主機:192.168.32.152
靶機:192.168.32.166
首先使用nmap,nikto -host ,dirb掃描,探測靶場
開放了 21,22,80d端口已經發現有一下關鍵信息
進入login登錄界面
查看源代碼發現一段php函數,
審計這段代碼,過濾了' 很有可能存在sql注入, 且需要構造用戶名為@btrisk.com
function control(){ var user = document.getElementById("user").value; var pwd = document.getElementById("pwd").value; var str=user.substring(user.lastIndexOf("@")+1,user.length); if((pwd == "'")){ alert("Hack Denemesi !!!"); } else if (str!="btrisk.com"){ alert("Yanlis Kullanici Bilgisi Denemektesiniz"); } else{ document.loginform.submit(); } }
嘗試用掃描器掃無果,我們就嘗試直接用bp進行fuzz測試
利用kali自帶字典,在 usr/share/wordlists/wfuzz/Injections/sql.txt
打開bp 使用intruder模塊,測試出可利用sql代碼,打開發現上傳點
此時,我們生成一個木馬,上傳webshell 即可,但發現這里可以上傳jpg,php不能上傳,但經測試是前端檢測后綴名,我們先上傳jpg再
抓包改成.php即可上傳成功
拿到shell!但此時並沒有root權限,再提權
我們想起有一個config.php 打開試試,發現了數據庫密碼
這時為我們只需登錄到shell,查看數據庫即可
mysql -u root -p
show databases;
use XX;
show tables;
select *f rom XX;
最終su - 密碼為數據庫里這個,拿到root權限