CTF-SQL注入(POST)
阿新 • • 發佈:2020-12-23
實驗環境:
攻擊者:Kali Linux(192.168.0.10)
靶機:Oracle VM VirtualBox 6.1.10——Ubuntu(32-bit)(192.168.0.250)
實驗流程:
- 資訊探測
檢測與靶機的網路連通性
埠掃描,服務探測
詳細資訊掃描
命令:nmap -A -v -T4 192.168.0.250
對80埠的web服務進行目錄掃描
通過目錄掃描發現一個phpmyadmin和登入頁面login.php
登入頁面沒有驗證碼和防爆破機制,可以進行暴力破解。登入頁面也可能存在SQL注入漏洞
對8080埠對應的web網站進行目錄掃描,該網站使用WordPress作為建站系統
對於使用了建站系統的網站,可以利用其公開漏洞getshell,但大多數能夠getshell的漏洞基本都屬於後臺漏洞。可以探測網站中是否存在SQL注入漏洞,利用SQL注入漏洞獲取網站後臺登入密碼,利用WordPress的公開漏洞getshell。 - 對登入頁面(http://192.168.0.250/login.php)進行SQL注入測試
工具:sqlmap
利用BP獲取登入頁面對應的請求訊息
對瀏覽器設定代理伺服器:127.0.0.1:8080
開啟Bp,開啟流量監聽功能
隨意輸入使用者名稱和密碼,點選登入/提交,傳送請求
獲取請求流量
將請求訊息寫入到一個檔案並且複製到kali,利用sqlmap進行檢測命令:sqlmap -r request.txt --level 5 --risk 3 --dbms mysql --batch –dbs
結果分析:請求資料中的user欄位可能存在注入點,型別為字元型,POST請求方式,注入手法為延時注入。獲取到的資料庫名如下
結果分析:其中WordPress8080可能為8080埠對應的網站的後臺資料庫,嘗試獲取其中的資料表。
命令:sqlmap -r request.txt --level 5 --risk 3 --dbms mysql --batch -D wordpress8080 –tables
結果分析:其中有一個表名users,極有可能儲存了網站後臺使用者的賬號密碼。獲取該表中的欄位。命令:sqlmap -r request.txt --level 5 --risk 3 --dbms mysql --batch -D wordpress8080 -T users –columns
獲取資料表中的資料
命令:sqlmap -r request.txt --level 5 --risk 3 --dbms mysql --batch -D wordpress8080 -T users -C username,password --dump
使用該使用者名稱和密碼登入網站後臺
登入成功
- 漏洞利用
在kali中獲取反彈shell的PHP指令碼
修改接收shell的IP地址和埠號
kali監聽埠
上傳木馬
訪問該404頁面,
http://192.168.0.250:8080/wordpress/wp-content/themes/twentythirteen/404.php
注意網站的IP地址和主題數字,訪問成功後即反彈回shell
- 許可權提升
檢視當前許可權,程式使用者
優化shell
嘗試切換為root使用者,使用網站後臺登入密碼進行登入
提權成功