2018-12-01-Vulnhub渗透测试实战writeup(
2018-12-01 本文已影响24人
最初的美好_kai
emm,很久没写这个系列了,补上一个再写上之前留下的坑.....
下载完这个以后感觉还是界面挺赞的先夸一个,emmm
白胡子
然后老规矩先nmap以及dirbuster吧...
# Nmap 7.01 scan initiated Sat Dec 1 15:39:10 2018 as: nmap -sV -A -oN test.xml 192.168.110.131
Nmap scan report for 192.168.110.131
Host is up (0.00083s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 1024 fa:cf:a2:52:c4:fa:f5:75:a7:e2:bd:60:83:3e:7b:de (DSA)
| 2048 88:31:0c:78:98:80:ef:33:fa:26:22:ed:d0:9b:ba:f8 (RSA)
|_ 256 0e:5e:33:03:50:c9:1e:b3:e7:51:39:a4:4a:10:64:ca (ECDSA)
80/tcp open http Apache httpd 2.2.22 ((Ubuntu))
|_http-server-header: Apache/2.2.22 (Ubuntu)
|_http-title: --==[[IndiShell Lab]]==--
MAC Address: 08:00:27:1C:31:B1 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.0
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 0.83 ms 192.168.110.131
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sat Dec 1 15:39:24 2018 -- 1 IP address (1 host up) scanned in 14.24 seconds
dirbuster的结果如下:
http://192.168.110.131/index.php #对应主页
http://192.168.110.131/images #几张海贼王照片
http://192.168.110.131/in.php #打开了是执行phpinfo函数,小马?
http://192.168.110.131/test.php #test.php打开写了一句话:'file' parameter is empty. Please provide file path in 'file' parameter
收集完一波资料以后,就抓住问题的主要矛盾了,这个首页提示了要测试sql注入技巧,这是最重要的一条线索,所以先试下.
首页界面登录抓包如下:
POST / HTTP/1.1
Host: 192.168.110.131
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:63.0) Gecko/20100101 Firefox/63.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.110.131/
Content-Type: application/x-www-form-urlencoded
Content-Length: 37
Connection: close
Cookie: PHPSESSID=7lac6ca8hfefshtrhanu7jgff1
Upgrade-Insecure-Requests: 1
un=admin&ps=admin&login=let%27s+login
尝试一波手动以及一波sqlmap都没发现有问题!,首页源代码也没看见问题.
用nessus没发现啥问题..所以只能看看有没有信息收集是不是哪方面做缺失了.
用dirb再次扫目录发现有一些缺失了,补上整理如下:
http://192.168.110.131/add.php#上传点,估计是突破口
http://192.168.110.131/c.php #打不开的
http://192.168.110.131/uploaded_images/ #放了几张那个加勒比海盗的图片
http://192.168.110.131/phpmy #显然就是phmyadmin的登录界面了
探索一下上传点看看,发现能上传,但是你知道的,上传,路径,可执行三者不可缺一,这里你也不知道他上传之后路径在哪里啊.
海盗的那几张图片也找不到啥surprise啊.......
点算....
这时候只能看看老外的writeup了...
hint1
老外说他到这一步也卡住了,所以试试那个告诉你缺失file字段的界面
这里要主要字段需要用post来发送
result1
result2
发现burp是真的神器,右键有一个可以直接该request method的按钮!
这样就获取了/etc/passwd文件了,查看一波.
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:103::/home/syslog:/bin/false
mysql:x:102:105:MySQL Server,,,:/nonexistent:/bin/false
messagebus:x:103:106::/var/run/dbus:/bin/false
whoopsie:x:104:107::/nonexistent:/bin/false
landscape:x:105:110::/var/lib/landscape:/bin/false
sshd:x:106:65534::/var/run/sshd:/usr/sbin/nologin
ica:x:1000:1000:ica,,,:/home/ica:/bin/bash
发现有一个叫ica的家伙,前面的openssh账户名获取了?
利用这个方法可以查看其他的一些PHP源代码文件.
我先包含了index.php进来,发现他包含了两个头文件
hint3
经查询head.php只是加载图片,没啥,但是c.php里面有些干货,如图
hint4
这里查询的代码里面有了数据库的账号密码了....配置文件里面有也正常..注意最后一个参数是数据库名称
所以试试phpmyadmin一下,真的进来了...
hint5
发现有两张表,一张是Mysql自带的information_schema,一张是ica_lab,然后有一列数据是auth,认证的简写,然后直接查一波,猜测应该是openssh密码或者前面的web登录密码.
hint6
发现并不是openssh账号名密码,毕竟登录失败了,那就只可能是web界面了,去看看啥样!
just for fun
路飞加加勒比的想法是什么鬼....
这个页面可以add user,上传图片马,然后反弹个bash shell回来,接着下载个提权exp编译运行就可以,这个后面来补上.
我这介绍个最简单的思路是那个老外发现的,他利用kali进行dirb目录爆破的时候选择了big dictionary,然后可以发现phpmyadmin下面的子文件,直接爆破到他的配置文件
hint7
hint8
发现这里直接有root的密码了,那当然是直接上openssh了啊,一招绝杀
result
这里学一个姿势啦,phpmyadmin的配置文件是config.inc.php啦
这次主要是学习了一波那个配置文件的重要性以及本地文件包含的重大作用拉,还是一句话,实操是进步最快的!!!
