zico靶机实战
1、主机发现
netdiscover: -i 指定网卡 -r 指定网段
2、端口扫描
目标开放了44929,22,111,80端口
3、扫描端口详细信息
22-ssh,80-http,111-rpcbind,44929-status
老规矩,干80端口
4、渗透80端口(http服务)
点击页面上可点击的按钮,找到一个有用的:
链接后面有?page= tools.html
想到文件包含漏洞的特征:?page=,?file=,?home=
那试试该页面是否包含文件包含漏洞
啥也没有,bp抓包再看看
猜想可能根目录不是etc,尝试用…/
说明该网站存在文件包含漏洞,但不能直接查看到/etc/passwd下的内容,猜测是因为默认的目录没有在根目录下,所以采用…/…/的方式,返回到根目录下
//本地包含不行再试远程包含,远程包含也不行(双写、大小写),猜测可能没有远程包含
证明该网站存在文件包含的漏洞,那就需要去寻找网站可以访问的目录,利用文件包含漏洞
扫描其它网站目录
查看扫描到的网站目录
css样式,没有有用信息
发现test_db.php是个数据库的登录页面,还有对应的版本信息,而且只需要输入密码,那我们可以采用密码爆破
先尝试使用弱口令进行登录数据库
竟然成功登录,很nice么
查看数据库中的信息,找有用的信息
一个root用户,一个zico用户,尝试去解密
34kroot34 zico2215@
拿到用户名密码,尝试用ssh登录一下
两个账户都登录失败
想到之前检测到该网站的版本存在文件包含漏洞,尝试一波
先创建一个数据库:test_db;创建一个表:test_table,一个字段信息
尝试去访问刚才创建的内容phpinfo() //访问成功phpinfo执行
那么我们可以在网站数据库中上传脚本文件获取目标靶机的shell;
创建一个数据库:test,创建一个表:myshell,一个字段
在kali中添加shell.txt
开启apache服务
在数据库中上传该脚本
‘在Kali上监听1234端口,并执行上传的脚本
成功获取目标的shell
5、提权
脏牛提权
将dirty.c文件下载到目标靶机的/tmp目录下
编译,执行
查看权限
6、找找其它有用文件
在zico的目录下发现了WordPress文件
wp-config.php 文件是WordPress数据库的关键。数据库名、用户名、密码、位置都是在此设置
查看wp-config.php 文件
用户名:zico,密码:sWfCsfJSPV9H3AmQzw8
利用得到的密码尝试去登录ssh
继续用脏牛提权,参考如上