环境:
物理机:10.33.63.20,作为攻击主机
虚拟机(均采用NAT模式):
Kali:192.168.150.197
getshell001靶机:192.168.150.205
win10虚拟机:192.168.150.200
nmap简单扫描一下靶机:
22端口可以进行弱口令爆破,
80端口可以检测一个网站存在的漏洞,打开:
Admin打开发现是一个登录界面(漏洞测试点1):
测试点主要是弱口令检测。
弱口令爆破,手动测试一下无果。
工具弱口令检测:可以用burpsuite,或者一些特定的工具。
因为没有登录次数限制,所以就利用burpsuite的instruder模块进行密码爆破:
设置俩个变量,并分别设置到字典后点击开始攻击。
爆破的过程中发现靶机的站点存在302跳转,需要更改暴力破解为总是跟随跳转:
什么是302跳转?
302跳转是用户浏览器或搜索引擎蜘蛛向网站务器发出访问网址A的请求时,服务器返回的头信息中状态码的一种,也称为302重定向,302跳转。
302跳转解决办法:在instruder模块的options中找到以下设置:
爆破正常:
显然,没有结果。切换测试点。
随便点击网页上的跳转。发现有一个参数传递的页面(漏洞测试点2)。
手动检测一下发现是一个注入点。
sqlmap的使用:
先测试一下当前用户是不是DBA,命令:
python sqlmap.py -u"http://192.168.150.205/cat.php?id=2" --is-dba
显示为否,不是DBA权限,虽然可以拿sql-shell,但是没啥用。
再用sqlmap跑一下数据库,命令:
python sqlmap.py -u"http://192.168.150.205/cat.php?id=2" --dbs
可以发现靶机的站点有两个数据库,由于Mysql版本>=5.0,存在数据库information_schema,所以另
一个数据库photoblog就是我们要找的数据库。
再接着跑表名,命令:
python sqlmap.py -u"http://192.168.150.205/cat.php?id=2" -D photoblog --tables
按步骤来
python sqlmap.py -u"http://192.168.150.205/cat.php?id=2" -columns -T users -D photoblo
python sqlmap.py -u"http://192.168.150.205/cat.php?id=2" --dump -T users -D photoblog -start 1 -top 3
得到:
md5解密一下password,得到password为:P4ssw0rd
getshell:
登录管理员账号后又发现一个文件上传功能,稍微进行一个简单绕过后,上传成功,最终getshell。
总结;这个基础靶机主要针对于burpbuite,sqlmap的基础使用,后门上传也是简单的大小写绕过。嗯,很基础。