前言
这次的靶机还是很好玩的,有点难度折腾了挺久,但方法对了那就很容易了
靶机ip(192.168.110.129)
攻击机ip(192.168.110.127)
网络NAT模式
不废话了直接开始
信息收集
打开网页简单看了看,没有过多的内容,是个基因的论文网站
网站没有太多的功能,而且扫目录也没扫到什么有价值的东西最开始以为网站上的这些单词可能会用到,就利用他们做了个字典去爆破 ssh,显然我的方法就是错的
漏洞挖掘
注意到这个位置很有可能是利用存在读文件,简单尝试了几次Apache的日志文件
都失败了
重点来了
偷偷看了一眼攻略,哈哈哈,原来这个地方确实是存在读文件的思路就是利用 ssh 写入一句话,然后读日志来执行一句话
首先就是去连接,然后一句话被写入日志ssh '<?php system($_GET[360])?>'@192.168.110.129
bp测试一下,成功执行
简单说明下,我传的命令就是ls / 的url编码
同时也成功把我的连接写入日志,那么我们可以同样的拿个 shell出来,方便后面操作
不会弹shell 可以看我的这篇文章
-------------Linux弹shell--------------
进一步提权
网站目录下发现一个可疑的py文件,是个日志审计的工具,但是没有权限打开Apache的日志
可以看见我们的ssh
连接确实被写进了日志
查看具有的 sudo权限,发现这个py文件原来不需要密码就能执行 root权限
尝试一下确实可以,同时也发现了 root下的 flag
接下来就是直接把 flag文件复制到网站根目录就可以了/var/log/auth.log | cp /root/flag.png /var/www/html/theEther.com/public_html/flag.png
浏览器访问,在最后一行发现flag
base64 解码,有道翻译一下,哈哈哈,到这里也就结束了
总结
能学到新的姿势来拿 shell,还是很高兴的
网络安全就是这样,我们常规的攻击思路可能早就被网站管理员猜到了,所以他们就会有针对的进行监控和过滤
但往往一个网站的攻破都不仅仅是通过正常的思路去渗透的,骚姿势总能带来意想不到的惊喜
要学习的还有很多啊