| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> PHP知识库 -> vulnhub SickOs: 1.2 -> 正文阅读 |
|
[PHP知识库]vulnhub SickOs: 1.2 |
渗透思路:nmap扫描---->dirb扫描---->通过PUT方法上传php反弹shell---->利用chkrootkit漏洞提权 环境信息:靶机ip:192.168.101.39 攻击机ip:192.168.101.34 具体步骤:步骤1:nmap扫描
扫描到22端口(ssh)和80端口(http) 步骤2:dirb扫描网站目录
除了网站主目录http://192.168.101.39/index.php,只扫到一个目录http://192.168.101.39/test/ 访问一下网站主目录,发现就一张图,查看源代码也没什么线索 访问一下?http://192.168.101.39/test/发现是一个目录,目录是空的,另外还印证了一下nmap扫描结果,网站服务器是lighttpd 1.4.28。 步骤3:通过PUT方法上传php反弹shell在网上找到的lighttpd 1.4.28历史漏洞没有getshell的,但我想或许可以通过目录遍历漏洞来获取什么敏感文件信息,里面或许有线索。尝试了许久,没有成功。 后来尝试访问http://192.168.101.39和http://192.168.101.39/test/的时候,burpsuite抓包,并将请求报文中的请求方法从GET换成PUT,只要这两个url中有支持PUT方法的,就可以上传shell。 http://192.168.101.39的请求报文的请求方法换成PUT之后,返回报文和GET的完全一样,尝试在url之后加文件名,比如http://192.168.101.39/shell.php,则会报404。这恐怕不行。 http://192.168.101.39/test/的请求报文中,先把请求方法换成OPTIONS(虎一点也可以省略这步),可以确定这个url是支持PUT方法的。 接下来修改请求报文,请求方法修改为PUT,url修改为?http://192.168.101.39/test/shell.php,请求头下面空一行,把kali linux上的/usr/share/webshells/php/php-reverse-shell.php的内容复制进来,改一下$ip和$port(分别改成攻击机ip和监听端口)。 发送之后再访问http://192.168.101.39/test/,发现该目录下已经有了一个文件shell.php 攻击机上用nc监听2333端口
访问?http://192.168.101.39/test/shell.php 触发反弹shell,没想到居然失败啦………… 换了好几个端口号,最后发现监听443端口的时候能成功
访问?http://192.168.101.39/test/shell4.php 触发反弹shell 反弹shell中输入以下命令,得到交互式shell
步骤4:利用chkrootkit漏洞提权传输提权检测脚本linpeas.sh的时候遇到了问题,用步骤3中的方法,也就是通过burpsuite上传的linpeas.sh运行时报错。 而由于之前已经发现靶机连接很多外部端口是不允许的,因此用wget也不大行。 而通过curl命令上传linpeas.sh的时候,由于curl会先发送一个带Expect头的报文,而lighttpd不支持这个头,因此无法上传成功。
?最后现学了一个方法,通过nmap上传,终于上传成功了
上传成功后,在靶机的/var/www/test目录下执行以下命令,使linpeas.sh可执行。
然后执行linpeas.sh
linpeas.sh也没找到啥一眼看上去就有利用空间的东西…… 定时任务这块,一堆绿色(正常)的中间有三个白色的,似乎有点东西 在攻击机上用searchsploit把这三个的exploit都search一遍,apt-xapian-index的没找到,lighttpd的没有本地提权相关的漏洞,chkrootkit倒是有
版本要求0.49。 靶机上查询?chkrootkit 版本,发现靶机上的chkrootkit的版本是0.49,这不是巧了
我们用33899.txt那个exploit,找一下它在本地的存储位置
? ?看一下它的内容
?有教手工利用的方法: 在/tmp文件夹下新建一个名为update的文件,并以root的身份执行chkrootkit,那么/tmp/update就会被root用户执行。 看到一种比较方便的利用方法,是在/tmp/update中写入修改/etc/sudoer文件的内容,使www-data用户可以免密码以任何用户的身份执行sudo命令。 具体命令如下,其中chmod 444 /etc/sudoers只是为了方便观察/tmp/update是否被执行(因为 /etc/sudoers原本的权限是440),提权成功后记得把权限改回来
查看一下?/tmp/update的内容 给?/tmp/update 可执行权限
很快,/etc/sudoers的权限就变成444了 执行
发现报错。原来sudoer的权限必须是0440啊…… 那再把sudoer的权限改回来
很快(不到一分钟),执行 sudo su就可以获得root权限,flag在/root/7d03aaa2bf93d80040f3f22ec6ad9d5a.txt中 ? ? |
|
PHP知识库 最新文章 |
Laravel 下实现 Google 2fa 验证 |
UUCTF WP |
DASCTF10月 web |
XAMPP任意命令执行提升权限漏洞(CVE-2020- |
[GYCTF2020]Easyphp |
iwebsec靶场 代码执行关卡通关笔记 |
多个线程同步执行,多个线程依次执行,多个 |
php 没事记录下常用方法 (TP5.1) |
php之jwt |
2021-09-18 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 | -2024/11/14 14:39:06- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |