靶机下载地址:下载地址
搭建好环境,进行主机发现靶机的ip地址为192.168.137.147
对其进行nmap扫描,进行端口发现(22,80)
访问80端口,发现是一个登录框,叫我们尝试SQL注入,用简单的弱口令以及sqlmap跑不出来,然后尝试用burp的SQL字典来跑,跑出来了;
这里通过抓包,将其需要爆破的账号密码添加字典,并且选择cluster bomb模式
第一个字典可以选择kali里面自带的Fuzzing里面的SQL字典
第二个字典,可以就用burp自带的字典,自己添加一下键盘上的所有可输出的字符
最后得到结果
直接用爆破出来的用户密码登录成功
通过查看页面的功能,发现有一个上传文件的功能点
尝试上传不是图片的木马文件,发现通过修改文件后缀名以及mime-type就可以上传成功
通过返回查看用户,发现多了一个123用户
查看图片,得到了上传的路径,但是并没有给我们解析
这种情况一般与文件包含可以利用,然后dirsearch扫描一下网站目录,结果发现我们还有很多没有发现的目录
发现add.php就是上传文件的那个PHP代码文件,尝试抓包进行文件包含,发现还是不能解析(远程文件包含也不行)
接着尝试一下反弹shell的图片进行上传,看能不能监听到
直接用kali里面自带的反弹代码
将其拷贝为2.png,将其上传
在进行抓包,将其改为图片格式,再讲监听的ip改为kali的ip
将其上传,发现上传成功
然后再将刚才的add.php换成上传的2.png,并在kali上开启1234端口监听,发现成功反弹shell
并且通过发现内核是3.13.0版本,通过searchsploit查找到相应的exp
把它拷贝下来,然后再开启一个python3的http服务,让靶机可以下载这个exp文件
需要在/tmp目录下进行下载,因为/tmp目录下对所有用户都有可执行权限
然后将.c文件编译成二进制文件,运行得到root权限
在扫描网站目录的时候,还有其他文件,test.php(这个文件里面需要传入一个参数file),可能就有文件包含
但是传入/etc/passwd,并没有显示,尝试目录穿越还是不能显示
这里就需要将GET请求方式换为POST提交方式,修改的时候,注意参数需要放在下面提交,然后需要添加一个Content-Type: application/x-www-form-urlencoded 可以看到确实存在文件包含
在扫描二级目录的phpmy的时候,有一个数据库的配置文件,config.inc.php
尝试文件包含可不可以读取出来,发现可以读取到用户名密码
然后登陆数据库,发现这个账号并不能登录成功,根据前面端口扫描的结果,开放了22号端口,尝试直接ssh登录,结果居然可以登陆成功,直接得到root权限
03-06
2798
2798
“相关推荐”对你有帮助么?
-
非常没帮助 -
没帮助 -
一般 -
有帮助 -
非常有帮助
提交
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
