实验环境
kali虚拟机 ip地址:192.168.232.159
靶机:zico, ip未知
1.使用nmap扫描,发现主机地址
发现zico主机地址:192.168.232.130
nmap的-sn参数表示只进行主机发现,不进行端口扫描,然后在浏览器中输入地址,得到首页网站
2.使用nmap进行详细的扫描
3.使用dirb进行目录浏览,发现一个目录,在网页访问
phpLiteAdmin 是基于 web 的 SQLite 数据库管理工具
4.使用弱密码admin成功进入
5.在数据库界面查看有两个账号以及使用加密后的密码
使用cmd5在线密码解密得出密码
root 34kroot34
zico zico2215@
6.浏览网页结构,查找可疑漏洞点
看到那个地址,想到有没有文件包含漏洞
7.在数据库创建一条数据,属性为text,值为:<?php phpinfo();?>
构造连接访问发现此处确实存在文件包含漏洞
8.在数据库中添加一个表hack.php,表中添加行shell,字段添加为图中所示
9.在kali中监听,然后浏览器去访问该字段
拿到shell
将shell转换为交互式的tty,使用wget获取脏牛提权软件dirty.c
10.使用gcc对dirty.c进行编译为可运行程序,然后运行更改管理员账户密码为123.com
11.更改成功,su使用管理员账号登录,成功
12.浏览主机文件,发现一个WordPress目录,查看该目录有一个config文件,config文件一般为配置文件,打开这个config文件,找到一个用户名和密码,使用该用户名和密码去ssh登录主机,登录成功
大功告成!!!!
实验总结:
看到url后面有=xx.xx时,就想到是否存在文件包含漏洞,然后去验证该漏洞是否存在,最后就是加以利用。其实这个实验还是不太完整的,
我只是拿到了主机的ssh登录账号密码,成功进入之后就没有后续了,到这一步之后,登录主机的ssh并不是管理员权限,我们可以再次使用
第三方提权软件进行提权而获得管理员权限,之后,可以在该主机留下后门,方便后续利用,还得把登录日志给删了。说来也有一点运气成分
在里面,在登录phpLiteAdmin时,使用弱密码admin就可以进去了,要是管理员把密码设置得再为复杂一点,就得多花费一些心思,好在
这个phpLiteAdmin版本是v1.9.3,而这个版本也是存在漏洞的。
一些拓展:
namp的一些参数了解:
-sT tcp端口扫描(完整的三次握手)
-sC 使用默认类别的脚本进行扫描
-sV 打开系统版本检测
0
phpLiteAdmin 是基于 web 的 SQLite 数据库管理工具,支持 SQLite2 和 SQLite3 PHP 。
phpLiteAdmin 1.8.x、1.9.x在没有正确验证phpliteadmin.php内'table'参数值的合法性,在实现上存在SQL注入漏洞,成功利用后
可允许攻击者执行未授权数据库操作。 0 phpLiteAdmin 1.9.x phpLiteAdmin 1.8.x 厂商补丁