用户
搜索
  • TA的每日心情
    奋斗
    昨天 10:06
  • 签到天数: 51 天

    连续签到: 3 天

    [LV.5]常住居民I

    i春秋-见习白帽

    Rank: 3Rank: 3

    29

    主题

    36

    帖子

    1175

    魔法币
    收听
    0
    粉丝
    4
    注册时间
    2020-7-23
    发表于 2020-9-10 11:49:57 05366
    0x00:靶机下载
    Emmm只是说有很多漏洞,应该是要拿到root权限
    0.png
    解压以后得到一个文件夹,跟进
    1.png

    直接点击.vmx就可以了,顺便调回NAT模式就可以攻击了
    2.png
    0x01:探测靶机
    先用netdiscover 探测波靶机,排除.1,.2和.254可以确认靶机IP为192.168.19.130
    命令:netdiscover -r 192.168.19.0/16
    3.png
    用nmap扫一波端口,只开了21和80端口
    命令:nmap -A -sS -sV -v -p- 192.168.19.130
    4.png
    访问波IP可以正常访问开搞
    5.png
    0x02:挖掘漏洞
    首先正常用dirb扫描目录结果没扫到什么出来,那么只能用 -X .php最后扫出一个library出来
    6.png

    跟进一下Library是这样的
    7.png
    用Burp抓包的时候发现数据是这样的
    8.png
    Lastviewed后面是一堆乱码,直接用burp的解密功能,发现也是England也就是说当我们点击England这个标签的时候,country为England而且cookie也是一样也就是可能存在cookie注入
    9.png
    把文本复制下来让sqlmap去跑
    10.png
    0x03:挖掘cookie注入
    由于sqlmap死活跑不出来,被迫手注先找到库名为library
    lastviewed="{"lastviewed"=="'England'union select database() "}"
    11.png
    继续跟进得到表名为countries
    12.png
    再跟进还有另外一个表access
    13.png
    然后就没有了,选择其中的access表进行跟进发现一个password字段
    14.png
    继续跟进发现另外一个关键词字段username
    15.png
    开始提取里面的信息得到username为globus,password为AroundTheWorld
    16.png 17.png

    0x04:上传反弹shell
    这里我为了操作方便用FileZilla连上去输入刚才得到的密码成功连上
    18.png
    然后更改下kali自带的反弹shell
    19.png
    传上去,10.php就是我的反弹shell(一定要给权限为777否则是运行不了的)
    20.png
    提前开启netcat然后访问页面得到反弹shell
    21.png
    0x05:提权
    提权有多种方法,这里我偷懒选择最简单的拿到反弹shell以后cat一下library.php发现其它信息有个pass为password
    22.png
    然后直接su root输入密码为Password就可以了。。。。。
    23.png

    发新帖
    您需要登录后才可以回帖 登录 | 立即注册