【渗透测试】通过实战教你通关Billu_b0x靶机
【渗透测试】通过实战教你通关Billu_b0x靶机
Hello,各位小伙伴大家晚上好~
这里是你们的小编Monster~
话说提升技术很好的一个方法,就是去通关各种靶机
上周通关了一个靶机Billu_b0x,从中学到了很多东西,因此赶紧记录下来。
大家来跟我一起看看吧~
Part.1
环境准备篇
实验拓扑
靶机下载链接:https://download.vulnhub.com/billu/
Part.2
信息收集篇
IP与端口号收集
搭建好靶机环境后,由于在同一网段中,我们先使用namp来扫描一下本网段IP。
发现靶机IP地址为192.168.211.185:
对端口进行扫描,发现开放了ssh和http服务:
目录扫描
从HTTP服务入手,我们先访问一下这个网站
浏览器输入:http://192.168.211.185/
使用dirb工具对网站目录进行扫描,发现了一系列目录:
我们来依次访问一下这些目录,看看都是些什么~
http://192.168.211.185/add 一个上传界面:
http://192.168.211.185/c 一个空白页面
http://192.168.211.185/cgi-bin/ 该路径禁止访问
http://192.168.211.185/images/ 一个图片目录
http://192.168.211.185/in phoinfo( )信息
http://192.168.211.185/index.php 首页登陆界面
http://192.168.211.185/panel 访问自动跳转到首页
http://192.168.211.185/show 空白页面
http://192.168.211.185/test 该页面提示传入参数
Part.3
渗透阶段
SQL注入
信息收集了一波,就开始渗透吧~
我们先来试试首页是否存在SQL注入,尝试输入1' or 1=1 or '1 进行密码绕过:
提示登陆失败:
尝试输入1' OR 1=1 OR '1等均失败。
换个思路,我们来看看前面发现的需要传入参数的test.php页面:
想试试这里有没有文件包含漏洞,尝试输入?file=index.php,无反应:
使用burp抓包,改为POST方法发包:
虽然没有文件包含漏洞,但发现响应包能够读取到index.php页面的源码:
分析一下index.php的源码,是存在SQL注入的:
虽然前面使用str_replace( )函数将单引号全部过滤了,但是我们可以在输入pass时,输入一个 \ 符号,将uname逃逸出来。
例如我们输入123/123,这里的查询语句就是:
select * from auth where pass='123' and uname='123'
输入pass=123\ uname= or 1=1 --+
其中or 1=1永真,就可以成功绕过。
查询语句就成了:
select * from auth where pass='123\' and uname=' or 1=1 -- '
按以上方法输入:
成功登陆,跳转到panel.php:
文件上传
选择Show Users,可以查看用户及其头像信息:
任意点开一个头像,我们可以看到头像保存路径:
访问http://192.168.211.185/uploaded_images/,可以看到头像文件保存目录:
如果我们可以上传一个webshell到这个目录,就可以拿下这个靶机了。
选择Add User,可以添加用户及头像:
尝试上传一个.php文件,提示只能上传图片格式:
通过前面的test.php页面,我们来读取一下这个页面的源码:
可以看到这里采用了白名单的机制,并不存在文件上传漏洞:
代码分析
刚才从test.php页面我们成功读取到index页面的源码,我们现在挨个读取一下其他页面的代码,看看有没有有用信息。
读取c.php页面:
发现数据库账号、密码:
再读取panel.php页面代码,会发现这里还有一个文件包含漏洞,并且对输入未作任何处理:
我们可以上传一个图片马,然后尝试利用这个漏洞执行。
文件包含漏洞
选择一张图片muma.jpg,插入恶意代码如下:
在panel页面进行上传:
访问该图片,可以正常访问:
现在利用图片马,通过文件包含漏洞尝试执行phpinfo():
成功执行:
这里学习了两个函数,顺便记录一下:
(1)file_get_contents(),用于将文件的内容读入到一个字符串中:
成功读取到c.php内容:
(2)scandir( ) 函数返回指定目录中的文件和目录的数组。
读到当前目录下的文件:
生成一句话木马
言归正传,我们现在利用我们的图片马,写入一个webshell:
访问config.php,生成失败:
可能是这个目录没有写入权限,我们往uploaded_images/目录写入:
依然生成失败:
尝试对写入内容使用ascii码的方式传入。
编写以下代码将一句话木马转换为ascii码的方式:
得到转换结果:
重新生成webshell:
尝试访问config.php,未报错,生成成功:
现在使用中国菜刀去连接木马:
成功getshell:
系统提权
中国菜刀连接成功后,打开虚拟终端查看权限:
接下来我们来提权到root权限。
先查看一下系统的版本信息以及内核信息:
回到kali,搜索一下Ubuntu 12.04.5 ,找到可利用的exp:
将exp拷贝出来并进行编译:
将exp上传至靶机中运行,发现无法执行:
返回kali,使用用msfvenom生成一个php后门:
调用exploit模块,设置payload后监听:
将door.php通过菜刀上传至靶机并访问:
成功反弹shell至kali:
进入shell模式,运行刚才上传的exp,成功提权至root :
撒花完结~~
数据库
其实还有一种方法可以不用sql注入,前面通过读取c.php的源码,发现了数据库的账号/密码:
尝试远程连接数据库,失败:
通过dirb也没能发现数据库登陆页面:
其实是有的,使用强大一点的字典就能找出来:
数据库中可以查询到登陆界面的账号/密码,可以直接去主页登陆了:
尝试通过数据库写入一句话木马,失败,应该是权限不够:
Part.4
结语篇
好啦,这就是今天的全部内容了,大家都明白了吗?
Peace!