環(huán)境搭建

下載鏈接

virtualbox 打開靶機(jī)設(shè)置為 host-only，攻擊機(jī)同樣。

具體可點(diǎn)此處

信息收集

開了個(gè) 80 端口。

用的是 apache 2.2.15 ，這個(gè)版本有個(gè)解析漏洞。

目錄

根據(jù)首頁的圖片猜測(cè) /fristi/ 目錄（不過我沒想到 -_-）

進(jìn)入是一個(gè)登錄頁面，網(wǎng)頁源碼中有一串 base64 加密的 png 圖片。

轉(zhuǎn)換一下

看到一串字符串，結(jié)合上面的用戶名登錄。

eezeepz
keKkeKKeKKeKkEkkEk

漏洞挖掘

登錄進(jìn)去，有個(gè)上傳文件的地方

抓包改后綴，改 mime，加頭字節(jié)都不行， 但是這個(gè) apache 是 2.2.15 版本，有文件解析漏洞。

漏洞原理
由于管理員的錯(cuò)誤配置, AddHandler application/x-httpd-php .php,在有多個(gè)后綴的情況下,只要一個(gè)文件含有.php后綴的文件即將被識(shí)別成PHP文件,沒必要是最后一個(gè)后綴。利用這個(gè)特性,將會(huì)造成一個(gè)可以繞過上傳白名單的解析漏洞。

也就是說，xxx.php.png 可以被解析為 php。

getshell

訪問上傳的文件，成功 getshell，直接 getshell ，我這邊給它 url，編碼了一下。

提權(quán)

有很多用戶

centos （失敗）

查查看有沒有內(nèi)核漏洞或者系統(tǒng)漏洞。

發(fā)現(xiàn)一個(gè) centos 的漏洞

把 exp（/usr/share/exploitdb/exploits/linux/local）編譯好后復(fù)制到攻擊機(jī)網(wǎng)站下 。（可通過上傳文件的目錄）

在 /home/eezeepz 下的 notes.txt 中告訴我們：

允許我們?cè)L問/usr/bin/*系統(tǒng)二進(jìn)制文件。用 /usr/bin/xxx 的路徑 可以執(zhí)行一些命令。
部分 /usr/bin/ 下沒有的命令，在 /home/admin 下
/tmp/runthis 文件，每分鐘運(yùn)行一次；是 admin 權(quán)限。

給他執(zhí)行權(quán)限，報(bào)錯(cuò)


g 了。

sudo 提權(quán)（成功）

可以利用 runthis 改寫 admin 用戶的家目錄權(quán)限。

echo "/home/admin/chmod 777 /home/admin" >/tmp/runthis

讓子彈飛會(huì)… /home/admin 里面有一個(gè)解密的 py 文件，和兩個(gè)待解密的文件。

我們只需要把 cryptpass.py 反一下就可以了。

差不多就是這樣：

解出兩字符串：

thisisalsopw123
LetThereBeFristi!

嘗試登錄 admin，用 python 打開標(biāo)準(zhǔn)的 bash 終端，最后切換用戶為 admin，沒啥用

切換為 fristigod，有個(gè)可以 root 執(zhí)行的文件

確實(shí)是一個(gè) root 可執(zhí)行文件。

成功提權(quán)。

臟牛提權(quán)

臟牛的大名，老早就知道了，但是一直沒機(jī)會(huì)利用，剛好這題就可以利用臟牛提權(quán)，nice！

這里也可以利用漏洞探針來掃描漏洞，直接 wget 下載 sh 文件到靶機(jī)上，賦予執(zhí)行權(quán)限，執(zhí)行它，當(dāng)然要下到可下的目錄。

chmod +x 1.sh
./1.sh

可以看到，它也掃出臟牛，連利用的文章，和下載鏈接都給出來了，很貼心，愛了，愛了。

下載 dirtycow 2 的腳本，也就是 40839.c，編譯后，wget 上傳腳本，編譯并執(zhí)行，加入需要改的密碼。

提權(quán)成功。

臟牛影響版本：
Centos7 /RHEL7    3.10.0-327.36.3.el7
Cetnos6/RHEL6     2.6.32-642.6.2.el6
Ubuntu 16.10         4.8.0-26.28
Ubuntu 16.04         4.4.0-45.66
Ubuntu 14.04         3.13.0-100.147
Debian 8                3.16.36-1+deb8u2
Debian 7                3.2.82-1

wp

利用臟牛提權(quán)：https://blog.csdn.net/weixin_45744814/article/details/120168008
利用sudo提權(quán)：https://blog.csdn.net/qq_27466929/article/details/126956406

總結(jié)

仔細(xì)閱讀一些留言或者是解釋。
可以利用漏洞探針快速查詢漏洞。
臟牛的簡(jiǎn)單利用，及影響版本。