用户
搜索
  • TA的每日心情

    5 天前
  • 签到天数: 57 天

    连续签到: 1 天

    [LV.5]常住居民I

    i春秋-见习白帽

    Rank: 3Rank: 3

    37

    主题

    48

    帖子

    1397

    魔法币
    收听
    0
    粉丝
    6
    注册时间
    2020-7-23
    发表于 2020-10-1 14:45:29 25751
    总结一波,该靶机不用提权,难点在于改方法和绕过上传限制。适合入门感觉比library1简单
    0x00:靶机下载
    好像没啥有用的信息。。。。。
    0.png
    下载完后解压有个文件夹跟进
    1.png
    跟进以后双击.vmx文件
    2.png
    自动安装好,然后记得调回NAT模式就可以运行了
    3.png

    0x01:探测靶机
    还是先用netdiscover探测波靶机,排除.1,.2和.254可以确认靶机IP为192.168.19.138
    命令:netdiscover -r 192.168.19.0/16
    4.png
    然后开始用Nmap探测波端口,这次只开了21和80端口
    命令:nmap -A -sS -sV -v -p- 192.168.19.138
    5.png
    访问波IP正常回显,开搞
    6.png
    0x02:漏洞挖掘
    由于不是正常的HTTP服务先用dirb探探路,由于点进去以后都不是正常页面只能扩展后缀名扫到一个library.php的
    7.png
    8.png
    跟进一下是个有功能的页面了
    9.png
    然后尝试抓包发现有参数可控,那么尝试丢到sqlmap里面
    10.png
    然而失败了

    11.png

    尝试过加入*和'代替然而均失败,那么换种方法变成POST看看能不能正常回显,200代表正常返回页面内容
    12.png
    那么保存然后丢到sqlmap里面这次可以跑出来了
    13.png
    输入—dbs以后发现有几个库
    14.png
    这里发现library莫名其妙多出个单引号实际上是不需要的,指定Library先不要—dump先看看里面有什么表,然后发现有个access 和countries
    15.png
    直接开始—dump跑access表里面的内容,得到一个ftp的账号和密码
    16.png
    之前在扫描端口的时候知道开了21端口直接上FileZilla
    17.png
    0x03:上传反弹shell
    既然在html下放的是对应的文件,理论上来说把反弹shell放进去然后在访问它就可以得到一个shell的,这里我把kali的反弹shell复制到本地上,方便等下上传。加入kali的IP以及一个端口
    18.png
    这里正常上传的话似乎做了点限制.php无法上传,变成.PHP以后可以绕过上传
    19.png
    权限记得给为777方便运行
    20.png
    然后提前开启netcat和端口,前端访问一波/1.PHP就可以得到反弹shell了
    21.png
    0x04:挖掘信息
    本次没有提权,在浏览信息跑到/var/mail/welcome那里可以直接得到root的密码直接su切换成功
    22.png

    绕过上传限制有点没搞懂。
    使用道具 举报 回复
    xuzhikui520 发表于 2020-10-6 15:18
    绕过上传限制有点没搞懂。

    很好理解如果你用正常的.php是无法上传上去的这里我猜是做了点限制。可以用后缀名换成大写绕过
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册