论坛首页 > 技术文章投稿区 > 技术文章

GetRoot-POST-SQL注入

webdogc   ·   发表于 2020-05-20 15:36:26   ·   技术文章

0x00前言
  本文是第二篇,重点记录靶机8080端口POST-SQL注入的渗透过程,涉及知识点:工具sqlmap、nikto及nmap的使用、文件上传、msf生成后门、提权等。关于靶场,玩法不一,以下只是本人的一次学习过程,不喜勿喷。
0x01环境
  攻击机(kali):192.168.1.107
  靶机(Ubuntu):192.168.1.108

ps:由于操作过程中,网络出现了问题,导致上下文的ip地址出现了变化,
kali的ip地址->192.168.1.101
靶机的ip地址->192.168.1.105

0x02工具
  nmap、nikto、dirb、sqlmap、metasploit、VMware
0x03过程
  信息探测
  终端下输入nmap -T4 -A -p- 192.168.1.108
  
  探测结果为
  开放端口:443(http)&80(http)&8080(http)
    Web容器信息:Apache httpd 2.4.7
    系统信息:Ubuntu
  进一步探测敏感信息
  终端下输入nikto -host http://192.168.1.108
  
  输入dirb http://192.168.1.108
  
  扫描结果:
    首页/index.html、登录页面/login.php、数据库登录页面/phpmyadmin以及一些js页面
  同理,对8080端口扫描,扫描结果:购物网站首页/wordpress,后台登录/wordpress/admin以及图
  片存放目录/img等一些页面。
  深入挖掘
  打开192.168.1.108/login.php,尝试弱口令admin/admin
  
  页面出现了一个0,说明登录失败。
  这时打开Burpsuite,抓包放到Repeater,尝试用万能密码

  页面返回1,说明登录成功,确认存在SQL注入,这里同样可以使用Burpsuite进行暴力破解(不做演示)。
  将抓取到的数据包内容放到1.txt文件中,并在注入的字段后加*标识
  
  使用SQLmap工具输入payload
sqlmap -r 1.txt --level 3 --risk 3 --dbs --dbms mysql --batch

SQLmap跑POST还可以不用抓取数据包而使用—data参数

  这里为了节省时间,直接指定数据库为mysql。
  
  分析信息,phpmyadmin、users、wordpress8080数据库可以继续深入挖掘一下。
  在80端口下,可以访问到phpmyadmin网页,我们先来看看phpmyadmin数据库
  查看数据库表信息
  
  似乎并没有什么敏感信息。
  80端口渗透到此为止。
——————————————分割线——————————————
  接着看8080端口,深入挖掘中得出8080端口是一个以wordpress搭建的购物网站且能访问到后台登录页面,这里直接用SQLmap工具跑出数据库wordpress8080的数据
  
  访问后台登录页面,输入账号和密码

  成功登录
  漏洞利用
  寻找文件上传点或者代码上传点

  在菜单栏主题下的编辑功能可以编辑404页面模板即可以输入代码。
  接下来使用kali自带的webshells文件,在目录/usr/share/webshells/php/下,找到反弹目标shell的php代码文件php-reverse-shell.php,为方便操作,将其复制到桌面上。
  
  打开文件,设置监听主机(攻击机kali)ip与监听端口4444
  
  设置好之后,将代码复制到网页中
  
  成功修改以后,启动监听,当不存在的页面被访问时就会执行404.php文件,从而反弹shell
  
  通过输入命令,发现反弹的只是一个普通的命令行,并不能执行系统命令。
  这时输入命令python -c “import pty;pty.spawn(‘/bin/bash’)”来反弹shell
  
  结果为daemon
  
  发现当前是普通用户权限,进行提权,需要输入密码,尝试输入之前的管理员密码
  
  提权成功。当然,此过程也可以用msf控制台实现。
  渗透测试到此为止。
——————————————分割线————————————————
0x04总结
  此次渗透过程首先对站点以目录扫描加端口探测的方式进行信息收集,利用80端口存在的SQL注入获取到8080端口wordpress网站的后台登录密码,然后利用后台登录页面可以编辑404.php的代码将反弹shell的php代码复制进去,紧接启动监听,访问根目录下可以触发404.php的页面(即不存在的页面),成功反弹命令行,调用python脚本反弹shell,最后提权到root权限。
  此次渗透了解反弹shell的新姿势,收获到了不少知识点。再一次体验了信息收集到后渗透的过程。与上次渗透整体流程上区别不大,只是方式方法上有所差异。

靓仔,点个赞!

用户名金币积分时间理由
admin 100.00 0 2020-05-22 09:09:05

打赏我,让我更有动力~

附件列表

靶场.zip   文件大小:0M (下载次数:0)   售价:10

0 条回复   |  直到 2020-5-20 | 1461 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.