渗透靶机测试之zico2

实验环境
kali虚拟机 ip地址：192.168.232.159
靶机：zico, ip未知

1.使用nmap扫描，发现主机地址

发现zico主机地址：192.168.232.130
nmap的-sn参数表示只进行主机发现，不进行端口扫描，然后在浏览器中输入地址，得到首页网站
2.使用nmap进行详细的扫描

3.使用dirb进行目录浏览，发现一个目录，在网页访问

phpLiteAdmin 是基于 web 的 SQLite 数据库管理工具
4.使用弱密码admin成功进入
5.在数据库界面查看有两个账号以及使用加密后的密码

使用cmd5在线密码解密得出密码
root 34kroot34
zico zico2215@

6.浏览网页结构，查找可疑漏洞点
看到那个地址，想到有没有文件包含漏洞

7.在数据库创建一条数据，属性为text，值为:<?php phpinfo();?>
构造连接访问发现此处确实存在文件包含漏洞

8.在数据库中添加一个表hack.php，表中添加行shell,字段添加为图中所示

9.在kali中监听，然后浏览器去访问该字段
拿到shell

将shell转换为交互式的tty，使用wget获取脏牛提权软件dirty.c

10.使用gcc对dirty.c进行编译为可运行程序，然后运行更改管理员账户密码为123.com

11.更改成功，su使用管理员账号登录，成功

12.浏览主机文件，发现一个WordPress目录，查看该目录有一个config文件，config文件一般为配置文件，打开这个config文件，找到一个用户名和密码，使用该用户名和密码去ssh登录主机，登录成功

大功告成！！！！

实验总结：

 看到url后面有=xx.xx时，就想到是否存在文件包含漏洞，然后去验证该漏洞是否存在，最后就是加以利用。其实这个实验还是不太完整的，
 我只是拿到了主机的ssh登录账号密码，成功进入之后就没有后续了，到这一步之后，登录主机的ssh并不是管理员权限，我们可以再次使用
 第三方提权软件进行提权而获得管理员权限，之后，可以在该主机留下后门，方便后续利用，还得把登录日志给删了。说来也有一点运气成分
 在里面，在登录phpLiteAdmin时，使用弱密码admin就可以进去了，要是管理员把密码设置得再为复杂一点，就得多花费一些心思，好在
 这个phpLiteAdmin版本是v1.9.3，而这个版本也是存在漏洞的。

一些拓展：

 namp的一些参数了解：
 -sT	tcp端口扫描（完整的三次握手）
 -sC	使用默认类别的脚本进行扫描
 -sV	打开系统版本检测

0

phpLiteAdmin 是基于 web 的 SQLite 数据库管理工具,支持 SQLite2 和 SQLite3 PHP 。
phpLiteAdmin 1.8.x、1.9.x在没有正确验证phpliteadmin.php内'table'参数值的合法性，在实现上存在SQL注入漏洞，成功利用后
可允许攻击者执行未授权数据库操作。 0 phpLiteAdmin 1.9.x phpLiteAdmin 1.8.x 厂商补丁