vulnhub-Billu_b0x

题目：Billu_b0x

攻击机：kali-linux

ip地址：

靶机：vulnhub-Billu_b0x

开始解题：

一、信息收集：

nmap获取目标主机信息：

这一步主要获取目标主机的端口信息等，先对整段进行扫描。

这里刚开始没注意，靶机默认的事nat模式，我扫了半天一直扫不出来，大家做的时候注意一下。

这里看到103这里开了22和80端口，基本确定是靶机了。再进一步探测端口信息。

nmap -sS -sV -A -p- 192.168.1.103

出来了这么信息

访问一下80端口。

 看到了username和password的输入框，然后提示我们：show me your sqli skills存在sql注入，sqlmap梭一把。

屁都没梭出来，老规矩，扫目录吧。这里记得选择目录字典，不然会扫出来很少的目录。

扫出来了一堆目录。

胡乱点了几下，发现了一个上传的界面。试试发现也不行。

 

然后点到了这个界面，暴露了php版本。全部点一遍。

这里貌似提示我们了file

几张照片

 一个登陆界面，并没有任何登陆的思路。

 目前到这里，好像就目录test哪里有点异常。尝试进行文件读取。

先get方式传入参数试试。

好像没用，再试试post

好像有反应了。

读取一下源码。

 审计一下源码。

大概审计了一下，再尝试下载c.php的代码。

再下载登陆界面的源码，看到了对文件上传的限制，这里先放着。

直接爆了数据库的账号和密码。

 

登陆一下。"billu","b0x_billu"

 打开ica_lab，看到三张表。

 注意这里的auth，和刚才源代码里出现的sql查询语句的一样。

 打开这个表。

拿到biLLu这个用户的账户和密码。

登陆最开始的登陆界面。

登陆成功，点击这哥add user

 出现了传入照片的选项，试试看能不能传入马子。

随便传了下，貌似前后端都有过滤。看来只能上图片马，结合文件包含了。

这是我准备的两个文件。copy a.png/b + cmd.php/a cmd.png

这个后面改了文件名，第一次上传失败了。后面第二次上传，用的马子都是一样的。

然后直接上传，成了

 

然后再load的位置放上文件的位置。图片的位置，上面登录界面源码分析里发现了uploaded_images，进行访问，发现可以访问。

 

 

 尝试进行命令执行。

试了几个命令都不行，想起开头可以进行cat命令，这里继续查看passwd。 注意空格进行url编码，不然会解析不了、

可以成功执行。然后打开nc，再修改命令。

 然后失败，菜刀也失败。

没找出问题在哪。后面看了大佬的，继续用文件包含吧。

猜解php网站配置文件的路径。通常是放在/var/www/phpmy/config.inc.php里，

拖出源码。

这里看到root账户的密码。

因为不能反弹shell所以目前只能做到这里。我是没发现反弹不了的原因。