1.在8080端口上可以訪問到如下圖所示的頁面醒第,提示已經(jīng)很明顯了cookie沒有設置,字段名稱是password伯复,唯一需要破解的是值搞莺,掛上Burpsuite單點爆破就可以搞定。
2.用Cookie Manager添加當前頁Cookie后你可以獲得如下頁面疚鲤,既然是TCP socket test锥累,不防65535端口全連接試試,你會在11211端口發(fā)現(xiàn)端倪集歇。http://10.10.10.86:8080/socket?port=11211&cmd=111 URL的形式桶略,同樣支持BurpSuite的單點爆破。
3.11211端口對應服務為memcached诲宇,是目前流行的緩存服務际歼。不必對它做太過深入的理解,學習一下基本命令即可姑蓝。
4.攻擊的關鍵是讓memcache泄露所有的key鹅心,其中可能緩存了登錄的用戶名密碼。
5.接下來就是跑hash了,暴力的辦法就是用john直接破解宙暇,優(yōu)雅些的方法是利用22端口ssh漏洞枚舉用戶输枯,msf里有可以直接利用的模塊(msf > use auxiliary/scanner/ssh/ssh_enumusers)。經(jīng)過這步后能夠拿到登錄密碼:genevieve@10.10.10.86 Princess1
6.檢查SUID文件客给,find / -user root -perm -4000 -ls 2>/dev/null 用押,ldconfig 和 myexec 同學你肯定有問題!
7.將myexec下載回本地,利用radare2對其進行跟蹤
????????[0x00400740]> aaa (aa用分析文件雀费,aaa可以分析出更多程序細節(jié)妄辩,文件小邏輯簡單的話建議使用)
? ??????[0x00400740]> pdf@main(顯示主函數(shù)的反匯編結果练般,在@后指定函數(shù)名或地址请梢,打印相關內(nèi)容)
? ? ? ? 密碼:s3cur3l0g1n
8.檢查程序調(diào)用的動態(tài)鏈接庫
? ? ? ? 檢查動態(tài)鏈接庫可以使用兩種工具分別是objdump 和 ldd
? ? ? ? objdump -x myexec
? ? ? ? ldd myexec
? ? ? ? 可以看出程序調(diào)用了兩個so
? ? ? ? libseclogin.so 沒有找到(dll劫持是當然的血崭,思路基本是編寫一個shell然后做成so讓程序加載)
9.一段簡單的代碼完成功能并編譯成so
?????????gcc -shared -o libseclogin.so -fPIC note.c (動態(tài)鏈接庫編譯)
? ? ? ? ?ldconfig -l /tmp/libseclogin.so
? ??????LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/tmp
? ? ? ? ?env LD_LIBRARY_PATH=/tmp
10.可以拿到root shell 了卧惜,這臺機器不太穩(wěn)定,如果還是失敗的話夹纫,需要重置幾次機器Q蚀伞!舰讹!好運兄弟~
