实验环境
攻击机:172.20.10.5
靶机:172.20.10.6
实验流程
- 端口扫描
命令:nmap -p- IP地址
开放了21、22以及80端口
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/8ac31bfa9d4fc4d58f91ed091049ecee.png)
- 端口详细信息探测
命令:nmap -T4 -A -v IP地址
21端口对应的ftp服务使用的是vsftpd 3.0.2搭建的
80端口对应的Web服务器为Apache 2.4.7
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/35d0df48aa5efc65b0aff779900a8ea1.png)
- 21端口溢出漏洞探测
命令:searchsploit vsftp 3.0.2
vsftp 3.0.2并不存在溢出漏洞
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/f50cc505ce593998e4fe4f6abce5c98f.png)
- 网站详细信息探测
命令:nikto -host http://IP地址
发现敏感目录:/config.php、/login.php
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/99cec9caea20fec99df2ff61d64697d0.png)
- 访问敏感目录
/config.php页面和源代码均为空
/login.php为登录页面
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/8c26ccf8e78fff12c1fef113df0fdc34.png)
- 尝试弱口令
并不存在弱口令的问题,但是用户名和密码不正确的情况下都会有一个弹窗,猜测前端代码应该做了限制 ![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/18997b440dedae9590b15e4064a22e93.png)
- 查看页面源代码
- 源代码中,通过js代码限制了邮箱必须以“@btrisk.com”结尾
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/a1374a1230829b7bf876f3f74f967a51.png)
使用户名为“xxx@btrisk.com”,密码任意进行登录,发现可以成功登陆,但是页面没有任何可用的内容
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/bfd0feeee333d440d716cd51d0602373.png)
猜测以上页面可能不是真正的登录成功后的页面,同时结合前面登录页面做的限制——密码内容中不能包含单引号,尝试探测是否存在SQL注入漏洞
在密码中写入一个单引号,查看效果,登陆以后页面报警告信息
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/1d33a6b714e81b29ac57638db4528d8a.png)
将登录密码修改成为xxx’ or 1=1 – -,成功登录,页面上有一个文件上传功能
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/237ba8d6387b7926ce0461b83c1ec65d.png)
- 查看页面源代码
前端通过验证文件后缀名的形式防御文件上传漏洞
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/e1a951f61289a0dabd2d83bf814264b0.png)
- 目录爆破
获取到文件上传目录可能为/uploads
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/d01ae81d7381b3a03222df18d02966e5.png)
尝试上传一张图片,确认上传文件目录是否准确
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/33d0ad6860d50d9a273b10260d6e5a8f.png)
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/71efc758a95d10c34e41f4d4ac9e57f1.png)
- 上传木马,反弹shell
利用msfconsole监听端口
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/6a6fc192209ed051b54ec9e0fd551fdc.png)
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/b8fc8733c62a08eb6d6fdf8145b02450.png)
生成木马
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/ebdd3fd984f3769c02be4e5c53a55d9a.png)
将该内容写入到一个jpg文件中,上传该文件
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/a049a8739fd9a8a75fabc60d99b7180a.png)
利用BP抓包,修改文件名为shell.php,点击forward发送该请求
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/7d84b7aa7508f6820e0db818f01770e9.png)
上传成功,点击访问该文件
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/da3def5a9e3b3d03bc54a8acc80a5487.png)
获取shell
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/7334ad899e460524d882db1a01565816.png)
- 获取当前权限
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/a5e62240821f56749de576aa3e0a9626.png)
- 优化shell
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/096a73daf871eff6acb02b1780e34f5c.png)
- 获取敏感信息
/config.php中存放了连接数据库使用的数据库用户名和密码
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/004fb0609b235570848bacc1febabfdf.png)
- 登录MySQL数据库查看敏感信息
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/865658e3ae274c3f3306a5502eaa58e6.png)
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/5f1d3960b711716b7689c3116876ba65.png)
尝试利用该信息切换到root用户
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/7e7c27f313e845fa0b7cb9fe86edf1f9.png)