【渗透测试】通过实战教你通关Billu_b0x靶机

Hello,各位小伙伴大家晚上好~

这里是你们的小编Monster~

话说提升技术很好的一个方法,就是去通关各种靶机

上周通关了一个靶机Billu_b0x,从中学到了很多东西,因此赶紧记录下来。

大家来跟我一起看看吧~

Part.1

环境准备篇

实验拓扑

靶机下载链接:https://download.vulnhub.com/billu/

Part.2

信息收集篇

IP与端口号收集

搭建好靶机环境后,由于在同一网段中,我们先使用namp来扫描一下本网段IP。

发现靶机IP地址为192.168.211.185:

对端口进行扫描,发现开放了ssh和http服务:

目录扫描

从HTTP服务入手,我们先访问一下这个网站

浏览器输入:http://192.168.211.185/

使用dirb工具对网站目录进行扫描,发现了一系列目录:

我们来依次访问一下这些目录,看看都是些什么~

http://192.168.211.185/add 一个上传界面:

http://192.168.211.185/c 一个空白页面

http://192.168.211.185/cgi-bin/ 该路径禁止访问

http://192.168.211.185/images/ 一个图片目录

http://192.168.211.185/in phoinfo( )信息

http://192.168.211.185/index.php 首页登陆界面

http://192.168.211.185/panel 访问自动跳转到首页

http://192.168.211.185/show 空白页面

http://192.168.211.185/test 该页面提示传入参数

Part.3

渗透阶段

SQL注入

信息收集了一波,就开始渗透吧~

我们先来试试首页是否存在SQL注入,尝试输入1' or 1=1 or '1 进行密码绕过:

提示登陆失败:

尝试输入1' OR 1=1 OR '1等均失败。

换个思路,我们来看看前面发现的需要传入参数的test.php页面:

想试试这里有没有文件包含漏洞,尝试输入?file=index.php,无反应:

使用burp抓包,改为POST方法发包:

虽然没有文件包含漏洞,但发现响应包能够读取到index.php页面的源码:

分析一下index.php的源码,是存在SQL注入的:

虽然前面使用str_replace( )函数将单引号全部过滤了,但是我们可以在输入pass时,输入一个 \ 符号,将uname逃逸出来。

例如我们输入123/123,这里的查询语句就是:

select * from auth where pass='123' and uname='123'

输入pass=123\ uname= or 1=1 --+

其中or 1=1永真,就可以成功绕过。

查询语句就成了:

select * from auth where pass='123\' and uname=' or 1=1 -- '

按以上方法输入:

成功登陆,跳转到panel.php:

文件上传

选择Show Users,可以查看用户及其头像信息:

任意点开一个头像,我们可以看到头像保存路径:

访问http://192.168.211.185/uploaded_images/,可以看到头像文件保存目录:

如果我们可以上传一个webshell到这个目录,就可以拿下这个靶机了。

选择Add User,可以添加用户及头像:

尝试上传一个.php文件,提示只能上传图片格式:

通过前面的test.php页面,我们来读取一下这个页面的源码:

可以看到这里采用了白名单的机制,并不存在文件上传漏洞:

代码分析

刚才从test.php页面我们成功读取到index页面的源码,我们现在挨个读取一下其他页面的代码,看看有没有有用信息。

读取c.php页面:

发现数据库账号、密码:

再读取panel.php页面代码,会发现这里还有一个文件包含漏洞,并且对输入未作任何处理:

我们可以上传一个图片马,然后尝试利用这个漏洞执行。

文件包含漏洞

选择一张图片muma.jpg,插入恶意代码如下:

在panel页面进行上传:

访问该图片,可以正常访问:

现在利用图片马,通过文件包含漏洞尝试执行phpinfo():

成功执行:

这里学习了两个函数,顺便记录一下:

(1)file_get_contents(),用于将文件的内容读入到一个字符串中:

成功读取到c.php内容:

(2)scandir( ) 函数返回指定目录中的文件和目录的数组。

读到当前目录下的文件:

生成一句话木马

言归正传,我们现在利用我们的图片马,写入一个webshell:

访问config.php,生成失败:

可能是这个目录没有写入权限,我们往uploaded_images/目录写入:

依然生成失败:

尝试对写入内容使用ascii码的方式传入。

编写以下代码将一句话木马转换为ascii码的方式:

得到转换结果:

重新生成webshell:

尝试访问config.php,未报错,生成成功:

现在使用中国菜刀去连接木马:

成功getshell:

系统提权

中国菜刀连接成功后,打开虚拟终端查看权限:

接下来我们来提权到root权限。

先查看一下系统的版本信息以及内核信息:

回到kali,搜索一下Ubuntu 12.04.5 ,找到可利用的exp:

将exp拷贝出来并进行编译:

将exp上传至靶机中运行,发现无法执行:

返回kali,使用用msfvenom生成一个php后门:

调用exploit模块,设置payload后监听:

将door.php通过菜刀上传至靶机并访问:

成功反弹shell至kali:

进入shell模式,运行刚才上传的exp,成功提权至root :

撒花完结~~

数据库

其实还有一种方法可以不用sql注入,前面通过读取c.php的源码,发现了数据库的账号/密码:

尝试远程连接数据库,失败:

通过dirb也没能发现数据库登陆页面:

其实是有的,使用强大一点的字典就能找出来:

数据库中可以查询到登陆界面的账号/密码,可以直接去主页登陆了:

尝试通过数据库写入一句话木马,失败,应该是权限不够:

Part.4

结语篇

好啦,这就是今天的全部内容了,大家都明白了吗?

Peace!

本文分享自微信公众号 - 一名白帽的成长史(monster-liuzhi)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-07-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券