第五次环境搭建笔记

环境描述：226为这次练习的环境。

实验室的同学在230的内网中不能反弹shell（方法可以看下面），还有不需要反弹shell的方法（内容中会提到），本来想让大家利用内核漏洞提权的，但是遇到了些问题（属于较高要求，内容中会说明）。

下面用到198是教师机，一开始教师机上有个hishop5环境，拿到webshell，再服务器提权。

后来老师把这个端口给禁用了，但是他另外一个端口上用的是wamp环境，可以往服务器写webshell，而且这个不用提权直接就是admin。（所以大家知道肉鸡是哪儿来的了吧）

linux下面本地提权比较多，经常要用到反弹；

外加可能想搭建wordpress的博客，所以就去找这个，熟悉一下环境；

提示：

wordpress2.8.5

所以网站找的是wordpress2.8.5的，存在文件上传漏洞；

需要注册用户（至少是作者的权限）才能上传文件；

但是wordpress2.8.5只能使用邮箱验证注册用户，所以根据网上搜到的修改方法将发送给邮箱的随机密码，改到了cookie中（顺便让大家练习一下查看自己的cookie和url编码转换，虽然比较简单）

wordpress2.8.5漏洞分析http://hi.baidu.com/xkill001/item/27100ac41838ba6af6c95dbc

wp-includes/functions.php:
---[cut]---
line 2228:

function wp_check_filetype( $filename, $mimes = null ) {
$mimes = ( is_array( $mimes ) ) ? $mimes : apply_filters( 'upload_mimes', array(
'jpg|jpeg|jpe' => 'image/jpeg',
'gif' => 'image/gif',
'png' => 'image/png',
'bmp' => 'image/bmp',
'tif|tiff' => 'image/tiff',
'ico' => 'image/x-icon',
'asf|asx|wax|wmv|wmx' => 'video/asf',
'avi' => 'video/avi',

'class' => 'application/java',

'tar' => 'application/x-tar',

'zip' => 'application/zip',

'gz|gzip' => 'application/x-gzip',

'exe' => 'application/x-msdownload',......

在wp-includes/functions.php文件中的wp_check_filetype函数中所有的MIME类型就是能上传的文件类型，而且上传时，只检查最后一个文件扩展名，导致test.php.jpg这种文件可以上传成功；

apache2.2.20

光是有这个漏洞，并不能成功将test.php.jpg解析为php格式，这要配合上apache的解析漏洞，可惜linux下的apache没有解析漏洞，而且我也并不知道哪个版本会有,所以我就只要去搞懂apache解析漏洞的原理。

test.php.aaa,例如aaa这种格式的文件是不存在的，所以apache不能识别他，所以他就比较“智能”的帮你解析到前一个文件的格式php。那么我们怎么让wordpress2.8.5能上传的文件（类似白名单），让这个白名单上的文件类型某些不能被apache识别。根据配置文件识别文件MIME类型受到两个文件影响，一个是/etc/apache2/magic（只会影响有特殊标识的），一个是/etc/mime.types（通过文件扩展名识别的MIME类型，所以这个就是我们需要修改的了）

根据上面的“白名单”，我将exe，class的类型注释掉了，所以当上传test.php.exe,test.php.class为文件名的文件时，就会以php解析。

简单的SUIDshell后门利用

查找后门