攻防靶场(54):从LFI到RCE

已于 2025-01-31 15:58:50 修改
阅读量320 收藏 10
点赞数 3
分类专栏: 攻防靶场 文章标签: 网络 安全 网络安全
于 2025-01-29 00:04:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_53721197/article/details/145391150
版权

欢迎提出宝贵建议、欢迎分享文章、欢迎关注公众号 OneMoreThink 。

目录

1. 侦查

    1.1 收集目标网络信息:IP地址

    1.2 主动扫描:扫描IP地址段

    1.3 主动扫描:字典扫描

2. 初始访问

    2.1 利用面向公众的应用

3. 权限提升

    3.1 利用漏洞提权:可写文件

    3.2 滥用特权控制机制:Sudo和Sudo缓存

公众号后台回复 20250129 获取靶场下载地址。

1. 侦查

1.1 收集目标网络信息:IP地址

靶机启动后,没有提供IP地址。由于Kali和靶机在同一个C段,可以扫描ARP协议获取靶机IP地址。

1.2 主动扫描:扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描,发现22/SSH、80/HTTP。

1.3 主动扫描:字典扫描

扫描80/HTTP服务的目录和页面,发现/console/目录。

访问/console/目录,发现file.php文件。

2. 初始访问

2.1 利用面向公众的应用

访问/console/file.php文件,返回空白。

猜测文件file.php的功能是打开文件,可能存在文件包含漏洞。尝试爆破打开文件的参数,成功获得参数file。

爆破操作系统中的文件,发现22/SSH服务的访问日志。

向22/SSH服务的访问日志投毒,成功写入webshell。

连接webshell,获得www-data用户权限。

3. 权限提升

3.1 利用漏洞提权:可写文件

任何用户都能编辑Apache服务的配置文件。

编辑配置文件,修改启动Apache服务的用户和用户组。经测试,无法使用root用户启动Apache服务,natraj用户无法提权到root用户,因此将启动Apache服务的用户修改为mahakal。

重启靶机,从而重启Apache服务。重新连接webshell,获得mahakal用户权限。

3.2 滥用特权控制机制:Sudo和Sudo缓存

mahakal用户能以root用户的权限执行nmap命令。

nmap命令能用于提权。

使用nmap命令提权,获得root用户权限。

 

【漏洞挖掘】——50、 JWT攻防指南()
Fly_鹏程万里
06-07 181
JWT(JSON Web Token)是一种用于身份认证和授权的开放标准,它通过在网络应用间传递被加密的JSON数据来安全地传输信息使得身份验证和授权变得更加简单和安全,JWT对于渗透测试人员而言可能是一种非常吸引人的攻击途径,因为它们不仅是让你获得无限访问权限的关键而且还被视为隐藏了通往以下特权的途径,例如:特权升级、信息泄露、SQLi、XSS、SSRF、RCELFI等。
JWT渗透与攻防(一)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-24 1999
Json web token (JWT)相关漏洞对于渗透测试人员而言可能是一种非常吸引人的攻击途径,因为它们不仅是让你获得无限访问权限的关键,而且还被视为隐藏了通往以下特权的途径:特权升级,信息泄露,SQLi,XSS,SSRF,RCELFI等,在测试JWT时,通过对目标服务的Web请求中使用的Token进行读取,篡改和签名。
安鸾靶场-LFI本地文件包含 LFI本地文件包含LF2 文件包含漏洞练习记录
AAAAAAAAAAAA66的博客
02-04 3028
记得几个月刚接触CTF就遇到了一个文件包含漏洞题目 i春秋 afr1 解题过程 题解 原理 PHP伪协议 文件包含漏洞_AAAAAAAAAAAA66的博客-优快云博客 记得当时的想法就是既然啥也不会,就先记下方法和操作,等最后熟悉了再对原理进行深究。 现在过了一段时间后感觉对文件包含的理解更深一步了。算是有了一点独立思考和解决问题的能力吧。 文件包含漏洞 简单一点讲,用include()函数处理的文件,都会被当成PHP代码执行。 这个文件包括字符串,图片(图片嵌入一句话木马),...
靶场练习-LFI_labs
Bcat_ZC的博客
08-01 943
LFI-04:想不到办法将URL里的.php去掉,/…/index报错,但是我觉得没啥问题。LFI-12:URL增加参数&stylepath=…LFI-11:BP抓包改&stylepath=…LFI-02:答案是%00截断,但是我没做出来,一直报错,求大佬指点。CMD-6:同上(都一个答案,估计前两道题答得不对。CMD-5:同上(是不是前两道题答得不对。CMD-4:同上(看了源代码才知道答案)LFI-07:同04。LFI-08:同06。LFI-09:同04。
360众测靶场题库之5-LFI文件包含漏洞
zjl12344的博客
03-05 2401
360众测靶场题库
sqli-labs靶场通关攻略(1~20)
2301_81525518的博客
08-14 503
id=-1'union select 1,group_concat(table_name),3 frominformation_schema.tables where table_schema='security' --+id=-1' union select 1,2,group_concat(id,username) from users --+前边id改成-1在后边加入联合查询的回显点localhost/Less-1/?id=-1'union select 1,2,3 --+然后再查看数据库的列。
OSCP靶场系列-绕过断言的LFI-Assertion101
杳若的博客
09-18 906
OSCP靶场系列-Assertion101保姆级
WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
weixin_45534587的博客
02-09 850
RCE,全称 Remote Code Execution,也就是远程代码执行。简单来说,它是一种非常危险的安全漏洞。正常情况下,我们访问一个网站或者使用某个应用程序,只能按照开发者设定好的功能来操作。但要是存在 RCE 漏洞,攻击者就能打破这种限制,在目标服务器上执行他们自己编写的代码。
【甄选靶场】Vulnhub百个项目渗透——项目四十九:Os-hackNos-2.1(lfi,密码爆破)
人间体佐菲的博客
10-23 1008
【甄选靶场】Vulnhub百个项目渗透——项目四十九:Os-hackNos-2.1(lfi,密码爆破)
文件包含漏洞靶场练习
ximo的博客
02-13 1992
目录Lfi-Labs说明LFI-1LFI-2LFI-3LFI-4LFI-5ctfshowweb 78web 79web 80-81web 82-86web 87web 88 Lfi-Labs 说明 该环境为phpstudy搭建,在网站根目录下存在phpinfo.php;以此为例。 LFI-1 源码: <?php include($_GET["page"]); ?> payload: ?page=phpinfo.php 发现并没用成功,使用 ../ 返回上一级目录 LFI-2 源码: &lt
【甄选靶场】Vulnhub百个项目渗透——项目二十二:Wakanda_1(LFI本地文件包含,pip提权)
人间体佐菲的博客
09-24 893
Vulnhub百个项目渗透——项目二十二:Wakanda_1(LFI本地文件包含,pip提权)信息安全网络安全,渗透测试
webug4.0靶场之文件包含
0nc3的博客
06-26 916
0x00 文件包含靶场测试 包括: 本地文件包含 session文件包含漏洞 远程文件包含 利用PHP伪协议 靶场首页 下面开始今天的测试~~ 0x01 本地文件包含 通过目录遍历包含本地文件 成功包含PHPStudy的Mysql配置文件 读取文件上传关上传的可执行文件。 看了一下源码,无任何限制 那我们多测几个~~ 0x02 session文件包含漏洞 当session的存储位置可以获...
漏洞复现篇——文件包含漏洞(DVWA靶场---File Inclusion【低中高级绕过】)
爱国小白帽
02-19 4097
实验环境: PHPstudy DVWA靶场 菜刀 环境搭建 1、将DVWA Security級別换成low 2、打开php的配置文件,搜索allow_url_include,把off换成on,然后重启 模拟实验 本地文件包含(LFI) 1、点击File Inclusion中的file1.php 2、在图示位置输入C:\Windows\System32\drivers\etc\hosts...
渗透测试练习靶场汇总
热门推荐
Thunderclap的博客
07-01 2万+
渗透测试 练习常用靶场汇总
文件包含漏洞实战靶场笔记
weixin_30289831的博客
06-17 1110
记录下自己写的文件包含漏洞靶场的writeup,包括了大部分的文件包含漏洞实战场景,做个笔记。 0x01 无过滤的本地文件包含 <?php $page = isset($_GET['page'])?$_GET['page']:''; include "$page"; ?> 没有任何过滤,可以包含一些敏感文件 常见的敏感信息路径: ...
LFI漏洞利用总结
Taowood的博客
07-25 9274
主要涉及到的函数 include(),require()、include_once(),require_once() magic_quotes_gpc()、allow_url_fopen()、allow_url_include()、move_uploaded_file() 、readfile() file()、and file_get_contents()、upload_tmp_dir()、pos...
开发者日常中的网络调试实战
最新发布
2501_91590906的博客
05-09 323
网上搜方案,有人建议使用越狱、Frida Hook、SSL Kill 等方案,但太重了,不适合我这种追求快速定位问题的“懒人”。最早做网页调试时,Chrome 的开发者工具就是我抓包的全部了,虽然功能有限,但调试浏览器请求已经够用了。今天这篇不是教程,也不是评测,仅仅是一个普通开发者的抓包实战小笔记,分享几种工具的使用体验 —— 顺带记录最近解决一个棘手 iOS HTTPS 抓包问题的过程。如果你也在做多平台调试,或者偶尔需要跨平台 HTTPS 抓包,不妨多尝试几种工具,找到最适合自己的那一套。
端口安全讲解
rzy41880的博客
05-07 914
‌MAC地址绑定机制‌端口安全通过记录连接到交换机端口的设备MAC地址,仅允许已授权的MAC地址通信。未绑定的设备接入时,系统会根据预设策略阻断或告警。‌安全MAC类型‌‌静态绑定‌:管理员手动配置允许的MAC地址列表;‌动态绑定‌:交换机自动学习首个接入设备的MAC地址并锁定;‌Sticky MAC‌:动态绑定基础上支持断电后保留绑定关系。类型定义特点安全动态MAC地址仅开启端口安全转换的MAC地址。设备重启后表项会丢失,需要重新学习。
Toxin: 探索 LFI 漏洞及利用工具的威力
资源摘要信息:"toxin工具是一个专门用于利用本地文件包含(Local File Inclusion,简称LFI)漏洞的Python开发的安全工具。它主要针对那些通过PHP的register_globals设置可能导致的漏洞进行攻击。register_globals是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值