Vulnhub-Zico2靶机实战
前言
首發(fā)在個人博客👉個人博客地址
這篇文章的個人博客地址👉地址
下載地址:https://www.vulnhub.com/entry/zico2-1,210/
KALI地址:192.168.1.18
靶機(jī)地址:192.168.1.29
靶機(jī)描述如下
Description
Back to the Top
Zico’s Shop: A Boot2Root Machine intended to simulate a real world cenario
Disclaimer:
By using this virtual machine, you agree that in no event will I be liable for any loss or damage including without limitation, indirect or consequential loss or damage, or any loss or damage whatsoever arising from loss of data or profits arising out of or in connection with the use of this software.
TL;DR - You are about to load up a virtual machine with vulnerabilities. If something bad happens, it’s not my fault.
Level: Intermediate
Goal: Get root and read the flag file
Description:
Zico is trying to build his website but is having some trouble in choosing what CMS to use. After some tries on a few popular ones, he decided to build his own. Was that a good idea?
Hint: Enumerate, enumerate, and enumerate!
Thanks to: VulnHub
Author: Rafael (@rafasantos5)
Doesn’t work with VMware. Virtualbox only.
一.信息收集
1.主機(jī)發(fā)現(xiàn)
使用命令如下
netdiscover -r 192.168.1.18發(fā)現(xiàn)了靶機(jī)地址,紅色箭頭所示
2.主機(jī)掃描
使用命令如下,先進(jìn)行簡單的掃描
nmap -sV 192.168.1.29發(fā)現(xiàn)有了一些基本信息,但是感覺還是不夠詳細(xì),這里看出的信息是開放了80,22,111端口
詳細(xì)一點(diǎn)的掃描,使用命令如下
nmap -A -T4 -O -p 0-65535 192.168.1.29發(fā)現(xiàn)大致相同,多了一個41312的端口
3.目錄掃描
前面nmap掃描發(fā)現(xiàn)了開放了80端口那么直接對靶機(jī)進(jìn)行目錄掃描,使用命令如下
dirb http://192.168.1.29如下圖,看名字就感覺紅色箭頭奇怪。
二.漏洞利用
1.文件包含
在上述信息過程中還包括了,網(wǎng)頁漏洞挖掘,和網(wǎng)頁源代碼查詢,最終在網(wǎng)頁首先的下面發(fā)現(xiàn)了CHECK THEM OUT!的字樣,如下圖紅色箭頭,很難不想象是文件包含。
經(jīng)過測試,包含了/etc/passwd文件,發(fā)現(xiàn)確實(shí)有這個漏洞,并且發(fā)現(xiàn)了zico用戶,如下圖。
2.CMS漏洞
經(jīng)過上面信息收集目錄掃描,發(fā)現(xiàn)了一個dbadmin的目錄,然后里面有一個php文件,打開叫我們輸入密碼,如下圖,經(jīng)過弱密碼測試,密碼密碼是admin。
進(jìn)去之后也不知道干嘛,只能看看這個有啥漏洞了,在kali使用命令如下。
searchsploit phpliteadmin發(fā)現(xiàn)查找到了東西,如下圖,發(fā)現(xiàn)有遠(yuǎn)程代碼執(zhí)行漏洞。
既然發(fā)現(xiàn)了有遠(yuǎn)程代碼執(zhí)行漏洞,那就直接看文檔怎么利用了,使用命令把文檔拷貝到桌面上查看,命令如下。
cp /usr/share/exploitdb/exploits/php/webapps/24044.txt /root/Desktop如下圖,照著利用就好了,但是。。。emmmm,看不懂咋辦。
下面是谷歌翻譯的結(jié)果,然后我直接把翻譯結(jié)果放下面了。
# 漏洞利用標(biāo)題:phpliteadmin <= 1.9.3 遠(yuǎn)程 PHP 代碼注入漏洞 # Google Dork: inurl:phpliteadmin.php (默認(rèn)密碼: admin) # 日期:2013 年 1 月 10 日 # 漏洞利用作者:L@usch - http://la.usch.io - http://la.usch.io/files/exploits/phpliteadmin-1.9.3.txt # 供應(yīng)??商主頁:http://code.google.com/p/phpliteadmin/ # 供應(yīng)??商狀態(tài):通知 # 軟件鏈接:http://phpliteadmin.googlecode.com/files/phpliteadmin_v1-9-3.zip # 版本:1.9.3 # 測試環(huán)境:Windows 和 Linux描述:phpliteadmin.php#1784: '創(chuàng)建一個新數(shù)據(jù)庫' => phpliteadmin.php#1785: '當(dāng)你創(chuàng)建一個新數(shù)據(jù)庫時,如果你自己沒有包含它,你輸入的名稱將附加適當(dāng)?shù)奈募U(kuò)展名(.db、.db3、.sqlite 等)。數(shù)據(jù)庫將在您指定為 $directory 變量的目錄中創(chuàng)建。',攻擊者可以創(chuàng)建一個帶有 php 擴(kuò)展名的 sqlite 數(shù)據(jù)庫,并將 PHP 代碼作為文本字段插入。完成后,攻擊者只需使用 Web 瀏覽器訪問數(shù)據(jù)庫文件即可執(zhí)行它。概念證明:1.我們創(chuàng)建一個名為“hack.php”的數(shù)據(jù)庫。 (取決于服務(wù)器配置,有時它不起作用,數(shù)據(jù)庫的名稱將是“hack.sqlite”。然后只需嘗試將數(shù)據(jù)庫/現(xiàn)有數(shù)據(jù)庫重命名為“hack.php”。) 該腳本會將 sqlite 數(shù)據(jù)庫存儲在與 phpliteadmin.php 相同的目錄中。 預(yù)覽:http://goo.gl/B5n9O 十六進(jìn)制預(yù)覽:http://goo.gl/lJ5iQ2. 現(xiàn)在在這個數(shù)據(jù)庫中創(chuàng)建一個新表并插入一個具有默認(rèn)值的文本字段: <?php phpinfo()?> 十六進(jìn)制預(yù)覽:http://goo.gl/v7USQ3. 現(xiàn)在我們運(yùn)行 hack.php完畢!證明:http://goo.gl/ZqPVLOK,這下大概曉得了,先創(chuàng)建一個.php的數(shù)據(jù)庫,然后在表里面寫入php代碼內(nèi)容即可,跟著下面圖片操作即可。
上面的操作,創(chuàng)建一個叫做hack.php的數(shù)據(jù)庫然后創(chuàng)建了一個hack表,現(xiàn)在我們需要往里面寫東西,如下圖,這里寫入的是phpinfo來驗(yàn)證是否可以顯現(xiàn)出來。
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-siE81Akq-1648090130614)(/images/wordimage/2022/0323/phpinfo.png)]
因?yàn)樯厦鎰?chuàng)建數(shù)據(jù)庫都顯示了路徑了,思路是用上面發(fā)現(xiàn)的文件包含漏洞,來包含我們創(chuàng)建的數(shù)據(jù)庫php,如下圖操作包含成功,能顯示出來。
既然可以這樣了,那么思路來了,我們是否可以寫入一句話木馬,或者反彈shell。
3.寫入一句話木馬
如下圖,寫入了一句話木馬。
然后通過蟻劍連接,如下圖結(jié)果,是可以的。
三.提權(quán)
我們現(xiàn)在地權(quán)限進(jìn)入了系統(tǒng),剩下的就需要提權(quán)了,老樣子先查看,home目錄下面有什么東西,如下圖,發(fā)現(xiàn)了wordpress。
然后查看了一下wordpress的數(shù)據(jù)庫配置文件/wp-config.php,如下圖,然后發(fā)現(xiàn)用戶是zico,因?yàn)樯厦娌榭磒asswd下面的文件的時候,發(fā)現(xiàn)有zico用戶很難不會把這兩個東西聯(lián)想在一起。
用戶:zico
密碼:sWfCsfJSPV9H3AmQzw8
可以嘗試一下ssh連接,如下圖可以成功連接進(jìn)去!
然后這里嘗試切換到root用戶,發(fā)現(xiàn)不可行,如下圖。
切換思路,查看現(xiàn)在這個用戶有sudo啥權(quán)限,使用命令如下
sudo -l發(fā)現(xiàn)可以使用zip和tar命令是root權(quán)限執(zhí)行,如下圖,意思是可以使用zip和tar提權(quán)。
1.zip提權(quán)
大概就是把一個文件zip打包的時候執(zhí)行命令,可以看這個文章👉ZIP提權(quán),如下操作步驟
zico@zico:~$ touch 1 zico@zico:~$ sudo zip 1.zip 1 -T --unzip-command="sh -c /bin/bash"adding: 1 (stored 0%) root@zico:~# id uid=0(root) gid=0(root) groups=0(root) root@zico:~# whoami root如下圖操作結(jié)果,成功提權(quán)到了root用戶。
2.tar提權(quán)
意思和上面zip差不多一樣需要代碼參數(shù)--checkpoint和--checkpoint-action來執(zhí)行命令,但是并沒有打包因?yàn)槭褂昧?dev/null。
zico@zico:~$ touch 1 zico@zico:~$ zico@zico:~$ sudo tar cf /dev/null 1 --checkpoint=1 --checkpoint-action=exec=/bin/bash root@zico:~# id uid=0(root) gid=0(root) groups=0(root) root@zico:~#如下圖結(jié)果,成功切換到root權(quán)限。
然后查看flag就可以完事了,如下圖flag。
四.總結(jié)
對于我來說的話需要注意的是提權(quán)操作,這個算是新玩意了。
總結(jié)
以上是生活随笔為你收集整理的Vulnhub-Zico2靶机实战的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: java的结课课程设计,java课程设计
- 下一篇: 版式设计小结