目录
一、实验环境
二、实验步骤
主动信息收集
端口探测——80端口(http)
文件包含getshell
提权
查找数据库配置文件
- 攻击机(Kali):192.168.247.165
- 靶机(billu):192.168.247.166
1、主机发现
2、端口扫描
靶机开放80和22端口
3、端口详细信息
1、目录探测
分别使用默认字典和大字典对靶机进行目录探测,探测结果如下:
2、对发现的目录进行逐一探测
2.1 http://192.168.247.166/add,上传文件后,没有任何是否上传成功的提示。
2.2 http://192.168.247.166/images/
2.3 http://192.168.247.166/in
2.4 http://192.168.247.166/phpmy/
3、查看Web页面
访问http://192.168.247.166/,是一个登录界面,使用弱口令和SQL注入(admin' or '1' = '1)进行登录,登录失败。根据登录失败后的提示,可以判断它没有登陆次数限制以及用户名枚举漏洞,因此可对其进行暴力破解。
POST读取其他PHP文件
查看http://192.168.247.166页面的源代码,发现它的提交方式为post方式,访问http://192.168.247.166/test.php?file=../../../../../etc/passwd,无法成功。通过BurpSuite抓包后右键选择,change request method,改成POST后,Go一下,成功读取到/etc/passwd中的内容。
补充:
/bin/bash表示当前用户使用的shell是/bin/bash,所谓的shell你可以理解为操作系统和人之间交互的平台,例如windows系统的桌面环境就是一个shell。bin目录中基本上都是可执行的命令。
利用这个方法可以查看其他的一些PHP源代码文件。我先包含了index.php进来,发现它包含了两个头文件——c.php、head.php。
经查询head.php只是加载图片,没有什么重要信息。但是c.php里面有些干货,如图所示:
可以看到登录数据库(ica_lab)的账号密码:billu,b0x_billu,登录一下phpmyadmin:http://192.168.8.129:80/phpmy 成功。在该数据库中发现有两张表,一张是Mysql自带的information_schema,一张是ica_lab,然后有一列数据是auth,认证的简写,然后直接查一波,猜测应该是openssh密码或者前面的web登录密码。
使用该账号和密码进行ssh登录,登录失败。
ssh登录失败。访问http://192.168.247.166,使用账号密码:biLLu,hEx_it登录,登录界面如下图所示:
发现这个页面可以add user,上传图片木马,然后反弹个bash shell回来,接着下载个提权exp编译运行就可以了。
图片木马制作
从kali上下载文件/usr/share/webshells/php/php-reverse-shell.php,修改其中的IP地址以及端口号,并将它重命名为shell.jpg。使用copy命令将jack.jpg和shell.php合成一张图片,输出为caj.jpg。(建议直接在该网站上下载一张jack的图片)
在http://192.168.247.166/panel.php页面上传caj.jpg,上传成功后,按Fn+F12,使用Hackbar工具修改数据包,并在Kali测试机上监听 ' 1234 ' 端口,成功拿到shell。
终极四连问
将shell转换为交互式的tty
在Kali上查找对应版本的漏洞
searchsploit Ubuntu 12.04
将该文件复制到Kali测试机的/var/www/html目录下,并启动apache服务。
在获得shell上切换目录到/tmp下,下载Kali测试机/var/www/html目录下的37292.c文件,对其编译并执行,提权成功。
发现一个用户名:root和密码:roottoor,使用该用户名和密码远程登录ssh,登录成功,而且是root权限。