VulnHub-driftingblues:9

01

—

1. 使用Nmap扫描目标主机：

系统基本信息为：

80端口运行着Apache httpd 2.4.10服务，网站标题为ApPHP  MicroBlog，操作系统为Debian，内核版本3.2 - 4.9，如图：

2. 访问80端口Web服务，在网站底部发现Admin登录入口，如图：

访问Admin登录页面，如图：

漏洞发现与利用

4. 然后搜索ApPHPMicroBlog相关漏洞

在Exploit-DB（https://www.exploit-db.com/exploits/33070）发现远程代码执行漏洞利用脚本，如图：

5. 使用该脚本测试直接获得网站权限，如图：

权限提升

6. 查看网站文件发现include/base.inc.php文件中存在数据库用户名和密码，如图：

7. clapton用户shell

在/etc/passwd文件中发现存在普通用户clapton，和数据库用户相同，尝试使用该密码获取普通用户权限，发现当前Shell不是交互式shell，然后构造反弹Shell的命令，如图：

使用Python开启伪终端，使用刚刚获取到的用户名和密码成功切换到clapton用户Shell，如图：

8. 缓冲区溢出

在用户目录下发现input、note.txt和user.txt文件，note.txt文件中提示需要用缓冲区溢出，并给了新手32位程序缓冲区溢出学习资料：

https://www.tenouk.com/Bufferoverflowc/Bufferoverflow6.html

https://samsclass.info/127/proj/lbuf1.htm

9. 将input文件下载到本地，使用checksec工具检查文件发现该文件未启用任何保护措施，如图：

10. 使用命令sudo chown 0:0input和sudo chmod 4755 input修改input文件所有者，并赋予程序特殊权限，如图：

11. 使用cyclic工具生成500个字符组成的字符串用于计算偏移量，如图：

然后关闭操作系统ASLR，启动gdb调试input程序，将500个字符组成的字符串传入程序并运行后程序奔溃，EIP寄存器的值为“bsaa”，如图：

使用cyclic -l bsaa计算出偏移量为171，构造Payload：“171个A”+“jmp esp地址”+Shellcode，内存布局如下：

然后使用edb-debugger随便传入参数调试程序，如图：

12. 运行程序后使用“Ctrl+O”快速打开Opcode Search插件，寻找jmp esp指令地址，如图：

13. 选择第一个地址，执行./input `python-c "print'A'*171+'x79xe3xdcxf7'+'x31xc0x89xc3xb0x17xcdx80x31xd2x52x68x6ex2fx73x68x68x2fx2fx62x69x89xe3x52x53x89xe1x8dx42x0bxcdx80'"`成功获得root权限，如图：

14.  但是在靶机执行时未成功，查看/proc/sys/kernel/randomize_va_space发现靶机开启了ASLR，参考https://www.jianshu.com/p/602619260df5，进行ASLR绕过，代码如下：

依旧在本地成功，靶机中没有python3，将代码改为Python2版本后仍然失败，如图：

15. 最后发现是因为libc.so.6不同造成的，使用find / -name libc.so.6 2>/dev/null找到靶机的libc.so.6文件，然后下载到本地，参考https://www.cnblogs.com/luocodes/p/13901471.html中获取jmp esp指令相对libc基址的偏移地址，代码如下：

16. 获取靶机libc中jmp esp的偏移地址，如图：

17. 修改提权脚本如下：

完结

18. root用户Shell

由于用户目录下没有权限写文件，因此使用ln ~/input/tmp/input命令在/tmp目录下创建软链接，将提权脚本上传到靶机，执行之后成功获得root权限，如图：