- 博客(3)
- 收藏
- 关注
RSS订阅
1原创 Hack The Box [HTB] : Precious
通过ssh连接,查看当前用户为henry,输入命令sudo-l查看当前权限,发现当前可执行文件为/opt/update_dependencies.rb,使用cat查看,存在yamlrce漏洞,cd到sample目录下,将dependencies.yml换成以下代码即可rce。输入whoami查看当前权限,在目录中搜寻到user.txt文件,发现没有权限访问,最后我们在根目录bundle下的config中找到ssh的密码,使用该密码登录henry的账户,第一段渗透结束。
2023-07-25 10:49:44
179
原创 实战:通过tp5.0.5漏洞入侵企业网站
下一步就是使用蚁剑连接webshell,看到这里,大家都以为可以直接getshell了吧,但是命运就是这么捉弄人,明明已经将木马包含在日志中,并且有绝对路径,相关函数也没有禁用,这一切看起来都是那么顺利,可就是连接失败。后来我又尝试换冰蝎马,但是因上传做了字符串限制,只能用最简单的一句话木马,其余多一个字符串都会被截掉,那么会不会是编码器的问题呢?以上可知,木马已存在,且路径正确,那一定是连接出问题了。我是身上有点执念的,为了梦想也好,目标也罢,有时候,你不去较劲儿,永远不知道自己能改变什么。
2023-07-24 11:41:56
928
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人