以及,拖下来的ipc_db库中,sec_user_mama_info包含了散列过的用户名密码,且用户名和密码字段加密用的密钥一样,实际上的一个可用操作思路是追加testuser和testpass并上传,重启服务后会自动读取并加密,也会添加到/etc/passwd中,此时再将库拖下来,把加密过的testuser字段改到admin的passwd字段,上传,重启,完成。
另外,关于长度限制问题,总长测出来是184字节,其实本来可以用burpsuite手动构造poc,但是!。。。
测试无法再次写入文件了,暂不明原因,执行任何利用操作都是写入失败,一直是读取最开始用于测试的ls -la命令
测试无法再次写入文件了,暂不明原因,执行任何利用操作都是写入失败,一直是读取最开始用于测试的ls -la命令
22/tcp filtered ssh
80/tcp open http
443/tcp open https
554/tcp open rtsp
7999/tcp open irdmi2
8000/tcp open http-alt
ssh端口被拒绝了,暂不知原因,ssh服务仍在运行,POC无法直接进入shell,但仍可RCE—虽然有长度限制。
那么关键来了,这个长度限制非常巧妙,巧妙到就差一个字符刚好无法拼接命令,导致无法写入任何脚本用来重启ssh或执行其他操作。
在Linux端做转发操作也无法转发摄像头回给400助手的UDP包,理论上可以,只是自己没做到。
但没关系,今天网卡到了,接到Windows一把梭。
80/tcp open http
443/tcp open https
554/tcp open rtsp
7999/tcp open irdmi2
8000/tcp open http-alt
ssh端口被拒绝了,暂不知原因,ssh服务仍在运行,POC无法直接进入shell,但仍可RCE—虽然有长度限制。
那么关键来了,这个长度限制非常巧妙,巧妙到就差一个字符刚好无法拼接命令,导致无法写入任何脚本用来重启ssh或执行其他操作。
在Linux端做转发操作也无法转发摄像头回给400助手的UDP包,理论上可以,只是自己没做到。
但没关系,今天网卡到了,接到Windows一把梭。
