TRY HACK ME | GAME ZONE 「SQLMAP+利用反向SSH提权」

最新推荐文章于 2023-12-24 20:50:21 发布

AKA航仔

最新推荐文章于 2023-12-24 20:50:21 发布

阅读量1.5k

点赞数 3

文章标签： ssh 安全数据库

本文链接：https://blog.csdn.net/AKAHRZ/article/details/124606314

版权

TRY HACK ME 渗透测试靶场，以基础为主层层深入，知识点讲解详细，对于想实现从零到一飞跃的白客，TRY HACK ME无非是最好的选择。而网络上资源良莠不齐，好的资源难找的一逼。因此，今天起我将与大家一起详细学习THM重要的ROOM里的内容，力求让每个人都能理解、掌握其中的内容，让我们一起学习、一起进步、一起GET THE FLAG！

ONE MAN ARMY

TRY HACK ME | GAME ZONE 「SQLMAP+利用反向SSH提权」

THM靶场：GAME ZONE
TASK1 通过 SQLi 获取访问权限
TASK2 使用SQLMAP
TASK3 使用反向 SSH 隧道暴露服务
GAME ZONE 靶场通关小结

THM靶场：GAME ZONE

该房间主要介绍 SQL注入漏洞（手动和通过 SQLMap 利用此漏洞）、破解用户散列密码、使用 SSH 隧道揭示隐藏服务以及使用 metasploit 有效负载获得 root 权限。说到SQL注入，我的经验就比较多了，现实环境中的SQL注入能够直接拖入sqlmap跑的还是少数，大多数企业或者政府的网站已经做了很好的WAF防护，所以要学好SQL注入，不仅仅要掌握常规的ASSESS注入、SQLSERVER注入、ORACLE数据库的注入，还要掌握各种WAF绕过的姿势。但是这一切复杂的内容在本房间中几乎没有提及，掌握简单的sqlmap语句即可通关，我们直接开干！

杀手47

TASK1 通过 SQLi 获取访问权限

SQL 注入

SQL 是用于在数据库中存储、编辑和检索数据的标准语言。查询可能如下所示：SELECT * FROM users WHERE username = :username AND password := password。这是一个潜在的漏洞，因为您可以输入您的用户名作为另一个 SQL 查询。这将把查询写入、放置并执行它。

让我们使用上面学到的知识，在没有任何合法凭据的情况下操纵查询和登录。如果我们的用户名是 admin，密码是：’ or 1=1 – - 。它将把它插入到查询中并验证我们的会话。

现在在 Web 服务器上执行的 SQL 查询如下：

SELECT * FROM users WHERE username = admin AND password := ' or 1=1 -- -

我们作为密码输入的额外 SQL 已更改上述查询以中断初始查询并在 1==1 时继续（使用管理员用户），然后注释查询的其余部分以阻止它中断。GameZone 在数据库中没有管理员用户，但是您仍然可以使用我们在上一个问题中使用的输入密码数据在不知道任何凭据的情况下登录。

登录页面
我们按照提示，输入’ or 1=1 – -作为用户名，留空密码构造万能语句绕过用户名检测：在这里插入图片描述
可以看到，绕过后，页面被重定向到portal.php

TASK2 使用SQLMAP

sqlmap

SQLMap 是一种流行的开源、自动 SQL 注入和数据库接管工具。它预装在所有版本的Kali Linux上，或者可以在此处手动下载和安装。有许多不同类型的 SQL 注入（基于布尔值/时间等），可以使用SQLMap 尝试不同的技术自动化整个过程。

首先，打开代理，使用bp在我们之前发现的跳转页面上进行抓包：

burpsuit 抓包
接下来，将抓到的内容全部复制下来，保存到一个txt文件中，我这里给起名为request.txt，然后在目录下执行sqlmap，进行POST注入，命令如下

sqlmap  -r requests.txt

POST 注入

遇到问题直接回车默认选Y就成，结果如下：
我们可以看到数据库是mysql、注入点、注入的PAYLOAD等，我们需要测出用户名和密码，所以我们直接一步到位，执行命令如下：

sqlmap  -r requests.txt -D --tables --dump

用户名、密码GET
太慢了爆的，但是还好最后爆出来了，再解一波密：

知道了用户名和密码，直接ssh连接到服务器，get user flag！

get user shell

TASK3 使用反向 SSH 隧道暴露服务

但是我们想做的显然不止有这些，google搜索HttpFileServer查找有关服务的具体名称，第一条就是Rejetto HTTP File Server (HFS) 2.3.x的一个windows远程代码执行漏洞，此时我们已经可以确定8080端口上运行的是Rejetto HTTP File Server，即Rejetto HTTP文件服务

反向SSH隧道

反向 SSH 端口转发指定将远程服务器主机上的给定端口转发到本地端的给定主机和端口。
-L是本地隧道（YOU <-- CLIENT）。如果站点被阻止，可以将流量转发到您拥有的服务器并查看它。例如，如果 imgur 在工作中被阻止，可以执行 ssh -L 9000:imgur.com:80 user@example.com。转到机器上的 localhost:9000 ，将使用的其他服务器加载 imgur 流量。-R是一个远程隧道（YOU --> CLIENT）。您将流量转发到其他服务器以供其他人查看。与上面的示例类似，但相反。

如上所述，我们构造命令生成反向SSH隧道：

ssh -L 10000:localhost:10000 agent47@10.10.32.236

随后，我们在网页中输入：localhost:10000来访问服务
Webmin
登录后可以看到该CMS为Webmin，版本为1.580:
CMS和版本号

开始搜集该CMS的漏洞，找到了一个远程代码执行漏洞，具体如下：漏洞详情
因此，直接构造语句：

http://localhost:10000/file/show.cgi/root/root.txt

秒杀 root flag！ root flag get！

GAME ZONE 靶场通关小结

在这个房间中，我们一起学习了sqlmap结合bp的post注入技巧，以及构造反向SSH隧道暴露服务利用信息搜集CMS的漏洞直接秒flag的技巧，其实市面上的CMS除了一些最新的CMS都多多少少有一些漏洞，作为网站运营者，可以保持服务的版本更新（但是也有例外，比如新的服务有新的漏洞balabala）作为渗透测试工程师，应该在平时的渗透测试过程中注意收集CMS的常见漏洞或者直接代码审计出 0 day 秒一片！这个靶场总体难度不高，因为有反应说直接放flag和答案不利于大家学习，所以以后都不会把答案直接放出来了（但是没打码就等于放答案了），总之看完后自己做一遍是最好的！如果有部分不明白的，可以把流程反反复复的多看几遍，同时也非常欢迎大家私信我，如果觉得内容做的不错的话，也可以关注我的公众号：HACKER 航仔以获取最新消息并与我联系，十分感谢能看到这里的各位，虽然制作不易，看到你们的点赞我还是很开心的！最后放几张我找到的杀手四十七的高清壁纸，我们下期再见，拜了个拜～～～

让子弹飞