曾经沧海难为水,何事秋风悲画扇。 —— 纳兰性德 《木兰词.拟古决绝柬友》
一、信息收集
在不知道IP地址的情况下,我们使用netdiscover进行内网主机发现,结果如下:
使用masscan进行快速端口扫描,并没有发现特殊端口,所以断定目标站点只有HTTP服务可利用:
访问目标站点的80端口,通过wappalyzer并没有手机到任何有用信息:
二、外围打点
既然没有CMS,等可以直接进行漏洞的条件,那只能祭出神器xray进行漏扫了:
通过漏扫发现,确实存在漏洞,是一个解析漏洞:
所以考虑在目标站点上查找上传点,直接上传图片马。不过逛了一圈目标站点,没找到,害。可能存在后台,尝试目录扫描一波,也没啥有用的目录扫出来。囧。
只能回到我们开始的位置,唯一的输入利用点在contact.php,随笔输入一个信息,看输出结果。细心发现,输出后,页面下方的时间发生了改变。
又回想到我们目录扫描时扫出来的文件,footer.php,不是就展示的页面底部内容吗:
随后多次尝试,发现每访问一次footer文件内容,都会发生改变,并且,我们页面底部的版权信息也会随着footer文件的改变而进行改变。所以考虑可能是通过文件包含实现的,因此就可能存在文件包含漏洞。
所以我们先通过burpsuite进行抓包,通过修改参数来测试文件包含漏洞是否存在,当我们使用file 参数进行文件包含时,成功包含了首页内容:
尝试远程文件包含,结果发现不能成功,因此考虑只能通过本地文件包含的方式进行漏洞利用。
考虑到目标站点是使用nginx搭建的,我们可以考虑利用其日志功能写一句话木马进行文件包含,所以我们先在任意位置提交一个一句话木马,让其被记录到日志文件中:
注:此处由于包含access.log时会出错,所以会被记录到error.log中,利用次错误我们向error.log写入一句话木马,再进行包含,发现成功包含了PHP代码。
使用菜刀进行连接,连接url:“/thankyou.php?file=/var/log/nginx/error.log”,连接密码:cmd
成功连接到一句话木马,得到一个低权限的shell:
三、权限提升
查看linux内核版本,发现是3.16.0-4-amd64,版本较低们可以考虑利用啮合漏洞提权,比如脏牛。不过此方法留待查看,不到万不得已不要使用(毕竟容易吧服务器ri崩了)。
得到shell后,我们开始尝试提权,开始尝试SUID和SUDO提权,,在查找SUID文件时,发现大多数命令都不能利用,但是存在一个screen命令,是4.5.-版本
在kali中搜索该组件的漏洞信息,发现确实存在漏洞两个本地提权漏洞:
直接下载到目标靶机执行,发现编译失败,不能成功提权,所以先在kali中先进行编译,载上传到靶机进行提权。依次执行的命令为:
#将第一段代码写入.c文件并编译
vi libhax.c
gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c
#将第二段代码写入.c文件并编译
rm -f /tmp/libhax.c
vi rootshell.c
gcc -o /tmp/rootshell /tmp/rootshell.c
rm -f /tmp/rootshell.c
# 将剩余代码写入sh脚本,,注意,在写入完成后,在命令行模式下输入“set ff=unix”,否则在靶机上运行会报错。
vi dc5.sh
将刚才编译好的文件和dc5.sh上传到靶机上:
执行dc5.sh,成功获得root权限:
扫一扫
4933
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
