以下操作均在测试环境进行-遵纪守法,维护网络安全
此靶场可以直接使用msf getshell 这次我们尝试在不适用msf的情况下,通过分析msf用的poc,模拟我们拿到一个漏洞的poc,如何仿照利用,进行get shell,并root
靶场下载地址:pWnOS: 2.0 (Pre-Release) ~ VulnHub
网卡设置nat 网段为10.10.10.0 24 网关为10.10.10.15
,设置好之后进行开机,kali同样设置为nat模式即可
#信息收集
nmap 10.10.10.0/24 -Pn 先进行快速主机发现(其实靶场作者写了IP是10.10.10.100)
扫描结果我们发现100这台主机比较可疑,网卡制造商是VM,并且开放的22,80服务比较符合目标网段存活主机特征
对目标主机进行更详细指纹收集
nmap 10.10.10.100 -O -p- -sV -sC
通过扫描,得到结论,目标主机只开放22,80端口
得知了目标操作系统和中间件版本
那么我们先挑存在漏洞可能性最高的web服务80端口先尝试
直接使用浏览器访问目标。http://10.10.10.100
目标主页,尝试查看源码,不存在有用信息
右上角三个功能按钮点击之后,分别是一个注册,一个登录
尝试注册了一下 ,使用注册成功后页面提示链接,访问后激活账户,并登录,登陆后,页面斌没有其它元素可以供跳转
下一步,进行目录扫描
dirb 和 dirsearch 混合扫描
dirb http://10.10.10.100/
dirsearch --url http://10.10.10.100/
dirb 扫描到不少信息,其中包含php探针 phpinfo,尝试访问,有可能信息可能在后续会利用到
dirsearch
两者进行扫描后 ,发现结果都包含一个blog路径,应该是一个博客,尝试浏览器访问
我们使用刚才注册的账户密码进行登录尝试
但是登录失败
可能不是用的一个账户密码数据库
尝试查看首页源码
我们发现这里给出了目标的版本信息,可能是一个成熟商用博客系统,直接搜索看有没有POC可以直接利用
发现这个版本确实存在两个可以利用的漏洞
第一个是msf的POC,我们看一下第二个里面有什么
发现有文件上传可利用,,下面我们尝试使用文件上传,传马上去
大概梳理一下利用流程
大概分为两个步骤,第一个步骤大概意思是删除一个 /config/password.txt文件之后再添加一个用户
之后利用新添加的账户的session上传文件
但是单单看这个步骤有些元素还是不很明了
比如添加新用户,传参参数名是什么,这些是不了解的,但是读另一个漏洞msf利用POC,我们发现了具体的实施细节
我们打开搜索结果里面,第一个结果,msf那个
拉到最下
巧了,msf的这个POC也是此步骤,先删一个文件,再添加用户,我们定位到这个delete_file()这个方法的实现位置
这里给出了具体访问路径,file入参是前面定义的
下面尝试构建这个请求,试试,这里我用的是hackbar,工具不限,流程都一样
注意comment=后面有个点,没这个点不行
构造好请求格式之后,点击执行,执行后如下
貌似对系统进行了初始化操作
接着看POC里面下一步 ,添加用户如何操作
是一个POST请求,并且data字段给出了参数名称
尝试构造请求格式
构造好之后,点击执行,看效果
应该是直接登录成功了
多了很多菜单
POC还剩最后一步,上传一句话木马
接口名称叫 上传图片的一个接口,我们发现页面上可操作对象里面有个按钮叫做Upload image
所以我们直接通过页面操作,传一句话,这里上传并没有做格式校验,所以随便传,不用做绕过
点击上传按钮之后吗,没有任何成功和失败提示,直接挑首页了,此时我们需要找到访问路径,访问我们的一句话木马
在之前目录发现过程中,我们发现一个路径,很像是存放图片的
,浏览器直接访问这个地址
我们上传的马静悄悄躺在这里,安详的狠
那就把马儿遛起来
打开antsword 蚁剑,尝试连接
绿了,这可能是绿了之后唯一会开心的,是不是 ,蚁剑可以绿,头发不能绿 ,手动 dog
连上之后尝试翻文件
在/var目录 下,存在一个mysql 配置文件
打开看看
root账户密码就那么在那里,微微一笑,绝对不抽
目标主机没有开放3306,所以直接撞库,没准是ssh账户密码
巧了不是,他就是ssh账密,直接root权限
连提权都没用
最后:
定期对系统进行漏洞扫描,并对扫描结果进行闭环,是否进行修复,不修复的时候采用补偿方案,还是选择接受风险,接受风险一定得有对此事负责的高层签字
开源系统应在引用时,进行代码审计,对存在钩子的地方要进行评审
制定密码策略,包括复杂度,过期,存放方式等,并为不同应用设置不同不同密码
对内部员工开放的系统,如果实际应用条件允许,建议不要对公网暴漏,因为内部员工不一定都是搞安全的,有可能市场部等其它部门对网络安全不清楚,也不重视,所以把这样一个系统对公网暴漏,增加了信息泄露和钓鱼攻击的风险
在流量入口设置网络防护软件硬件,并设置适合公司业务实际情况的访问策略
对无需对外暴漏的目录以及文件,设置适合的访问策略
日常运作中还是建议使用集成度更高的msf等工具进行测试,提高效率