目录
1. 侦查
1.1 收集目标网络信息:IP地址
1.2 主动扫描:扫描IP地址段
1.3 主动扫描:字典扫描
2. 初始访问
2.1 (一)利用面向公众的应用
2.2 (二)利用面向公众的应用
2.3 (三)利用面向公众的应用
2.4 (四)利用面向公众的应用
2.5 利用面向公众的应用
3. 权限提升
3.1 (一)滥用特权控制机制:Setuid和Setgid
4. 凭据访问
4.1 不安全的凭据:文件中的凭据
5. 权限提升
5.1 (二)利用漏洞提权:LXD程序
5.2 (三)滥用特权控制机制:Sudo和Sudo缓存
5.3 (四)滥用特权控制机制:Sudo和Sudo缓存
5.4 (五)滥用特权控制机制:Sudo和Sudo缓存
靶场下载地址:https://www.vulnhub.com/entry/funbox-easy,526/
1. 侦查
1.1 收集目标网络信息:IP地址
靶机启动后,没有提供IP地址。由于Kali和靶机在同一个C段,可以扫描ARP协议获取靶机IP地址。
1.2 主动扫描:扫描IP地址段
对靶机进行全端口扫描、服务扫描、版本扫描,发现22/SSH、80/HTTP、33060/TCP。
1.3 主动扫描:字典扫描
扫描网站目录和页面,发现/admin/目录、/index.php页面、/robots.txt文件及其提示的/gym/目录、/store/目录。
2. 初始访问
2.1 (一)利用面向公众的应用
/store/目录的主页有管理后台的登录地址
尝试admin:admin弱口令登录
竟然登录成功,直接进入管理后台,运气太好了
2.2 (二)利用面向公众的应用
登陆框存在SQL注入漏洞,可以万能密码进入管理后台
2.3 (三)利用面向公众的应用
在 1.3 字典扫描阶段时,发现了/store/database/目录
目录中有部署应用时初始化数据库的www_project.sql文件
文件中有应用的初始帐号和密文密码
密文密码可以解密,最终获得admin:admin,可以登录管理后台。
2.4 (四)利用面向公众的应用
查看图书详情,进入到/store/book.php页面
该页面的bookisbn参数存在SQL注入漏洞
可以使用sqlmap爆库
爆表
爆字段
爆记录,获得帐号密码admin:admin,可以登录管理后台。
2.5 利用面向公众的应用
管理后台的添加(Add new book)和编辑(Edit)图书功能,存在文件上传漏洞
准备反弹shell文件,/usr/share/webshells/php/php-reverse-shell.php,需要修改反弹地址
在编辑图书页面,上传反弹shell文件
上传会报错,应该是也存在SQL注入漏洞,删掉单引号就能上传成功
访问/store/目录的主页,网站加载图书照片时,会触发反弹shell,最终获得www-data用户权限。
3. 权限提升
3.1 (一)滥用特权控制机制:Setuid和Setgid
time命令存在root用户的suid权限
time命令可用于提权
最终可以获得root用户权限
4. 凭据访问
4.1 不安全的凭据:文件中的凭据
在用户家目录下,存在密码本/home/tony/password.txt,含有SSH密码,可以获得tony用户权限。
5. 权限提升
5.1 (二)利用漏洞提权:LXD程序
tony用户属于lxd用户组,可以通过创建特权LXC容器实例,并挂载宿主机磁盘的方式,获得宿主机磁盘中所有敏感文件的访问权限
初始化LXD程序
下载 Alpine Linux 镜像,上传到靶机中,并导入到LXC中
使用 Alpine Linux 镜像,以特权模式启动容器实例
为容器实例挂载宿主机磁盘
启动容器实例,并在容器中执行返回shell的命令,从而获得容器权限
在容器中可以访问宿主机中的所有敏感权限,类似于获得root用户的read权限
5.2 (三)滥用特权控制机制:Sudo和Sudo缓存
tony用户能以root用户权限执行pkexec命令
pkexec命令可用于提权
最终获得root用户权限
5.3 (四)滥用特权控制机制:Sudo和Sudo缓存
tony用户能以root用户权限执行mtr命令
mtr命令能以root用户权限阅读服务器中的所有敏感文件
最终类似于获得root用户的read权限
5.4 (五)滥用特权控制机制:Sudo和Sudo缓存
tony用户能以root用户权限执行time命令
pkexec命令可用于提权
最终获得root用户权限
扫一扫
983
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
