Proving Grounds - Tico
Recon
1 | nmap 192.168.57.143 -p- -Pn -sT |
GetShell
80端口是一个前端的应用,无论如何交互都不会与后端服务发生请求:
8080端口有一个名为nodeBB的web应用:
nodeBB有一个账户接管漏洞:
漏洞说明:
看起来是在更改密码的时候:
将数据包中的uid标识符从2改成1:
然后退出用户,以admin身份登录:
然后用到了这个洞:
漏洞脚本需要改这里:
看起来是将我本地的pub写入了root的的authorized_keys中,可以成功登录:
All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.
wechat
alipay
Related Articles
2024-07-26
Proving Grounds Access Writeup
Recon:对端口进行扫描探测: 1nmap 192.168.203.187 -p- -Pn -n -sT --min-rate 2000 1nmap 192.168.203.187 -sC -sV -p 53,80,88,135,139,389,445,464,593,636,3268 -Pn 根据扫描结果来看,目标域名为access.offsec。 GetFlag:搜集目录信息,发现有趣的URL: 1dirsearch -u http://access.offsec/ 1234http://access.offsec/cgi-bin/printenv.plhttp://access.offsec/uploads/http://access.offsec/assets/http://access.offsec/forms/ 获取到站点绝对路径: 点击网页的Buy...
2024-12-24
Proving Grounds Clue Writeup
Proving Grounds - ClueRecon GetShell打开3000端口: 右上角是一个CQL查询的接口,页面显示版本号为3.11.13,搜索漏洞: 这个版本号不一定是Cassandra的版本号,有可能是那个集群id的版本,所以exploit DB中的文件读取poc可以尝试一下: 目标机器上存在两个用户,cassie与anthony。根据漏洞脚本的提示: 读取/proc/self/cmdline: 没什么效果。搜素8021上的服务指纹,找到一个命令注入: 但是他需要密码: 所以大概思路就是,利用文件读取漏洞却尝试读取密码,最后发现密码文件在: 对RCE利用脚本进行更改: 反弹shell: 发现3000端口才能出站。升级交互式shell: 发现用户ssh密钥: 可以用文件读取漏洞去获取: 这是root用户的密钥:
2024-07-26
Proving Grounds Slort Writeup
Recon:1nmap 192.168.196.53 -p- -Pn --min-rate 2000 -sT -n ![image-20240706195058310]https://anneballa.github.io/pageimgs/oldimage/image-20240706195058310.png) 1nmap 192.168.196.53 -p21,135,139,445,3306,4443,5040,7680,8080 -sC -sV ![image-20240706200131088]https://anneballa.github.io/pageimgs/oldimage/image-20240706200131088.png) GetFlag:枚举目录: 1dirsearch -u...
Comments
