#Nmap信息收集

---存活主機探測

---端口探測和OS探測：

---思路1：21的FTP可能存在匿名登陸，收集敏感信息，根據(jù)ftp敏感信息和dirb獲取80端口Web的目錄、文件等，通過cewl分詞組成字典對ssh進行爆破

---思路2：結(jié)合ftp和80獲取Webshell,通過mysql進行提權(quán)（這里應(yīng)該可以遠程登陸）

---掃描端口開放的版本信息和漏洞的具體信息

---ftp存在匿名登陸，下面存在content、docs、new-employee三個文件目錄

#Ftp匿名登陸

---首先通過ftp進行未授權(quán)用戶的登陸：賬號和密碼都是：Anonymous

---進入ftp的文件目錄

---將三個txt文件進行下載（另外2個目錄也沒有什么信息）

---這里發(fā)現(xiàn)01.txt和03.txt沒有什么信息，02.txt存在2個加密信息（一個是base64,一個未知）

---先看base64加密的內(nèi)容（也可以使用brupSuite的decode）

---通過hash-identifier識別密碼發(fā)現(xiàn)可能是MD5

---通過在線網(wǎng)站進行MD5解密，需要嘗試其它的思路

#Web層面的漏洞分析

---瀏覽器訪問，界面是apache的默認界面

---dirb爆破Web寫入文件：dirb http://192.168.95.131/ -o results.txt

---這里應(yīng)該是存在一個管理員登陸入口，以及一個wordPress的CMS

---進入管理員界面的介紹,發(fā)現(xiàn)是一個名為Cuppa的CMS

---點擊next發(fā)現(xiàn)是一個類似PHPMyAdmin的網(wǎng)頁版本數(shù)據(jù)庫管理工具（這里可能可以爆破）

---谷歌搜索exp:Cuppa CMS exploit

---這里說在/alerts/alertConfigField.php (LINE: 22)文件的22行存在文件包含漏洞

---具體是：<?php include($_REQUEST["urlConfig"]); ?>可以執(zhí)行URL傳參的PHP函數(shù)

---注意：單純的文件包含只能查看敏感文件，如果配合文件上傳，可以命令執(zhí)行

---查看Linux的密碼目錄:http://target/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

---查看Web的數(shù)據(jù)庫配置文件:http://target/cuppa/alerts/alertConfigField.php?urlConfig=php://filter/convert.base64-encode/resource=../Configuration.php

---php://filter/convert.base64-encode/resource=是一種PHP的特殊封裝協(xié)議，用于讀取文件并將其內(nèi)容轉(zhuǎn)換為Base64編碼格式。這種方式常用于讀取服務(wù)器上的文件內(nèi)容

#文件包含漏洞原理（以PHP為例）

---require():找不到被包含的文件會產(chǎn)生致命錯誤，并停止腳本運行
---include():找不到被包含的文件只會產(chǎn)生警告，腳本繼續(xù)執(zhí)行
require_once()與require()類似:唯一的區(qū)別是如果該文件的代碼已經(jīng)被包含，則不會再次包含
include_once()與include()類似:唯一的區(qū)別是如果該文件的代碼已經(jīng)被包含，則不會再次包含

---漏洞成因分析

---利用文件包含，我們通過include函數(shù)來執(zhí)行phpinfo.php頁面，成功解析

---將phpinfo.php文件后綴改為txt后進行訪問，依然可以解析:

---include()函數(shù)并不在意被包含的文件是什么類型，只要有php代碼，都會被解析出來

---將phpinfo.jpg的內(nèi)容改成一段文字:hello world!再次進行訪問，可以讀出文本內(nèi)容

---常見的敏感目錄信息路徑:（一般使用相對路徑讀取：../../windows/system.ini）
---Windows系統(tǒng):

---Linux系統(tǒng)

---PHP協(xié)議：PHP內(nèi)置了很多URL風(fēng)格的封裝協(xié)議

---可用于類似fopen()、copy()、file_exists()和filesize()的文件系統(tǒng)函數(shù)

---PHP部分協(xié)議的利用條件

---PHP協(xié)議相關(guān)內(nèi)容

---文件包含的利用方式

---訪問URL發(fā)現(xiàn)沒有回顯（查看前端源代碼也沒有）：

http://192.168.95.131/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

---源碼上<?php include($_REQUEST["urlConfig"]); ?>說明get和post都可以接受

---在GET請求中無法獲取到參數(shù)值，但在POST請求中可以獲取到參數(shù)值的原因：

---服務(wù)器配置或限制：有些服務(wù)器或Web對GET請求中的參數(shù)進行了限制或過濾

---例如存在安全設(shè)置或防火墻規(guī)則，阻止了GET請求中的某些參數(shù)或特定字符的傳遞

---curl來進行訪問（curl 是用來請求 Web 服務(wù)器。名字是客戶端（client）URL 工具的意思）

---構(gòu)造文件包含的exp:

---data-urlencode將數(shù)據(jù)進行URL編碼，以便POST請求中傳遞特殊字符

---這對于數(shù)據(jù)中包含保留字符（如&、=等）的情況非常有用

---發(fā)現(xiàn)Linux的賬號/用戶組/shell

---讀取密碼

curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.95.131/administrator/alerts/alertConfigField.php

---注意:/etc/shadow分別對應(yīng)的文件格式如下：

---在/etc/shadow中復(fù)制包含了密碼的信息：

---將三個存在密碼數(shù)據(jù)通過Vim寫入1.txt文件進行爆破

#JoHn爆破Unix/Linux 系統(tǒng)密碼（對大小寫不敏感）

---John 自帶了一個字典，字典位于/usr/share/john/password.lst

---這里爆破出來兩個賬號和密碼

---ssh登陸ssh www-data@192.168.95.131發(fā)現(xiàn)賬號不可用

---ssh w1r3s@192.168.95.131登陸

#SUDO提權(quán)

---發(fā)現(xiàn)是普通用戶，但是所屬組（Groups）: w1r3s, adm, cdrom, sudo, dip, plugdev, lpadmin, sambashare（不知道屬于sudo用戶組是不是可以提權(quán)，但是root可以）

---直接通過登陸root繼續(xù)提權(quán)

#利用腳本信息收集提權(quán)

---目前為止信息收集的方法：1.uname -a 2.linpeas.sh 3.linux-exploit-suggester

--執(zhí)行linpeas.sh進行Linux提權(quán)的信息收集

---這里給出了系統(tǒng)的版本

---sudo的版本：考慮sudo提權(quán)

---這里可以利用的軟件，如gcc/python/sudo等

---這里計劃任務(wù)，但是非root不能修改

---這里發(fā)現(xiàn)了adm用戶組：

linux中用戶的類型

---超級用戶:用戶名為root，它具有一切權(quán)限
---系統(tǒng)用戶（偽用戶）:Linux系統(tǒng)正常工作所必需的用戶。主要是為了滿足相應(yīng)的系統(tǒng)進程對 文件屬主的要求而建立的，例如：bin、daemon、adm、lp等用戶,系統(tǒng)用戶不能用來登錄

---普通用戶:是為了讓使用者能夠使用Linux系統(tǒng)資源而建立的

---這里是WordPress的配置文件

---注意：這里/etc/passwd具有可以寫權(quán)限，可以通過修改/etc/passwd進行提權(quán)

---使用perl語言生成帶有鹽值的密碼

---此地的123456便是我們要加鹽的密碼

---將有需要的用戶user2構(gòu)建root組，然后添加到/etc/passwd中

---查看一下/etc/passwd文件，發(fā)現(xiàn)我們添加的用戶已經(jīng)寫入

---試進行登錄用戶user2，密碼是我們設(shè)置的123456

---發(fā)現(xiàn)我們創(chuàng)建的用戶user2，是以root的權(quán)限在登錄

---進入root后通過find命令查找alertConfigField.php:

find /? -name alertConfigField.php 2> /dev/null

---發(fā)現(xiàn)文件包含漏洞：include_once(realpath(__DIR__ . '/..')."/classes/Cuppa.php");

---通過grep篩選urlConfig關(guān)鍵字：cat /var/www/html/administrator/alerts/alertConfigField.php | grep "urlConfig"

---發(fā)現(xiàn)這里竟然是POST提交，和EXP里面的描述略有出入

#文件包含漏洞的防護

---1、使用str_replace等方法過濾掉危險字符
---2、配置open_basedir防止目錄遍歷（open_basedir 將php所能打開的文件限制在指定的目錄樹中）
---3、php版本升級，防止%00截斷
---4、對上傳的文件進行重命名，防止被讀取
---5、對于動態(tài)包含的文件可以設(shè)置一個白名單，不讀取非白名單的文件。
---6、做好管理員權(quán)限劃分，做好文件的權(quán)限管理，allow_url_include和allow_url_fopen最小權(quán)限化
#知識點總結(jié)

---1.Nmap進行存活主機、端口、OS版本、端口漏洞掃描

---2.Ftp匿名登陸漏洞下載文件

---3.hash-identifier識別base64/MD5密碼，在線網(wǎng)站解密

---4.dirb掃描Web路徑，識別Cuppa、WordPress等CMS

---5.文件包含的原理：include() ,require() ,include_once(), require_once()

---6.PHP的偽協(xié)議：file讀取本地文件、php://filter用于讀取源碼、php://input命令執(zhí)行、ZIP://協(xié)議命令執(zhí)行、data://協(xié)議命令執(zhí)行

---7.文件包含利用方式：1.讀取敏感文件獲取用戶密碼2.和文件上傳漏洞（圖片馬）結(jié)合3.和Apache日志文件結(jié)合命令執(zhí)行（brupSuite修改URL編碼）4.包含seesion文件var/lib/php/sess_PHPSESSID，BurpSuite修改session5.包含臨時文件（條件競用,暴破文件名）6.遠程包含命令執(zhí)行（php版本小于5.3.4，我們可以嘗試使用%00截斷，GET傳參？截斷）

---8.文件包含讀取../etc/shadow，john爆破獲取系統(tǒng)用戶密碼

---9.root/sudo用戶組進行Sudo提權(quán)，/etc/passwd文件可寫入提權(quán)

---10.Linux信息搜集：1.uname -a （內(nèi)核信息收集|簡潔低效）2.linpeas.sh（系統(tǒng)信息收集|全面繁雜） 3.linux-exploit-suggester（漏洞信息收集|方便快捷）