本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.18
nmap -sC -sV -A -p- -Pn -oN lazy.nmap 10.10.10.18
nmap扫描结果
开放了两个端口22和80,访问web应用
根据上面显示有个注册和登录界面,现在注册个用户和密码一样的bmfx,这里使用burpsuite抓包了,可以使用sqlmap的参数r跑一下看有么有注入,注册完成之后登录进去
没看到啥有用的信息,目录爆破也没发现可利用的,查了下资料反馈目标靶机存在Padding Oracle Attack - Oracle填充攻击,相关原理参考下面链接
https://www.cnblogs.com/wh4am1/p/6557184.html https://www.t00ls.net/articles-58407.html https://www.freebuf.com/articles/database/151167.html
知道了此漏洞,使用对应的exploit代码:https://github.com/AonCyberLabs/PadBuster/blob/master/padBuster.pl 直接进行测试
上述是先验证下当前注册的用户,看是否成功,确认没问题,直接尝试填充管理员admin用户,最终得出admin用户的cookie,然后使用burpsuite抓包替换cookie信息即可登录admin用户,这里替换cookie方法很多,可以是F12 进行开发者模式更改,也可以是fiddler进行更改,我这里使用burpsuite替换
启用此脚本即可
上述配置好之后直接刷新访问原来的页面
发现已经是admin用户,查看页面的My Key信息获得了登录目标的用户名和私钥信息,本地尝试直接加载私钥登录目标靶机成功
查看家目录,发现有个backup文件,显示红色,说明含有suid权限,执行一下看看
确认是调用cat命令查看/etc/shadow 文件信息,当然也是可以使用gdb分析此文件;到了此处带有setuid权限而且是调用命令,就可以使用全局环境变量的方式进行提权,前面我玩vulnhub的靶机的时候也有演示过,这里就带过了
意思就是在tmp目录下新建个文件名称为cat的文件,然后里面写入/bin/sh 或者/bin/bash -p 都可以;