本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,不然形成一切后果与发表本文章的做者无关php
靶机下载以后使用仅主机模式加载到本地VMware Workstation工做站,须要发现目标靶机的IP地址,可使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 固然也是可使用Windows环境下mac地址扫描工具都是能够的,那么本次演示就是arp-scan工具发现web
地址:https://www.vulnhub.com/entry/hackme-1,330/sql
nmap -n -p- -A 192.168.226.129 -o hackme.nmapshell
nmap扫描结果安全
开了80端口,访问看看微信
是个登陆界面,能注册,那么就注册个用户bmfx,而后登陆进去,有个搜索功能,直接搜索看看cookie
看到这类搜索框就试试单引号判断是否存在注入,可是没有回显,猜想有sql注入的可能性很是大,这里有两种方式,一种使用burpsuite抓这个搜索时候的POST请求包保存成文件,而后使用sqlmap -r参数读取文件注入,另外一种直接加参数加cookie进行注入,具体以下:app
sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k"
最终sqlmap识别出来能够经过union注入和时间型盲注,那么就好办了, 直接union注入出数据webapp
sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k" -D webapphacking -T users --columns --dump-all --batch
发现了超级管理员的标识,可是密码hash没有破解出来,丢到somd5.com上面看看工具
使用超级管理员登陆
发现有上传功能,直接上传个php文件竟然成功了,没有任何过滤,而后使用dirb扫描下目标靶机的目录看看
发现一个uploads,访问看看发现刚才上传的webshell已经能看到了
直接使用php-reverse-shell反弹shell到kali本地
升级成友好的tty-shell
找了下家目录两个文件夹,找到一个setuid的二进制文件
执行一把看看
直接提权成功了
本文分享自微信公众号 - 白帽安全技术复现(baimaofuxian)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。