目录
一、主机发现
二、端口扫描
三、服务版本发现
这里值得注意的就是.git,这是源码也放上来了。其他还是老样子。
四、信息收集
1.主页
主页一张图片,源码中啥都没有。
有个登录界面。
2.扫目录
大部分有用信息都指向了.git,这与我们上面收集到的信息是相同的
五、.git
注意:最好用2021版的kali,2022最新版的git clone会报错,也不知道为啥
1.下载.git
wget -r http://192.168.0.108/.git/
2.查看版本历史
3.生成最新版本源码
git clone . backup
在源码中的登录php中,我们可以看到这里进行了对输入参数进行了转义,防止注入
4.查看有漏洞的那一版
这里在转换分支的时候,有时候要先执行
git stash
转换分支
git checkout a4d900a8d85e8938d3601f3cef113ee293028e10
进入查看,得到了上个版本用的账号密码。很有可能上个版本的账号密码在这个版本可以用于登录
5.登录
六、sqlmap注入
1' 无回显结果。
1'and+1=1--+ 和1输出结果相同。
证明存在sql注入,sqlmap跑一下
burp抓包,
(1)跑库
sqlmap -r ~/Desktop/1 --dbs
四个默认库,一个darkhole_2
(2)跑表
(3)dump下来
ssh:
users:
七、ssh登录
1.
拿到了一个jehad的shell。
在信息收集中,我们看到.bash_history中有很多提示信息。这里给了我们提示,做一个端口转发,然后来执行命令。
2.9999端口服务信息
内容:
ps -aux | grep 9999
可以看到程序是以losy运行的,我们利用他执行反弹shell后得到一个losy的shell
八、端口转发
为什么要做这个端口转发呢,因为我们在kali端访问不到目标靶机9999端口部署的服务脚本。
这里的127.0.0.1视为目标靶机(远程目标)的地址。
当然其实我们可以直接用拿到的jehad这个用户,在本地执行命令。
1.kali端
ssh -L 9633:127.0.0.1:9999 jehad@192.168.0.108
在端口转发后我们可以在kali端实现命令执行操作。
2.反弹shell
在.bash_history其实给我们提供了几种反弹shell的方式,其实就是黑客在入侵时尝试的几种方式,但是好像是都没用
进行url编码:
提交后成功反弹。
九、losy信息收集
升级shell,密码都告诉我们了
十、sudo提权
用上面给的python命令就行
sudo python3 -c 'import os; os.system("/bin/sh")'
十一、hydra暴力破解
lama权限过大,密码过于简单。
登陆后使用sudo提权