1 |
|
web
nikto
nikto -h 10.10.10.18
1 |
|
经过检查,web目录十分干净,只有少数的功能。
- 注册用户功能,检查sql注入
wapita
1 |
|
扫描,无漏洞
gobuster
1 |
|
发现目录遍历,该目录下有几个php文件。auth.php跳转到admin/login.php
用burp拦截,发现302跳转,404not found =》admin/login.php
这让我不禁想到,login.php是否可以登陆admin
admin/admin尝试登陆,提示Invalid credentials,爆破失败
ssh
- 检查openssh是否有低版本漏洞
1 |
|
检查结果:公钥私钥登陆方式,好像不允许私钥登陆
- 检查中间件漏洞 Apache + PHP < 5.3.12 / < 5.4.2 - cgi-bin Remote Code Execution + Scanner | exploits/php/remote/29316.py
cgi-bin目录不存在,所以漏洞不存在
writeup
参考资料: Padding Oracle Attack 笔记
Padding Oracle Attack,简要的说就是密码学配置不当,会导致任意文件读取。
工具:wget https://raw.githubusercontent.com/GDSSecurity/PadBuster/master/padBuster.pl
使用burp抓包,获取Cookie。
数据包
1 |
|
padBuster.pl
Use: padBuster.pl URL EncryptedSample BlockSize [options]
1 |
|
访问/mysshkeywithnamemitsos
将密钥保存为一个名为id_rsa的文件。
1 |
|
INFO
家目录下有一个suid权限的elf程序。尝试用john破解/etc/shadow,失败。
1 |
|
strings backup
上传nc
1 |
|
成功反弹shell
提权
新建cat文件,内容是shell脚本。当suid程序执行cat /etc/shadow,加入环境变量后,会先执行以下脚本。
1 |
|
添加环境变量export PATH=.:$PATH
;chmod +x cat
,给/home/mitsos/cat添加执行权限。
运行/backup,发现root.txt已经复制到该目录。但是查看一下,发现还是root权限可读。
1 |
|
修改cat,然后再次运行backup即可获得root.txt的内容
方法二:
cat 内容为
1 |
|
即可获得一个root shell
总结
学习到了一种新的suid提权方式,虽然有suid权限的elf程序不nmap|vim|find|bash|more|less|nano|cp
这些程序其中的任何一种,但是通过添加环境变量,可以顺带执行shell脚本。
这个突破防线的方式,通过伪造cookies,是由于密码算法使用不当,导致攻击者可以猜测出admin的cookies,从而登陆web。
Padding Oracle Attack,利用条件很苛刻。
也许是我对密码学的东西知之甚少。不知道在实际攻击过程中,这种方式是否常见。