VulnHub渗透测试实战靶场 - ZICO2: 1

Posted 2021-09-03 H3rmesk1t

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了VulnHub渗透测试实战靶场 - ZICO2: 1相关的知识，希望对你有一定的参考价值。

环境下载

戳此进行环境下载

具体步骤参考VirtualBox(Host only)和VMware共用同一虚拟网卡

将下载好的靶机环境，导入VritualBox，设置为Host-Only模式
将VMware中桥接模式网卡设置为VritualBox的Host-only

先用arp-scan扫描一下网段内目标靶机的IP地址：sudo arp-scan -l

再用Nmap扫描一下目标靶机的信息：sudo nmap -sS -A 192.168.56.105

发现靶机开放了22、80和111端口，系统为Linux，22端口为SSH服务，80端口为http服务，Web容器为Apache/2.2.22

用dirb扫描一下80端口的web目录：dirb http://192.168.56.105

发现敏感目录dbadmin，访问 http://192.168.56.105/dbadmin/，发现目录遍历，且同时存在 test_db.php文件，发现是类似于mysql的phpmyadmin，靶机的这个是sqlite的网页版管理，尝试弱口令admin登录成功

查看 phpLiteAdmin原有的数据库，发现里面存在两个账号，解hash得到

root 34kroot34
zico zico2215@

测试网站时发现一个链接页面存在文件包含漏洞：http://192.168.56.105/view.php?page=tools.html

根据前面得到的phpliteadmin和文件包含漏洞，可以将两者结合起来进行getshell，向phpliteadmin插入新的数据，利用文件包含漏洞来包含执行插入的恶意代码

新建数据库，将表名写成一句话木马，测试成功触发恶意代码

利用Kali自带的php反弹shell：sudo cp /usr/share/webshells/php/php-reverse-shell.php ~/Desktop/，修改一下Host和Port

用蚁剑将其上传到/var/tmp文件夹下

起一个监听，利用burpsuite发包包含反弹shell的文件，成功接收到反弹的shell

采用溢出提权，利用命令uname -a查看内核版本信息，发现系统为 Ubuntu 12.04 (Linux 3.2.0-23-generic)

搜索到相关漏洞利用exp：https://github.com/FireFart/dirtycow，将exp上传到/var/tmp目录下

使用命令：gcc -pthread dirty.c -o dirty -lcrypt来编译exp，执行编译好的exp

切换到firefart用户组，成功拿到root权限

拿到root权限后发现/home/zico文件夹内有wordpress，可以尝试通过这条途径来提权（有的大师傅就是这样做的）

以上是关于VulnHub渗透测试实战靶场 - ZICO2: 1的主要内容，如果未能解决你的问题，请参考以下文章