本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/hackme-1,330/
nmap -n -p- -A 192.168.226.129 -o hackme.nmap
nmap扫描结果
开了80端口,访问看看
是个登录界面,能注册,那么就注册个用户bmfx,然后登录进去,有个搜索功能,直接搜索看看
看到这类搜索框就试试单引号判断是否存在注入,但是没有回显,猜测有sql注入的可能性非常大,这里有两种方式,一种使用burpsuite抓这个搜索时候的POST请求包保存成文件,然后使用sqlmap -r参数读取文件注入,另一种直接加参数加cookie进行注入,具体如下:
sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k"
最终sqlmap识别出来可以通过union注入和时间型盲注,那么就好办了, 直接union注入出数据
sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k" -D webapphacking -T users --columns --dump-all --batch
发现了超级管理员的标识,但是密码hash没有破解出来,丢到somd5.com上面看看
使用超级管理员登录
发现有上传功能,直接上传个php文件居然成功了,没有任何过滤,然后使用dirb扫描下目标靶机的目录看看
发现一个uploads,访问看看发现刚才上传的webshell已经能看到了
直接使用php-reverse-shell反弹shell到kali本地
升级成友好的tty-shell
找了下家目录两个文件夹,找到一个setuid的二进制文件
执行一把看看
直接提权成功了
