【渗透实例】 渗透某站打点到提权
2022-8-18 11:14:51 Author: moonsec(查看原文) 阅读量:27 收藏

【渗透实例】 渗透某站打点到提权

1简介

在一个非常烦躁的下午,一位师傅发了一个网站,(我这里有安全狗,这个站必有SQL注入)然后我就下载了安全狗(姿势不多,版本还真的多)下载了三个才下载正确,然后我就直接拉靶场,进行测试,测试的瞬间我脑子是空白的,工具用多了,忘记怎么测了,就转手百度嘛对不对,找到了 payload 以后,安全狗居然不弹出来,该开的配置我也开了呀,然后我就没有理他了,然后就很烦(为啥啥都不会);离谱的是后台密码是弱口令进去了,再离谱的是直接sqlmap穿了,再再离谱的是,我测的文件上传是编辑器的,复现不出来,别人随随便便一侧就穿了,直接打击死我了(感觉自己不是学安全的料),反正反正就是很烦(巨烦~),无能狂怒的感觉

2过程

我写这篇文章的时候,是我复盘的时候,由于技术太菜不知道写什么,也有几个点我也很迷惑,

可能遇到站库分离了,这两个网站应该是开发者的测试网站,第一个网站是存在安全狗的而且还是是 phpstuday 搭建的,第二个是没有安全狗的

这里我们先去查看后台,后台是别人拿到的弱口令,我下巴直接惊掉了,密码拿拿都是弱口令,而且他的 sql 明显是有问题的,因为技术问题,测不出来

但是不管怎么样,只有是后台进去以后,心情都好很多,轻车熟路的来到发表区,这种发表文章的最简单的文件上传和 RCE 都是普遍存在的

这种CMS我第一步都是看编辑器版本,诶嘿一看这个好啊必有洞,UEditor 1.4.3,转了一圈发现是asp(.NET)的我直接就崩溃了,他这个CMS是PHP开发的,我也是看了一下其他版本的漏洞测试了一下,效果不太理想,注意这个上传封面,我看到了,但是我懒得去测(心里想哎肯定没有的),5 分钟,和我另外一起的师傅就穿完了,(getshell+sql),很打击呀,我就在思考,怎么又是这样,自己不能突破真的是菜到家

自己测试的时候发现这个点存在文件防护,直接把能用的方法都用,常见的 bypass 和文件上传的姿势,全部一套打上去了,这里的话,我想起来 github 上面有一个测试文件上传的后缀名 fuzz ,这个你们下次遇到可以使用

未果,乐开了花

我这个人比较没有耐心的,但是我喜欢研究知识点,想了想其他人都可以做出来,为什么我不可以,过了10分钟,硬着头皮去请教师傅,我发现我自己真的(到底适不适合做网安)真的是少一步都不行,我是百感交集的很难受,这个网站呀,也卡一直弹不出来,一直转圈圈,这个点不是突破点

添加赛事这里才是,上面那个,怎么打开都打开不了,这个点就是我刚刚懒得测的那个点,上传封面

找到突破点,简单的突破就行了,不是很难,难的话,我也不会在这里写文章,在台下喊 nb 666

3哥斯拉

经过上次的打点,学聪明了,就用哥斯拉,哥斯拉没有二开,原生态,一般就会直接报警了,这里我们要用到哥斯拉的小工具,进行 bypass,原理是啥我也不知道.....

然后就反弹shell,然后就进行一系列操作,基础提权是真的测完了

这个的话,直接一看就知道用那个牛头脚本了,但是本章精华就在这

按道理来说,应该都是最简单的,但是我没有测出来,这时候,我就去请教其他师傅了,师傅说我 exp 脚本有问题,但是好像我一直使用的都是这个,然后我就没有去纠结这个了,毕竟一个师傅点通比你自己花费的时间成本降低到最少

4突破点

这里就是突破点了,这里我们查看一下他的环境变量echo $PATH

这个就是没有环境变量的意思,我当时做 Suid 提权的时候我是想到了,但是我没有当回事,我就失误,这个还是我问师傅,我把我的想法告诉了师傅,师傅点了一下我,我才打穿的

find / -name cc1 2>/dev/null 找一下路径(通常在 /usr/libexec/

这里我们直接放变量上

export PATH=/usr/libexec/gcc/x86_64-redhat-linux/4.8.2/cc1:$PATH

本来想打脏牛上去的,打不了,gcc版本太低了

后面打了CVE-2021-4034

计打这个点花了我5小时,复盘一小时,感觉收货很大,很开心,这篇复盘有很多点,我还有很多没有详细介绍到,可以带入你们自己的思路进行思考

5复盘

太浮躁了,典型又菜又爱装逼,然后知识点不牢固,还懒,我觉得我这样,很难成功,这个站是宝塔搭建的,这里我们就可以看到,宝塔的防护,其实还行,在我调用二进制命令的时候,他要我重新输入密码,上面有图介绍到,学到一个知识点,环境变量,真的是学万遍,不如实操一次

6关注

公众号长期更新安全类文章,关注公众号,以便下次轻松查阅


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMjc0NTEzMw==&mid=2653579648&idx=1&sn=4ec28b3e686120589f0ed78212c97ef2&chksm=811b7fc2b66cf6d4743d0feb379cc93f69a8e5714ff0b097ef6ffa24a3a1a4f4138678b09059#rd
如有侵权请联系:admin#unsafe.sh