VulnHub-PWNOS: 2.0 (PRE-RELEASE)手动复现msf POC

以下操作均在测试环境进行-遵纪守法，维护网络安全

此靶场可以直接使用msf getshell  这次我们尝试在不适用msf的情况下，通过分析msf用的poc，模拟我们拿到一个漏洞的poc，如何仿照利用，进行get shell，并root

靶场下载地址：pWnOS: 2.0 (Pre-Release) ~ VulnHub

网卡设置nat 网段为10.10.10.0 24  网关为10.10.10.15

 

，设置好之后进行开机，kali同样设置为nat模式即可

#信息收集

nmap 10.10.10.0/24 -Pn 先进行快速主机发现（其实靶场作者写了IP是10.10.10.100）

扫描结果我们发现100这台主机比较可疑，网卡制造商是VM，并且开放的22，80服务比较符合目标网段存活主机特征

对目标主机进行更详细指纹收集

nmap  10.10.10.100 -O -p- -sV -sC 

通过扫描，得到结论，目标主机只开放22，80端口

得知了目标操作系统和中间件版本

那么我们先挑存在漏洞可能性最高的web服务80端口先尝试

直接使用浏览器访问目标。http://10.10.10.100 

 

目标主页，尝试查看源码，不存在有用信息

右上角三个功能按钮点击之后，分别是一个注册，一个登录

尝试注册了一下 ,使用注册成功后页面提示链接，访问后激活账户，并登录，登陆后，页面斌没有其它元素可以供跳转

下一步，进行目录扫描

dirb 和 dirsearch 混合扫描

dirb http://10.10.10.100/

dirsearch --url http://10.10.10.100/

dirb 扫描到不少信息，其中包含php探针  phpinfo，尝试访问，有可能信息可能在后续会利用到

dirsearch

 

两者进行扫描后 ，发现结果都包含一个blog路径，应该是一个博客，尝试浏览器访问

我们使用刚才注册的账户密码进行登录尝试

 

但是登录失败 

可能不是用的一个账户密码数据库

尝试查看首页源码

我们发现这里给出了目标的版本信息，可能是一个成熟商用博客系统，直接搜索看有没有POC可以直接利用

 

发现这个版本确实存在两个可以利用的漏洞

第一个是msf的POC，我们看一下第二个里面有什么

 

发现有文件上传可利用，，下面我们尝试使用文件上传，传马上去

大概梳理一下利用流程

 

大概分为两个步骤，第一个步骤大概意思是删除一个 /config/password.txt文件之后再添加一个用户

之后利用新添加的账户的session上传文件

但是单单看这个步骤有些元素还是不很明了

比如添加新用户，传参参数名是什么，这些是不了解的，但是读另一个漏洞msf利用POC，我们发现了具体的实施细节

我们打开搜索结果里面，第一个结果，msf那个

拉到最下

巧了，msf的这个POC也是此步骤，先删一个文件，再添加用户，我们定位到这个delete_file()这个方法的实现位置 

这里给出了具体访问路径，file入参是前面定义的

 

下面尝试构建这个请求，试试，这里我用的是hackbar，工具不限，流程都一样

注意comment=后面有个点，没这个点不行

 构造好请求格式之后，点击执行，执行后如下

 貌似对系统进行了初始化操作

接着看POC里面下一步 ，添加用户如何操作

 

是一个POST请求，并且data字段给出了参数名称

尝试构造请求格式

 

构造好之后，点击执行，看效果

 

应该是直接登录成功了

 

多了很多菜单

POC还剩最后一步，上传一句话木马

 

接口名称叫 上传图片的一个接口，我们发现页面上可操作对象里面有个按钮叫做Upload image

所以我们直接通过页面操作，传一句话，这里上传并没有做格式校验，所以随便传，不用做绕过

 

 点击上传按钮之后吗，没有任何成功和失败提示，直接挑首页了，此时我们需要找到访问路径，访问我们的一句话木马

在之前目录发现过程中，我们发现一个路径，很像是存放图片的

，浏览器直接访问这个地址

 

我们上传的马静悄悄躺在这里，安详的狠

那就把马儿遛起来

打开antsword 蚁剑，尝试连接 

绿了，这可能是绿了之后唯一会开心的，是不是 ，蚁剑可以绿，头发不能绿  ，手动 dog

连上之后尝试翻文件

在/var目录 下，存在一个mysql 配置文件

打开看看

root账户密码就那么在那里，微微一笑，绝对不抽

目标主机没有开放3306，所以直接撞库，没准是ssh账户密码

巧了不是，他就是ssh账密，直接root权限

 

连提权都没用

最后：

        定期对系统进行漏洞扫描，并对扫描结果进行闭环，是否进行修复，不修复的时候采用补偿方案，还是选择接受风险，接受风险一定得有对此事负责的高层签字

        开源系统应在引用时，进行代码审计，对存在钩子的地方要进行评审

        制定密码策略，包括复杂度，过期，存放方式等，并为不同应用设置不同不同密码

        对内部员工开放的系统，如果实际应用条件允许，建议不要对公网暴漏，因为内部员工不一定都是搞安全的，有可能市场部等其它部门对网络安全不清楚，也不重视，所以把这样一个系统对公网暴漏，增加了信息泄露和钓鱼攻击的风险

        在流量入口设置网络防护软件硬件，并设置适合公司业务实际情况的访问策略

         对无需对外暴漏的目录以及文件，设置适合的访问策略

日常运作中还是建议使用集成度更高的msf等工具进行测试，提高效率