1.在8080端口上可以訪問到如下圖所示的頁面，提示已經(jīng)很明顯了cookie沒有設(shè)置，字段名稱是password，唯一需要破解的是值，掛上Burpsuite單點爆破就可以搞定。

password：secret

2.用Cookie Manager添加當前頁Cookie后你可以獲得如下頁面，既然是TCP socket test，不防65535端口全連接試試，你會在11211端口發(fā)現(xiàn)端倪。http://10.10.10.86:8080/socket?port=11211&cmd=111 URL的形式，同樣支持BurpSuite的單點爆破。

socket連接嘗試

3.11211端口對應服務為memcached，是目前流行的緩存服務。不必對它做太過深入的理解，學習一下基本命令即可。

memcached服務

4.攻擊的關(guān)鍵是讓memcache泄露所有的key，其中可能緩存了登錄的用戶名密碼。

基本命令

80端口先嘗試登錄，密碼錯不重要，重要的是讓memcached從mysql拉出數(shù)據(jù)進行緩存

5.接下來就是跑hash了，暴力的辦法就是用john直接破解，優(yōu)雅些的方法是利用22端口ssh漏洞枚舉用戶，msf里有可以直接利用的模塊(msf > use auxiliary/scanner/ssh/ssh_enumusers)。經(jīng)過這步后能夠拿到登錄密碼：genevieve@10.10.10.86 Princess1

ssh登錄成功

6.檢查SUID文件，find / -user root -perm -4000 -ls 2>/dev/null ，ldconfig 和 myexec 同學你肯定有問題！

7.將myexec下載回本地，利用radare2對其進行跟蹤

????????[0x00400740]> aaa （aa用分析文件，aaa可以分析出更多程序細節(jié)，文件小邏輯簡單的話建議使用）

? ??????[0x00400740]> pdf@main（顯示主函數(shù)的反匯編結(jié)果，在@后指定函數(shù)名或地址，打印相關(guān)內(nèi)容）

? ? ? ? 密碼：s3cur3l0g1n

程序簡單的密碼比對邏輯：s3cur3l0g1n

還有一處需要注意，程序最后調(diào)用了一個函數(shù)seclogin( )，這個函數(shù)并沒有被實現(xiàn)，是插入代碼的好地方

8.檢查程序調(diào)用的動態(tài)鏈接庫

? ? ? ? 檢查動態(tài)鏈接庫可以使用兩種工具分別是objdump 和 ldd

? ? ? ? objdump -x myexec

? ? ? ? ldd myexec

? ? ? ? 可以看出程序調(diào)用了兩個so

? ? ? ? libseclogin.so 沒有找到（dll劫持是當然的，思路基本是編寫一個shell然后做成so讓程序加載）

程序調(diào)用了兩個so

9.一段簡單的代碼完成功能并編譯成so

?????????gcc -shared -o libseclogin.so -fPIC note.c （動態(tài)鏈接庫編譯）

? ? ? ? ?ldconfig -l /tmp/libseclogin.so

? ??????LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/tmp

? ? ? ? ?env LD_LIBRARY_PATH=/tmp

return 0 后面少了一個; 哈哈

10.可以拿到root shell 了，這臺機器不太穩(wěn)定，如果還是失敗的話，需要重置幾次機器?。。『眠\兄弟～