前言
这次的靶机还是很好玩的,有点难度折腾了挺久,但方法对了那就很容易了
靶机ip(192.168.110.129)
攻击机ip(192.168.110.127)
网络NAT模式
不废话了直接开始
信息收集
打开网页简单看了看,没有过多的内容,是个基因的论文网站
网站没有太多的功能,而且扫目录也没扫到什么有价值的东西
最开始以为网站上的这些单词可能会用到,就利用他们做了个字典去爆破 ssh,显然我的方法就是错的
漏洞挖掘
注意到这个位置很有可能是利用存在读文件,简单尝试了几次Apache的日志文件都失败了
重点来了
偷偷看了一眼攻略,哈哈哈,原来这个地方确实是存在读文件的
思路就是利用 ssh 写入一句话,然后读日志来执行一句话
首先就是去连接,然后一句话被写入日志
ssh '<?php system($_GET[360])?>'@192.168.110.129
bp测试一下,成功执行
简单说明下,我传的命令就是ls / 的url编码
同时也成功把我的连接写入日志,那么我们可以同样的拿个 shell出来,方便后面操作
不会弹shell 可以看我的这篇文章
-------------Linux弹shell--------------
进一步提权
网站目录下发现一个可疑的py文件,是个日志审计的工具,但是没有权限打开Apache的日志
可以看见我们的ssh连接确实被写进了日志
查看具有的 sudo权限,发现这个py文件原来不需要密码就能执行 root权限
尝试一下确实可以,同时也发现了 root下的 flag
接下来就是直接把 flag文件复制到网站根目录就可以了
/var/log/auth.log | cp /root/flag.png /var/www/html/theEther.com/public_html/flag.png
浏览器访问,在最后一行发现flag
base64 解码,有道翻译一下,哈哈哈,到这里也就结束了
总结
能学到新的姿势来拿 shell,还是很高兴的
网络安全就是这样,我们常规的攻击思路可能早就被网站管理员猜到了,所以他们就会有针对的进行监控和过滤
但往往一个网站的攻破都不仅仅是通过正常的思路去渗透的,骚姿势总能带来意想不到的惊喜
要学习的还有很多啊