssh端口是777需要加-p参数指定端口:

漏洞利用思路二:既然可以进行sql注入,我们使用sql写入一句话木马,但是一句话木马的文件写在哪个目录呢?这就得碰运气:

说是在/var/www/html里面,我们先测试输入 phpinfo:

没有写的权限,上面信息收集还收集到了一个uploads目录,如果不行就换其它的思路:

接下来就写入一句话木马用蚁剑连接,然后进行反弹shell。也可以写入命令执行函数进行反弹shell:

然后进行反弹shell。

漏洞利用思路三

写sql注入的时候直接写反弹shell命令进行反弹,这里就不说了,下去可以试验一下!调试有点费劲!

SQL注入写入反弹shell

权限提升

权限提升时的几个常规信息收集:

发现都没用可以利用的价值,然后看看SUID提权:

find / -user root -perm -4000 -print 2>/dev/null

发现特殊文件/var/www/backup/procwatch!查看权限,其它用户可以执行:

提权原理,procwatch 文件的所属用户和所属主都是root,而且其它用户可以执行(ramses用户可以执行),而且被设置了s位(SUID提权原理就是让执行者ramses临时获得文件所有者root的权限),

ln -s /bin/sh ps 的意思是把/bin/sh 以软连接的形式伪装成ps,执行procwatch的时候执行里面的ps,这样普通用户执行procwatch的时候获得root的权限,并且以root身份开启了shell,我们就获得大了root权限。那为什么又用软连接和环境变量呢:在不加环境变量的时候执行procwatch遇到ps,linux的机制首先会从系统默认的环境变量寻找ps,如果我们把当前目录加入到环境变量,则执行的时候从我们加入的环境变量找ps,ps又是/bin/sh的软链接,所以找到了/bin/sh。测试了一下

ln -s /bin/bash ps,这样提权就不成功,到时候可以试试!

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/18 10:51:22

SAP ABAP拆分交货单数量、批次、存储地点 并过账

案例:将交货单数量拆分到不同批次,一个批次下数量为1,并进行过账。 发布时间:20251218主要逻辑分为两个部分: 拆分和过账,拆分批次时必须写入存储位置,否则过账可能会报错(eg&#x…

作者头像 李华
网站建设 2026/7/19 0:18:53

基于MPC的智能车运动预测和控制算法 Motion predication; Kinemati...

基于MPC的智能车运动预测和控制算法 Motion predication; Kinematic model //. MATLAB coding //. 加入求解步骤进而得到自定义成本函数的可扩展MPC控制器; //. 模型状态空间方程线性化和离散化; //. 可与风险场/人工势场/决策/轨迹跟踪等算法集成; //. 需要用到车辆运动学模…

作者头像 李华
网站建设 2026/7/18 1:50:31

Mathcad的野路子】11kW PFC参数计算书实战拆解

大厂的PFC程序参数变量计算书 11kwPFC mathcad打开某大厂PFC控制程序的计算书,满屏Mathcad公式看得人头皮发麻。今天就带各位手撕这份11kW功率因数校正的参数计算说明书,咱们用最糙的实操逻辑来理解这些看似高冷的公式。先看输入条件:400V三相…

作者头像 李华
网站建设 2026/7/17 19:59:40

STM32学习笔记CAN

1.CAN基础知识1.CAN的介绍高速can,低速can的拓扑图(终端电阻,用于阻抗匹配,减少回波反射)2.CAN的物理层显性电平具有优先权(逻辑0)。3.Can总线制裁2.stm32的can控制器CAN控制器的工作模式有三种:初始化&…

作者头像 李华
网站建设 2026/7/19 10:48:22

搭建你的第一个“私有知识库” (RAG)

最近 AI 圈子里最火的技术莫过于 RAG (检索增强生成)。简单说,就是给大模型“外挂”一个你的私人资料库,让它能回答你公司内部文档、个人笔记里的问题。 市面上很多 RAG 工具都要收费,或者部署起来像修核电站一样复杂。 今天,我给…

作者头像 李华
网站建设 2026/7/17 15:00:41

13、Unix 系统磁盘管理与安全定位脚本实用指南

Unix 系统磁盘管理与安全定位脚本实用指南 在 Unix 和 Linux 系统中,磁盘管理和文件查找是系统管理员日常工作中的重要任务。本文将介绍几个实用的脚本,帮助你更高效地管理磁盘空间、监控磁盘使用情况以及安全地查找文件。 磁盘配额监控脚本 首先,我们来看看磁盘配额监控…

作者头像 李华