靶场搭建
下载后直接导入,由于靶机固定了IP地址,要么修改靶机的配置,要么修改自己的配置
我这边将靶机网卡调整成仅主机模式,将kali添加一张仅主机的网卡,修改kali的网卡信息:vim /etc/network/interfaces
添加一下内容:
注意修改网卡的名称eth2
auto eth2
iface eth2 inet static
#配置eth2使用默认的静态地址
address 10.10.10.101
#配置eth2的IP地址
netmask 255.255.255.0
#配置eth2的子网掩码
gateway 10.10.10.15
#配置当前主机的默认网关
然后重启kali就能ping通了
目标IP:10.10.10.100
kali:10.10.10.101
渗透过程
信息初收集
22/tcp open ssh
80/tcp open http
22和80,估计是做web安全
web页面渗透
有一个注册和登录,看上去像是二次注入,先看登陆口有没有注入
POST方法,发现email参数有注入,直接脱裤
sql注入
尝试读取内容,发现账号密码,密码hash解密,得到一组用户:admin@isints.com/killerbeesareflying
尝试写入shell.php:sqlmap -u "http://10.10.10.100/login.php" --data="email=123%40qq.com&pass=123&submit=Login&submitted=TRUE" --batch --file-write shell.php --file-dest /var/www/shell.php
写入路径需要多次尝试,找到网站目录文件夹
发现成功写入,我们开启监听,访问一下
发现执行了但是没弹,可能存在出口限制,将端口调整到443,发现弹了,拿到一个低级shell
提权
- Ubuntu 11.04
- Linux web 2.6.38-8-server x84_64
- dan用户
- apache日志:
/var/log/apache2
- mysql有高权限
- 开发工具齐全
- mysql账号密码在
mysqli_connect.php
中:root/goodday
查找了提权漏洞,但是没有执行权限,那就连接数据库,尝试用数据库提权
登录失败,密码不对。不应该啊,他一定是连到数据库上的,再找找。
在var
目录下找到了密码:root@ISIntS
这次能登陆了:mysql -h localhost -u root -p root@ISIntS
这密码怕不是root密码?
直接ssh连接,发现直接root权限拿下!
小结
- web页面登录存在注入点,注入后写入shell文件,反弹shell
- 查看本地运行服务和文件,发现高权限mysql和mysql账号密码
- 验证密码能够登录
- 本来想用数据库提权,需要UDF提权要上传文件,我想用metasploit进行提权,所以想要做ssh隧道转发,这样方便一点,于是尝试登录账号
- 密码是不是通用的?于是ssh了一下root账号,发现登陆了上去,至此拿下root权限