本篇文章僅用於技術交流學習和研究的目的,嚴禁使用文章中的技術用於非法目的和破壞,不然形成一切後果與發表本文章的做者無關php
靶機下載以後使用僅主機模式加載到本地VMware Workstation工做站,須要發現目標靶機的IP地址,可使用nmap,netdiscover,或者arp之類的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 固然也是可使用Windows環境下mac地址掃描工具都是能夠的,那麼本次演示就是arp-scan工具發現web
地址:https://www.vulnhub.com/entry/hackme-1,330/sql
nmap -n -p- -A 192.168.226.129 -o hackme.nmapshell
nmap掃描結果安全
開了80端口,訪問看看微信
是個登陸界面,能註冊,那麼就註冊個用戶bmfx,而後登陸進去,有個搜索功能,直接搜索看看cookie
看到這類搜索框就試試單引號判斷是否存在注入,可是沒有回顯,猜想有sql注入的可能性很是大,這裏有兩種方式,一種使用burpsuite抓這個搜索時候的POST請求包保存成文件,而後使用sqlmap -r參數讀取文件注入,另外一種直接加參數加cookie進行注入,具體以下:app
sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k"
最終sqlmap識別出來能夠經過union注入和時間型盲注,那麼就好辦了, 直接union注入出數據webapp
sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k" -D webapphacking -T users --columns --dump-all --batch
發現了超級管理員的標識,可是密碼hash沒有破解出來,丟到somd5.com上面看看工具
使用超級管理員登陸
發現有上傳功能,直接上傳個php文件竟然成功了,沒有任何過濾,而後使用dirb掃描下目標靶機的目錄看看
發現一個uploads,訪問看看發現剛纔上傳的webshell已經能看到了
直接使用php-reverse-shell反彈shell到kali本地
升級成友好的tty-shell
找了下家目錄兩個文件夾,找到一個setuid的二進制文件
執行一把看看
直接提權成功了
本文分享自微信公衆號 - 白帽安全技術復現(baimaofuxian)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。