vulnhub PwnLab: init

本文思路

nmap扫描---->dirb扫描---->nikto扫描---->LFI读取config.php，获得数据库账号密码---->远程登录mysql找到网站用户账户---->上传图片马，通过LFI（cookie参数值）获得反弹shell---->修改$PATH配合suid得到mike的shell---->suid结合命令注入提权

环境信息

攻击机ip：192.168.101.25

靶机ip：192.168.101.37

具体步骤

步骤1：nmap扫描

sudo nmap -sS -A -p- 192.168.101.37

扫描到80端口是Apache httpd，3306端口开放mysql，推测网站应该是apache+php+mysql的组合。

一个可能的思路是：既然3306端口对外开放，那么有可能需要远程连接mysql，也就是说，有可能需要找到mysql账号密码。

        

步骤2：dirb扫描网站目录，以及网站探索

dirb http://192.168.101.37

从扫描结果（index.php）可以确定网站服务端语言是php 

访问  http://192.168.101.37/index.php ，提示上传图片。

从上图可见，网站主页上还有Login和Upload两个链接，点Login会出现登录框，点Upload会提示需要先登录。

 根据dirb扫描结果，访问 http://192.168.101.37/images/，是包含一个.png文件的目录

访问  http://192.168.101.37/upload/，目前为空目录

 

步骤3：nikto扫描

nikto -host 192.168.101.37

扫描结果如上图所示，扫描结果中说http://192.168.101.37/config.php可能有数据库的ID和密码，访问一下这个页面试试。

页面上啥也没有，可能全是php代码 

再访问一下 http://192.168.101.37/login.php 试试

和从主页点Login后显示的页面对比，发现表单长得很像