資訊收集
使用nmap
對靶機進行埠掃描
這裡我在列舉21
埠和1883
埠並沒有獲得任何資訊,接著訪問1337
埠進行資訊收集
什麼都沒有,接著進行目錄掃描
這裡由於我的wordlists
的問題,並沒有掃描到想要的目錄
,不過也掃描到了一些常規的目錄
透過參考wp
,得到目錄名為admin_101
,其實在/admin
目錄有提示,但是由於我的wordlists
問題,導致掃描不出結果
接著我們訪問admin_101
目錄,和admin
目錄一樣的登入頁面,不過這次我們可以真正的登入了
根據題目的描述,這裡很可能是sql
注入漏洞,使用sqlmap
爆破即可
這裡有一個工具使用的細節,如果指定http://10.10.141.65:1337/admin_101/
網址讓sqlmap
尋找注入點,可能尋找不到,可能需要新增--level
引數和--risk
引數,以及--forms
引數可能查詢到注入點,但是幸運的是,sqlmap
工具支援識別http 請求頭
資訊進行注入,所以這裡我們使用burpsuite
抓取資料包頭,使用sqlmap
進行sql
注入爆破
接著使用sqlmap
進行注入
sqlmap -r target.txt --batch --dbs --current-db
--dbs
:獲取所有資料庫--current-db
: 獲取資料庫的版本--batch
: 讓sqlmap
自動化執行
一個重要的資料庫expose
,使用--dump
獲取該資料庫的所有資訊
sqlmap -r target.txt --batch -D expose --dump
得到網站的密碼為VeryDifficultPassword!!#@#@!#!@#1231
,登入檢視
沒什麼有用的資訊,但是上述expose
資料庫中還有另外一個表config
,其中透漏了兩個檔名/file1010111/index.php
和/upload-cv00101011/index.php
先訪問/file1010111/index.php
檢視一下什麼情況
需要密碼輸入破解出的密碼easytohack
登入成功後提示讓我們檢查DOM
樹結構,右鍵檢查檢視
得到提示,使用Get
方式進行file
引數的傳參,透過嘗試為檔案包含,可以包含/etc/passwd
/file1010111/index.php?file=/etc/passwd
檔案包含可以讀取一些檔案,但是並不能反彈shell,這裡我並沒有嘗試php://input
或者data://
一些偽協議,接著訪問/upload-cv00101011/index.php
,透過提示我們訪問密碼為Z
開頭的使用者,也就是zeamkish
登入後是一個檔案上傳頁面,但是不能點選upload
按鈕
初始訪問許可權
檢視原始碼是js
前段驗證,禁用js
後將php-reverse-shell.php
上傳
上傳成功後提示我們上傳路徑在原始碼
中
接著訪問/upload_thm_1001
目錄
此時我們已經找到了php
檔案位置,在本地監聽nc -lvp 4444
,然後訪問php
檔案獲得shell
上述中我們檢視flag.txt
檔案失敗,但是讀取ssh_creds.txt
檔案獲取zeamkish
使用者的密碼為easytohack@123
使用ssh
連線,獲得flag.txt
許可權提升
接著查詢suid
檔案,發現很多可以提權的程式
使用find
提權獲得root shell
,讀取flag.txt