【Vulnhub练习】Billu_b0x

靶机说明

虚拟机难度中等,使用ubuntu(32位),其他软件包有:

  • PHP
  • apache
  • MySQL

目标

Boot to root:从Web应用程序进入虚拟机,并获得root权限。

运行环境

  • 靶机:使用VMWare打开虚机,网络连接方式设置为NAT,靶机自动获取IP。
  • 攻击机:同网段下有Windows攻击机,kali攻击机

信息收集

nmap -sP 主机发现扫描,找到目标主机ip为 192.168.132.130

【Vulnhub练习】Billu_b0x_第1张图片

 nmap -sS  : SYN扫描,看一下开放的端口

【Vulnhub练习】Billu_b0x_第2张图片

 

发现开启了22和80端口。

目录扫描:

【Vulnhub练习】Billu_b0x_第3张图片

 

 【Vulnhub练习】Billu_b0x_第4张图片

 

 

漏洞挖掘

 先看一下80端口:

提示SQL注入

 

 用sqlmap跑一下:

没有跑出来,先放着吧。 看一下爆出了的目录

有个PHPinfo

【Vulnhub练习】Billu_b0x_第5张图片

 

根据phpinfo信息,我们可知:

(1)网站绝对路径

【Vulnhub练习】Billu_b0x_第6张图片

 

(2)allow_url_fopen = on

【Vulnhub练习】Billu_b0x_第7张图片

 

 

还有个phpmyadmin:

【Vulnhub练习】Billu_b0x_第8张图片

add目录下是一个图片上传,测试了一下,好像并没有回显

c目录下式空的

【Vulnhub练习】Billu_b0x_第9张图片

test页面下说缺少file参数,并让提供了文件路径,在结合之前phpinfo信息,可知有可能存在本地文件包含

【Vulnhub练习】Billu_b0x_第10张图片

get方式,输入参数并没有什么反应

【Vulnhub练习】Billu_b0x_第11张图片

 

post方式,成功读取/etc/passwd

 【Vulnhub练习】Billu_b0x_第12张图片

 

但是/etc/shadow读不了

【Vulnhub练习】Billu_b0x_第13张图片

 

接着读了一下 c.php :

【Vulnhub练习】Billu_b0x_第14张图片

 

爆出了数据库账号和密码 billu b0x_billu

登录phpmyadmin:

【Vulnhub练习】Billu_b0x_第15张图片

 

 在auth表里又找到了一个用户名和密码,这个应该就是首页登录的用户名和密码,登录一下:

【Vulnhub练习】Billu_b0x_第16张图片

果然。

添加用户这里有可以上传图片,在结合之前的文件包含漏洞,估计可以上传个图片马然后结合文件包含拿shell

 【Vulnhub练习】Billu_b0x_第17张图片

 

上传个图片一句话

【Vulnhub练习】Billu_b0x_第18张图片

 

 上传成功,但是还是没有显示路径。应该是要看一下panel.php的源码了:发现将图片放在了uploaded_images目录下

【Vulnhub练习】Billu_b0x_第19张图片

 

 但是当我想用菜刀连接的时候突然想到,这个文件包含是post方式的,菜刀连不上......  只能再写一个命令执行马上传

 

 但是在test.php下包含直接显示了1.jpg的源码,看了一下test.php的源码,原来是下载文件:

 【Vulnhub练习】Billu_b0x_第20张图片

 

 无奈只能再审计一下panel.php的源码:发现在continue那也存在文件包含漏洞

【Vulnhub练习】Billu_b0x_第21张图片

 

 这下可以包含了:

【Vulnhub练习】Billu_b0x_第22张图片

 

 命令成功执行。

ls -la看一下那个目录可读可写  (需要url编码)

【Vulnhub练习】Billu_b0x_第23张图片

 

 直接将一句话写入 uploaded_images下面

【Vulnhub练习】Billu_b0x_第24张图片

(别忘了url编码)

cat看一下

 【Vulnhub练习】Billu_b0x_第25张图片

 

post被删了,换了get、request也不行,rot13转一下,成功上传

【Vulnhub练习】Billu_b0x_第26张图片

 

 但是菜刀连不上,一直爆500错误,也访问不了,不知道为什么

【Vulnhub练习】Billu_b0x_第27张图片

 

 只能找别的方法了

想到了之前爆出的路径,看一下phpmyadmin的配置文件 /var/www/phpmy/config.inc.php

【Vulnhub练习】Billu_b0x_第28张图片

 

爆出了root用户的账号密码,连ssh试试

【Vulnhub练习】Billu_b0x_第29张图片

 

 

然后直接就是root权限了   就完了??

 

你可能感兴趣的:(【Vulnhub练习】Billu_b0x)