【渗透测试】VulnHub-IMF: 1
VulnHub-IMF: 1
- VulnHub-IMF: 1渗透思路
- 小知识点
-
- 一、php中使用url传递数组的方法
- 二、sqlmap用到的参数理解
- 三、文件上传提权
- 四、缓冲区溢出
- 常用工具
-
- 一、weevely:(Linux菜刀)php webshell的安全测试工具
- 二、ltrace:跟踪进程调用库函数的情况工具
VulnHub-IMF: 1渗透思路
参考文章:VulnHub-IMF: 1渗透测试详细流程
参考文章:VulnHub-IMF: 1渗透测试详细流程
渗透思路:
第一步,还是nmap扫ip,端口,开放80端口,访问web页面,发现有个页面是.php,查看源代码,找到第一个base64加密的flag。
又发现是一些base64加密的文件,解密一下,找到第二个flag。又发现第二个flag又是base64加密的。
解密后是一个文件名,访问一下,是一个登陆页面。
在前一个IMF页面发现了三个用户名,尝试使用这三个,抓包将pass字段改为pass[](具体原理见下),然后随便输入,登陆成功。
找到第三个flag,base64解密,显示continueTOcms,应该是IMFcms的一个漏洞吧
登陆进去查找信息,发现是一个cms.php文件。
抓包,将http包保存下来利用sqlmap -r 注入
输入命令:sqlmap -r dayusql --risk=3 --level=5 --dbs --dump --batch --threads=10(参数详解见下)
看到底层的jpg文件,找到falg4,继续base64解密,发现一个文件上传页面。使用weevely(详细介绍见下)进行文件上传提权。
查找名字里包含agent的文件夹,保存到/dev/null中:find / -name agent &>/dev/null
利用二进制py修改exp进行提权
将文件写入本地agentsploit.py中
小知识点
一、php中使用url传递数组的方法
不知道后端源代码是什么,但可以确定数组可以绕过。这里直接将pass改为pass[]就可以成功登录了
数组绕过,主要原理就是false=false(null=null)。
PHP中若使用ereg(只能处理字符),而这里是数组,所以返回的是null,三个等号的时候不会进行类型转换。所以null不等于false。比如出现以下代码
$flag = "flag";
if (isset ($_GET['password'])) {
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
echo 'You password must be alphanumeric';
else if (strpos ($_GET['password'], '--') !== FALSE)
die('Flag: ' . $flag);
else
echo 'Invalid password';
}
?>
数组绕过主要出现在以下地方
md5(array()) = null
sha1(array()) = null
ereg(pattern,array()) = null vs preg_match(pattern,array) = false
strcmp(array(), "abc") = null
strpos(array(),"abc") = null
二、sqlmap用到的参数理解
-r +文件名:可以将一个post请求方式的数据包保存在一个txt中,sqlmap会通过post方式检测目标。
--sql-file=SQLFILE: 执行一个给定文件中的sql语句
--risk:用于指定检测级别,有 1~5 共 5 级。默认为1,表示做最少的检测,相应的,5 级表示 做最多的检测。
--level:有 1~3 共 3 级。
- 默认风险等级为 1,此等级在大多数情况下对测试目标无害。
- 风险等级 2 添加了基于时间的注入测试
- 等级 3 添加了 OR 测试,若注入点为 update 会对数据库进行改变,因此存在很大风险。
--dump :查询指定范围的全部数据
--batch :批处理,在检测过程中会问用户一些问题,使用这个参数统统使用默认值。
--thread=线程数:设置同时发送多个请求的多线程( 0 ~ 10 )。
三、文件上传提权
四、缓冲区溢出
常用工具
一、weevely:(Linux菜刀)php webshell的安全测试工具
分五个板块:weevely生成shell文件、weevely连接后台、weevely信息探测、weevely文件操作、weevely审计
- 生成shell文件命令:
weevely generate 密码 路径 文件名 - 上传至靶机
- 连接shell文件命令:
weevely shell文件地址 密码
参考文章:https://www.cnblogs.com/forforever/p/12674656.html
二、ltrace:跟踪进程调用库函数的情况工具
kalli不自带,使用命令:apt install ltrace进行安装
ltrace命令 是用来跟踪进程调用库函数的情况。
语法
ltrace [option ...] [command [arg ...]]
选项
-a 对齐具体某个列的返回值。
-c 计算时间和调用,并在程序退出时打印摘要。
-C 解码低级别名称(内核级)为用户级名称。
-d 打印调试信息。
-e 改变跟踪的事件。
-f 跟踪子进程。
-h 打印帮助信息。
-i 打印指令指针,当库调用时。
-l 只打印某个库中的调用。
-L 不打印库调用。
-n, --indent=NR 对每个调用级别嵌套以NR个空格进行缩进输出。
-o, --output=file 把输出定向到文件。
-p PID 附着在值为PID的进程号上进行ltrace。
-r 打印相对时间戳。
-s STRLEN 设置打印的字符串最大长度。
-S 显示系统调用。
-t, -tt, -ttt 打印绝对时间戳。
-T 输出每个调用过程的时间开销。
-u USERNAME 使用某个用户id或组ID来运行命令。
-V, --version 打印版本信息,然后退出。
-x NAME treat the global NAME like a library subroutine.(求翻译)
常见用法:
- 不带参数
还有两个没用到过的用法
- 输出调用时间开销:
[guest@localhost tmp]$ ltrace -T ./a.out
__libc_start_main(0x80484aa, 1, 0xbf81d394, 0x8048550, 0x8048540
printf("no1:%d \t no2:%d \t diff:%d\n", 10, 6, 4no1:10 no2:6 diff:4 ) = 24 <0.000972>
printf("no1:%d \t no2:%d \t diff:%d\n", 9, 7, 2no1:9 no2:7 diff:2 ) = 23 <0.000155>
printf("no1:%d \t no2:%d \t diff:%d\n", 8, 8, 0no1:8 no2:8 diff:0 ) = 23 <0.000153>
--- SIGFPE (Floating point exception) ---
+++ killed by SIGFPE +++
- 显示系统调用:
[guest@localhost tmp]$ ltrace -S ./a.out
SYS_brk(NULL) = 0x9e20000
SYS_access(0xa4710f, 4, 0xa4afc0, 0, 0xa4b644) = 0
SYS_open("/etc/ld.so.preload", 0, 02) = 3
SYS_fstat64(3, 0xbfbd7a94, 0xa4afc0, -1, 3) = 0
SYS_mmap2(0, 17, 3, 2, 3) = 0xb7f2a000
SYS_close(3) = 0
SYS_open("/lib/libcwait.so", 0, 00) = 3
SYS_read(3, "\177ELF\001\001\001", 512) = 512
SYS_fstat64(3, 0xbfbd76fc, 0xa4afc0, 4, 0xa4b658) = 0
SYS_mmap2(0, 4096, 3, 34, -1) = 0xb7f29000
SYS_mmap2(0, 5544, 5, 2050, 3) = 0x423000
SYS_mmap2(0x424000, 4096, 3, 2066, 3) = 0x424000
.............省去若干行