实验环境
攻击机:172.20.10.5
靶机:172.20.10.4
实验流程
端口扫描
端口详细信息探测
命令:nmap -T4 -A -v 靶机IP地址
发现网站下的robots.txt中包含几个敏感目录
web站点详细信息探测
web目录爆破
访问robots.txt,对其中的敏感目录进行查看
其中/nothing为404页面,但是和正常的4014页面不同
查看源代码,发现网站管理员在源代码中存储了常用的密码
其中/tmp和/uploads均为空目录
尝试探测改地址允许使用的请求方法,发现并不允许使用PUT请求方法上传文件。
继续查看其他敏感目录
/secure/目录下面存放了一个压缩文件,尝试下载、解压
解压该文件时需要输入密码,尝试使在/nothing源代码中获取到的密码进行解压
密码:freedom
解压后的文件是一个mp3文件,但是靶机是Linux操作系统,没有明显的文件类型限制,重新判断该文件的类型,是一个代码文件
直接查看该文件内容,文件的内容大致是服务器管理员对电脑不是很精通所以选择了一个比较简单的密码,并且将密码放在了一个文件中,应该指的就是/nothing,还留下了一个用户名:touhid。猜测该用户名和密码可能为网站后台的管理员账号和密码。在文件的最下面还有一个URL
访问文件中给定的URL,疑似网站的后台登录页面。
使用用户名touhid和/nothing页面源代码中的密码进行登录(touhid/diana),该网站是一个基于web的短信平台。
通过探测,playsms 1.4版本存在远程代码执行漏洞
查看溢出漏洞利用文档,文档内容大致是利用网站中的文件上传功能,将要执行的PHP代码写在要上传的文件名中。
访问漏洞页面,该页面允许导入以CSV为后缀的文件
漏洞利用
创建一个后缀名为CSV的文件并上传该文件
设置浏览器使用的代理服务器为127.0.0.1:8080
点击上传,利用BP抓包
将该请求发送至repeater页面并且修改文件名为要执行的PHP代码,点击go将请求发出,点击Render查看图形化的响应页面,其中包含代码执行的结果
利用msfconsole监听端口
生成木马(注意:elf类型的文件是可执行的二进制文件)
利用远程代码执行漏洞下载木马,因为需要绕过防火墙的原因所以对要执行的代码进行base64形式的编码
将生成的木马放到web网站的主目录下面
启动Apache服务
生成命令
执行反弹shell(注意:每执行一条指令都需要重新抓一次包)
判断当前权限
优化shell
提权
查看当前用户使用sudo命令的权限,/usr/bin/perl在运行的时候拥有最高权限并且不需要密码
利用perl反弹shell
获取flag
原创文章,作者:EASY,如若转载,请注明文章出处:
暂无评论内容