环境搭建
kali的IP:192.168.56.102
靶机IP:192.168.56.107
靶机难度:中
靶机地址:https://download.vulnhub.com/billu/Billu_b0x.zip
主机发现
使用arp-scan对靶机的网段进行扫描,
发现192.168.56.107为新增加的IP,即为靶机IP。
端口探测
使用nmap对靶机存活端口进行探测,包括服务类型,版本等信息。
发现靶机开放了22,80端口。
web渗透(一)
sql注入
使用浏览器查看80端口的web页面。
发现这里明确提示我们可以使用sql注入进行攻击,尝试使用万能密码,但是并没有什么作用。sqlmap也没有什么收获。
这里在burp中进行爆破sql语句,截获的数据包如下:
对用户名和密码两个参数进行爆破,设置这两个参数
两个payload的设置如下:
进行攻击,
这里发现返回的数据包的长度不一样,
在浏览器中查看,发现输入错误页面会返回Try again。这里在返回数据包中查找,
经过筛选选出返回数据包中不包含Try again的内容,发现返回结果如上图所示,这里选择上面包中的数据进行sql注入,这里成功登陆后台。
这里发现在添加用户的功能中存在文件上传点,这里尝试上传一个php的反弹shell的脚本,
但是这里对上传的文件类型进行了判断,只能上传图片格式的文件,经过尝试发现这里判断了文件名,mime信息,和文件头部信息用于判断文件格式。针对这样的防护,我们不可能上传一个可以执行的php脚本。
接下来进行网站目录爆破,
这里查看add.php文件
发现是一个太添加用户的界面,和登陆进去的网站首页penal界面的登陆界面的信息一模一样,只是这个站点没有经过html的渲染,这里猜测当我们访问oenal界面的添加用户的界面时,是通过penal界面包含add.php文件实现的。这里在数据包中验证。
这里发现确实如此,尝试读取其他文件
发现可以读取,这里存在文件包含漏洞。
这里用户名aaa的为我们新上传的用户,他的图片中包含了反弹shell的代码,
成功反弹shell。
提权(一)
进入查看靶机的内核信息。
使用searchsploit进行搜索,发现存在一些利用脚本,
这里使用37292.c文件进行提权,直接上传靶机编译运行。获得最终root权限。
web渗透(二)
对网站执行目录爆破,对发现的路径依次查看
在查看到test文件时,发现提示有一个file参数。
对网站进行进行添加参数,都没有效果,这里想到参数传递有两种方式,处理GET传参以外还有POST传参,抓包进行post传参,
修改传参方式成功读取到/etc/passwd文件,这里是一个本地文件下载漏洞,也就是说可以通过这个漏洞看到很多存在于服务器上面文件,这里通过包含我那个西汉首页的登陆界面获取其源码得到了他的登陆逻辑,以便于我们构造合适的sql语句进行绕过。
目前这条路暂时没有有价值的进展。返回爆破出来的路径发现有phpmy路径,对这个路径进行爆破
使用刚刚的文件包含漏洞进行读取文件内容。重点看配置文件,在配置文件中首先找到了一个账号密码,
首先使用ssh进行尝试,
这就是root用户的账号密码,直接获取root权限。
原文始发于微信公众号(零漏安全):Bollu_b0x渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论