靶机实战-zico

zico靶机实战

1、主机发现

netdiscover： -i 指定网卡 -r 指定网段

2、端口扫描

目标开放了44929,22,111,80端口

3、扫描端口详细信息

22-ssh，80-http，111-rpcbind，44929-status
老规矩，干80端口

4、渗透80端口(http服务)

点击页面上可点击的按钮，找到一个有用的：

链接后面有？page= tools.html
想到文件包含漏洞的特征：?page=，?file=，?home=
那试试该页面是否包含文件包含漏洞

啥也没有，bp抓包再看看

猜想可能根目录不是etc，尝试用…/

说明该网站存在文件包含漏洞，但不能直接查看到/etc/passwd下的内容，猜测是因为默认的目录没有在根目录下，所以采用…/…/的方式，返回到根目录下
//本地包含不行再试远程包含，远程包含也不行(双写、大小写)，猜测可能没有远程包含
证明该网站存在文件包含的漏洞，那就需要去寻找网站可以访问的目录，利用文件包含漏洞

扫描其它网站目录

查看扫描到的网站目录

css样式，没有有用信息


发现test_db.php是个数据库的登录页面，还有对应的版本信息，而且只需要输入密码，那我们可以采用密码**
先尝试使用弱口令进行登录数据库


竟然成功登录，很nice么
查看数据库中的信息，找有用的信息

一个root用户，一个zico用户，尝试去解密


34kroot34 zico2215@
拿到用户名密码，尝试用ssh登录一下

两个账户都登录失败
想到之前检测到该网站的版本存在文件包含漏洞，尝试一波
先创建一个数据库：test_db；创建一个表：test_table，一个字段信息



尝试去访问刚才创建的内容phpinfo() //访问成功phpinfo执行

那么我们可以在网站数据库中上传脚本文件获取目标靶机的shell；
创建一个数据库：test,创建一个表：myshell，一个字段
在kali中添加shell.txt
开启apache服务

在数据库中上传该脚本
‘在Kali上监听1234端口，并执行上传的脚本

成功获取目标的shell

5、提权

脏牛提权
将dirty.c文件下载到目标靶机的/tmp目录下

编译，执行

查看权限

6、找找其它有用文件

在zico的目录下发现了WordPress文件

wp-config.php 文件是WordPress数据库的关键。数据库名、用户名、密码、位置都是在此设置
查看wp-config.php 文件

用户名：zico，密码：sWfCsfJSPV9H3AmQzw8
利用得到的密码尝试去登录ssh

继续用脏牛提权，参考如上