type
status
date
slug
summary
tags
category
icon
password
信息收集
端口扫描
靶机ip:192.168.108.135
攻击机ip:192.168.108.50
靶机地址:https://vulnyx.com/

图片.png

图片.png
目录爆破
就发现一个80端口,访问一下是个默认页面,爆破目录

图片.png
发现kavin中存在index.php
漏洞分析与利用
LFI漏洞发现
尝试访问kavin页面

图片.png
在也面跳转中发现了一个非常典型的 参数包含型页面结构,很有可能存在 本地文件包含漏洞(LFI)
这个参数
i=about
明显是在控制引入的页面内容,可能背后执行了:include($_GET[‘i’] . ‘.php’);
LFI漏洞利用
尝试使用FFUF进行LFI攻击
我们发现确实存在LFI漏洞,但奇怪的是其他访问返回为空,可能添加了过滤或其他防御手段,通常 Linux 系统中的配置文件应该以
.conf
结尾(如 limits.conf
),但现在却能直接读取名为 limits
和 group
的文件,结合一下,我们猜测包含时自动加了 .conf或者文件不带后缀
拿一下Apache 虚拟主机的配置文件 000-default
网站的根目录是
/var/www/html
Apache 的访问日志位于:/var/www/kavin-logs/access.log
可以尝试伪造UA,反弹一个shell和攻击机连接
进去之后进行信息收集,一番搜寻之后没有明显线索,传入linpeas.sh和pspy64进行扫描也没发现有什么东西,看教程说是suraxddq账户的密码就是用户名
进去之后sudo -l一下,发现
suraxddq
用户在目标机器 spooisong
上可以 以 root 身份(无密码)执行 /var/backups/dns
,查看一下脚本内容这里没有写入权限,我们采用DNS 欺骗 + ARP欺骗 + HTTP 代理把目标请求的
sp00is0ng.nyx
指到我们的 Kali 上,并伪造响应
先设置 DNS 欺骗,让所有请求 sp00is0ng.nyx
域名的 DNS 请求都被劫持,解析到我们的 Kali 机器 IP 192.168.108.50
启动一个 HTTP 服务器,响应
http://sp00is0ng.nyx/configure
的请求,返回准备好的恶意脚本最后去执行一下,提权就好
- Author:axlfpe
- URL:https://tlifecafe.xyz/article/d1041b42-19bc-447e-b56e-18c4bf46245a
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!