【墨者学院】主机溢出提权漏洞分析

最新推荐文章于 2025-06-18 13:28:03 发布
最新推荐文章于 2025-06-18 13:28:03 发布
阅读量1k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 在线靶场 web安全 文章标签: 墨者学院
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43884770/article/details/84839996
背景介绍

公司内部服务器,上面有一简单的上传入口,刚入职的小伙伴在C盘根目录下有一个TXT文本文件,说权限设置的很低,除Administrator外,其他用户无法读取到内容,直接向安全工程师"墨者"发出挑战,让其测试。

实训目标

1、掌握文件上传的技巧;
2、掌握IIS中间件存在的畸形解析漏洞;
3、了解Windows系统CMD命令执行;
4、了解查看操作系统安全补丁情况;
5、了解Windows操作系统的文件权限设置;
6、了解操作系统的溢出漏洞的提权方式;

解题方向

通过上传脚本文件,读取C盘下TXT文件内容。
在这里插入图片描述

解题思路:

这道题总体来说要用到的知识点很多,iis解析漏洞的利用,windows提权工具的使用。

一:我们需要收集信息,可以按F12查看到server 为iis6.0,程序语言为asp。
在这里插入图片描述

二:上传一句话木马,我这边上传了一个.txt的一句话木马,新建一个shell.asp的目录,这样shell.asp目录里面不管什么后缀的目录都会以.asp执行,尝试过1.asp;.jpg,发现不行,服务端对上传的文件做了重命名。
在这里插入图片描述

在这里插入图片描述

三:上传成功之后菜刀连接:
在这里插入图片描述

查看key所在的c盘文件,提示没有权限。
在这里插入图片描述

四:提权
在upload目录上传一个32位cmd.exe(这里一定要上传32位的,64位的无法执行)
在这里插入图片描述

右键打开cmd,这样就可以可以执行命令了,直接查看key显示的是拒绝访问。
在这里插入图片描述

查看系统补丁情况,放到补丁对比工具中对比,我这里使用了MS09-012/巴西烤肉工具
可以利用的工具很多。
在这里插入图片描述

这里就需要提权了,我们上传一个Churrasco.exe,然后调用工具查看key值。
C:\Inetpub\wwwroot\upload> Churrasco.exe “type c:\KEY_2702114221.txt”
/xxoo/–>Build&&Change By p
/xxoo/–>This exploit gives you a Local System shell
/xxoo/–>Got WMI process Pid: 1348
begin to try
/xxoo/–>Found token SYSTEM
/xxoo/–>Command:type c:\KEY_2702114221.txt
Mozhe5c2e1d0288d9dee85a25c7d93a5

其实还可以做很多操作,比如说新建管理员账户,如果机器开启了远程的3389端口的话就可以登录服务器了。

墨者学院 - 主机溢出漏洞分析
多崎巡礼的博客
11-05 1002
背景介绍 公司内部服务器,上面有一简单的上传入口,刚入职的小伙伴在C盘根目录下有一个TXT文本文件,说限设置的很低,除Administrator外,其他用户无法读取到内容,直接向安全工程师"墨者"发出挑战,让其测试。 实训目标 1、掌握文件上传的技巧; 2、掌握IIS中间件存在的畸形解析漏洞; 3、了解Windows系统CMD命令执行; 4、了解查看操作系统安全补丁情况; 5、了解Windows...
墨者学院)-主机溢出漏洞分析
qq_52074678的博客
12-11 3261
需要的小知识大纲 1、掌握文件上传的技巧; 2、掌握IIS中间件存在的畸形解析漏洞; 3、了解Windows系统CMD命令执行; 4、了解查看操作系统安全补丁情况; 5、了解Windows操作系统的文件限设置; 6、了解操作系统的溢出漏洞方式; 小知识 具体流程 1. ...
CVE-2025-33073 NTLM反射 漏洞复现
最新发布
渗透之路,攻防之间皆学问
06-18 2768
CVE-2025-33073是一个高危Windows SMB客户端漏洞,可通过NTLM/Kerberos认证反射实现域内SYSTEM。攻击者只需普通域账号,在满足目标主机未强制SMB签名且域DNS可被篡改的条件下,即可通过构造特殊DNS记录(如server11UWhRC...指向攻击机)、启动SMB中继服务(ntlmrelayx.py)和触发NTLM认证(PetitPotam)三个步骤,将认证反射回目标主机自身,最终获取SYSTEM限。该漏洞影响所有未安装2025年6月补丁且未启用SMB签名的域内
墨者学院_主机溢出漏洞(包含工具)
@梢的博客
12-10 609
墨者 主机溢出漏洞分析 1.启动环境 2.这里使用asp一句话木马 密码为pass 3. 设置浏览器代理 这里使用了Google浏览器 4.设置好代理后打开抓包工具 Burp Suite 5.上传我们写好的木马 点go 上传 6.抓包截取数据包后 在upload下建立一个后缀为.asp的目录 修改后放行 7.这里我们看到文件已经上传到服务器了 下面我们开始联菜刀 8.链接菜刀前先...
【WEB】主机溢出漏洞分析
HAPPY
08-21 1079
【原题】https://www.mozhe.cn/bug/detail/d1JMR1FrRDR2RmdJdzdJK09DZlNFZz09bW96aGUmozhe 【解法】 使用御剑和firefox的插件,得到靶场网站的容器为IIS6.0,脚本语言为asp 使用靶场供的上传功能,结合burp和IIS6.0解析漏洞修改上传路径为upload/shell.asp,上传一个1.jpg的asp一句话...
2003系统主机溢出漏洞分析
大肥熊的博客
09-04 2168
      这是墨者学院上的某一道高级题目。某公司具有一上传点,过滤了一些其他文件格式,经过bp抓包测试发现是IIS 6.0 的服务器。 想到利用IIS 6.0 解析漏洞,所有在 .asp为后缀名的文件夹下的文件都会解析为asp。 上bp,修改上传路径,发现成功解析,菜刀连之 发现key文件,但是访问一片空白,说明限不够 也无法执行命令行,上传自己的cmd设置路径 ...
WEB漏洞-逻辑越
weixin_46544151的博客
04-30 1686
目录 33、逻辑越之水平垂直越 原理 一、Pikachu-本地水平垂直越演示(漏洞成因) 1.水平越 2.垂直越 3.越漏洞产生的原理解析: 二、墨者水平-身份认证失效漏洞实战(漏洞成因) 三、越检测-小米范越漏洞检测工具(工具使用) 四、越检测-Burpsuite插件Authz安装测试(插件使用) 1.在burpsuite中插件管理找到Authz安装 2.登录mozhe靶场test用户抓包,抓取card_id 3.pikachu中测试 34、逻辑越之支付...
三、WEB漏洞-逻辑越
weixin_70557959的博客
05-09 2233
33、逻辑越之水平垂直越 原理 1.垂直越访问 普通用户->计划专员->超级查看员->超级管理员 水平越访问 用户A->用户B->用户C->用户D 2.水平,垂直越,未授访问 解释,原理,检测,利用,防御等 水平越:通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据(限相同)。 逻辑越:使用低限身份的账号,发送高限账号才能有的请求,获得其高限的操作。 未授:通过删除请求中的认证信
一个简单的远程溢出漏洞分析
weixin_30346033的博客
03-10 200
这是看雪Exploit me的题目,本来以为会很难,结果还是很基础的,适合我这样的新手练手。 http://bbs.pediy.com/showthread.php?t=56998 进入正题 首先拿到了一个Windows程序,拖到IDA里打算看一下,结果发现程序逻辑出乎意料的简单。就是一个很常规的SOCKET流程带有一些错误处理。 下面详细说明。 mov ebp,eax tes...
漏洞(Privilege Escalation Vulnerability)
qq_69100706的博客
04-20 919
漏洞(Privilege Escalation Vulnerability)是指在一个系统或应用程序中,攻击者能够通过某种方式获得比原本更低级别限更高的系统或应用程序访问限。这种漏洞通常存在于操作系统、应用程序或网络服务中,攻击者利用这类漏洞可以突破原有的限限制,执行未经授的操作,如读取、修改或删除关键系统文件,操控系统服务,甚至取得系统管理员限。
漏洞
huangyongkang666的博客
03-22 2163
升 1.限介绍 ​ 当你通过弱口令爆破、敏感文件读取、sql注入等漏洞获取到了管理员的账号和密码登入后台以后,需要升自己的限,就得在后台页面中寻找漏洞利用的点,成功上传webshell限 ​ 可分为纵向与横向:纵向:低限角色获得高限角色的限;横向:获取同级别角色的限。 ​ Windows常用的方法有:系统内核溢出漏洞、数据库、错误的系统配置、组策略首选项、WEB中间件漏洞、DLL劫持、滥用高危限令牌、第三方软件/服
CVE-2018-8120 Microsoft Windows漏洞 Exp_64
06-10
CVE-2018-8120 Microsoft Windows漏洞 Exp_32 该资源适用于64位windows操作系统
漏洞利用与
09-20
ID tdcoming 的白帽子的演讲PPT,共43页。详细介绍了漏洞利用的各个步骤,值得一看
漏洞集锦asp webshell
06-17
集合了所有windows服务器漏洞 方便站长进行自我审计
dirtycow漏洞原理图
03-10
自己画的关于脏牛漏洞的原理图,个人感觉比较清晰,适合小白理解用
sudo漏洞(CVE-2019-14287)
谢公子的博客
02-24 3141
目录 漏洞背景 漏洞影响版本 利用条件 漏洞复现 修复建议 漏洞背景 2019年10月14日,CVE官方发布了CVE-2019-14287的漏洞预警。通过特定payload,用户可升至root限。 漏洞影响版本 sudo < 1.8.28 利用条件 sudo的版本号<1.8.28 知道当前用户的密码 当前用户存在于su...
墨者学院 - 内部文件上传系统漏洞分析溯源
多崎巡礼的博客
07-26 2178
有意思有意思,搜索了半天还是不懂怎么创建文件夹,老老实实看了解题思路柳暗花明 burp还有这种操作,学到了不亏不亏 上传默认是upload 利用burp截包,更改(没有则自动创建)上传文件夹 此处更改为test.asp (iis6.0漏洞: 例如文件的名字为“*.asp;xxx.jpg”,会被 IIS 当作 asp 文件来解析并执行,原因是这样的: 首先我们请求 /aaa.asp;xxx.jpg...
Windows漏洞集合
Web安全工具库
10-26 1860
其实最让人恐惧的不是年龄的递增,而是随着年龄的增长,你的知识、能力、头脑、眼光、存款都没有随之增长。。。 ---- 网易云热评 一、项目介绍 该项目是一个Windows搜集项目,除未通过测试EXP都有详细说明以及演示GIF图,如果项目中的代码有您的代码,本人为标注来源的请交Issues 二、项目地址: https://github.com/Ascotbe/Kernelhub 三、需要用到的环境 1、目标系统环境及下载地址 #Windows 7 SP1 X64ed2k...
墨者学院WebShell文件上传漏洞分析溯源(第1题)
04-03
### 墨者学院 WebShell 文件上传漏洞分析与溯源方法 #### 背景概述 WebShell 是一种嵌入到目标服务器中的脚本程序,攻击者可以通过它远程控制受害者的服务器。文件上传漏洞通常允许攻击者通过伪造请求或其他手段绕过安全机制,在服务器上放置恶意脚本。 在墨者学院的相关题目中到的内容涉及多个方面,包括 MIME 类型篡改、禁用 JavaScript 绕过前端验证以及利用后缀名规避检测等技术[^1]。 --- #### 漏洞成因分析 文件上传漏洞的主要原因在于服务端对上传文件的安全校验不足。具体表现为以下几个方面: 1. **MIME 类型校验不严格** 攻击者可以使用工具(如 Burp Suite)抓取 HTTP 请求并修改其 MIME 类型字段,从而绕过基于内容类型的限制。例如,将 `.txt` 文件伪装为 `image/jpeg` 格式的图片文件。 2. **依赖客户端验证** 如果仅依靠浏览器端的 JavaScript 验证来阻止非法文件类型,则容易被禁用或绕过。一旦禁用了 JavaScript 功能,就可以轻松交不符合预期规则的文件[^2]。 3. **扩展名校验缺陷** 当某些应用只检查文件名而未深入解析实际内容时,可能会接受带有特殊后缀名(比如 `.php5`, `.pht` 等变种 PHP 扩展)的文件作为合法输入[^3]。这使得即使表面上看似正常的文件也可能隐藏潜在威胁。 --- #### 解决方案建议 为了有效防范此类问题的发生,可以从以下几方面着手改进防护措施: - 加强服务端逻辑设计, 不应单纯信任来自用户的任何数据; - 对于上传过程实施多重过滤策略, 如限定白名单内的 mime-type 和尺寸范围之外还需确认最终存储形式确实无害; - 定期审查现有代码库寻找可能存在的安全隐患点,并及时修补已知漏洞; 以下是实现上述部分功能的一个 Python 示例演示如何初步判断一个给定字符串是否可能是危险命令执行语句的一部分: ```python import re def is_potentially_dangerous(input_string): pattern = r'(?:exec|passthru|shell_exec|system|proc_open|popen)' match_result = re.search(pattern, input_string.lower()) return bool(match_result) test_strings = ["<?php echo 'hello'; ?>", "<?php system('ls'); ?>"] for s in test_strings: print(f"'{s}' -> {is_potentially_dangerous(s)}") ``` 此函数会返回 True 或 False 表明传入参数是否存在可疑的关键字组合。 --- #### 总结 通过对墨者学院案例的学习可以看出,针对 web shell 的防御工作需要综合考虑多层面的因素,从前端界面交互直至后台数据库操作均需保持高度警惕以防万一环节疏漏造成严重后果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值