Vulnhub-靶機-HACKME: 1
本篇文章僅用於技術交流學習和研究的目的,嚴禁使用文章中的技術用於非法目的和破壞,否則造成一切後果與發表本文章的作者無關
靶機下載之後使用僅主機模式載入到本地VMware Workstation工作站,需要發現目標靶機的IP地址,可以使用nmap,netdiscover,或者arp之類的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 當然也是可以使用Windows環境下mac地址掃描工具都是可以的,那麼本次演示就是arp-scan工具發現
地址:https://www.vulnhub.com/entry/hackme-1,330/
nmap -n -p- -A 192.168.226.129 -o hackme.nmap
nmap掃描結果
開了80埠,訪問看看
是個登入介面,能註冊,那麼就註冊個使用者bmfx,然後登入進去,有個搜尋功能,直接搜尋看看
看到這類搜尋框就試試單引號判斷是否存在注入,但是沒有回顯,猜測有sql注入的可能性非常大,這裡有兩種方式,一種使用burpsuite抓這個搜尋時候的POST請求包儲存成檔案,然後使用sqlmap -r引數讀取檔案注入,另一種直接加引數加cookie進行注入,具體如下:
sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k"
最終sqlmap識別出來可以通過union注入和時間型盲注,那麼就好辦了, 直接union注入出資料
sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k" -D webapphacking -T users --columns --dump-all --batch
發現了超級管理員的標識,但是密碼hash沒有破解出來,丟到somd5.com上面看看
使用超級管理員登入
發現有上傳功能,直接上傳個php檔案居然成功了,沒有任何過濾,然後使用dirb掃描下目標靶機的目錄看看
發現一個uploads,訪問看看發現剛才上傳的webshell已經能看到了
直接使用php-reverse-shell反彈shell到kali本地
升級成友好的tty-shell
找了下家目錄兩個資料夾,找到一個setuid的二進位制檔案
執行一把看看
直接提權成功了