0x00:靶机介绍

这次的靶机是Game Zone,如果有一定基础的话不算太难。总的来说是万能密码登录，sqlmap查数据，SSH反向隧道，以及最后一个有点小坑的MSF提权。

0x01:信息收集

还是先使用autorecon进行信息收集，这次只开了两个端口，22和80端口。

访问80端口可以正常访问，一个大大的杀手47出现在眼前。

0x02:万能密码登录

Try hack me这里提示我们这里登录表单这里有点小问题可以用万能密码登录。这里简单解释一下万能密码

如果学过简单的MYSQL数据库查询语句的话可以大概推出登录表单的检查语句可能为:

SELECT * FROM users WHERE username=:username AND password:=password

我们输入的数据会到第二个username和password然后丢到网站的数据库里面查询，如果存在则跳转带你到其它页面，否则就返回登录失败。这条SQL查询语句是比较基础没有做太多过滤的。

这里假设我们把密码换成’ or 1=1 -- -,此时后半段SQL语句会变成:

AND password:=’ or 1=1 -- -

此时会发生一点点的小变化，我们输入的值在转换成SQL语句查询的时候由于有个逻辑运算符 or 既如果满足一边为真，整个判断也算为真。可以理解为后面哪怕不输入也是可以判你输入正常 后面的 -- -是注释，可以理解为把后面给遮掉。

当然我们也可以狠一点，直接把这条语句’ or 1=1 -- - 放在用户名那里是直接把后面遮掉顺便不管你用户名是谁直接算你登录成功跳转到这个页面。

0x03:sqlmap获取信息

登录成功以后看到有个登录框，先来个Burp抓包然后保存为1.txt用sqlmap跑一下

很容易就跑出来了

命令:sqlmap -r 1.txt –-level 3 --batch

如果想终极摸鱼的话可以直接—dump(适用于表少的情况下，也请别在实战中使用，平时欺负欺负靶机就可)

这里随机找一个在线MD5解密，比较容易解开。

最后成功登录

0x04:SSH反向隧道

登录以后捣鼓了一波发现提权不了，只能先跟着Try hack me 用ss这个网络状态工具查看一波发现居然还开了一个10000端口。当然试了一下，前台访问不了估计有防火墙限制。也只能在靶机上实现了。

当然简单一句话概括SSH反向隧道就是挖一条隧道从目标到本地从受限制的计算机到远程不受限制的靶机来绕过防火墙去访问10000端口。毕竟防火墙一般防外不防内。在kali本地下使用ssh -L指定一个本地隧道 然后通往靶机当然是要输入密码的

重新访问浏览器，输入agent47的账号密码可以看到有个系统服务在运行

0x05:MSF提权

进入MSF搜索一下可以找到一个相关的RCE。

设置以下参数后成功提权

原文始发于微信公众号（神隐攻防实验室）：Try Hack Me:GameZone(万能密码登录，sqlmap获取信息，SSH反向隧道，MSF操作)