Healthcare

nmap扫描靶机ip地址：

因虚拟机网络布置，知晓其在192.168.252.0/24

访问：

nmap扫描

-A-后能看到：一些路径。

有robots.txt:8条不允许的条目（一看，是几个路径）

 

打开看看robots.txt，除了路径还有些说明

其中the next line is a spam bot trap, for grepping the logs. you should _really_ change this to something else...：

下一行是用于查询日志的垃圾邮件机器人陷阱。你真的应该把这个换成别的东西……

but allow htdig to index our doc-tree：但是允许htdig为我们的文档树建立索引，意思应该是让我从网站结构入手，

发现隐藏的（子）站点。可以考虑dirbuster进行尝试/AWVS扫描（从awvs的其中一个结果来看，佐证了我们爆破目录的思路。）

--ps：这里选择哪个目录爆破工具都没关系，关键在于：字典，我试了很多字典，很多网站看了，都没有思路，

稍微翻了翻前人的笔记，芜湖，让我意识到字典资源的重要性。

dirbuster：

medium字典都小了，这真是我没想到的。同版本大的可以去这下。

SecLists/directory-list-2.3-big.txt at master · danielmiessler/SecLists · GitHub

 

用这个字典之后，果然就有了。

(11条消息) OpenEMR登录模块SQL注入分析_奇安信代码卫士的博客-CSDN博客

这里用bp简单的抓了个包。

抓到url的注入点  ----sqlmap需要,

扫描后得到的结果dbms mysql

确认可以注入时，有三种类型，dbms数据库类型mysql

语句：

sqlmap -u 含注入点（本例u）的url -DBMS MYSQL --dbs

得到openemr

 

sqlmap -u eg.url.injectpoint -DBMS MYSQL -D openemr --tables

得到users

sqlmap -u eg.url.injectpoint -DBMS MYSQL -D openemr -T users --columns

得到username、password

 

指定输出username、password就好：

sqlmap -u eg.url.injectpoint -DBMS MYSQL -D openemr -T users -C username,password --dump

得到具体的：

ps：-DBMS D T C都是大写哦，库表列名都因大小写而不同。

sqlmap我写的很细了，（狗头）没人能比我更细了。

 

然后拿账号密码登录。

message中注册个员工，然后来到documents里随便一个都有上传点。

 

制作个木马，我弄的是反向shell，ip写的就是kali的了。

上传成功，复制对应路径访问上传的文件，没反应，得去开监听。

http://192.168.252.131/openemr/sites/default/documents/1/shell.3.php

 

进入和shell类型一致的监听模块：

其中如

windows/meterpreter/bind_tcp       #正向连接

windows/meterpreter/reverse_tcp    #反向连接，常用

windows/meterpreter/reverse_http   #通过监听80端口反向连接

windows/meterpreter/reverse_https  #通过监听443端口反向连接

正向连接使用场景：我们的攻击机在内网环境，被攻击机是外网环境，

由于被攻击机无法主动连接到我们的主机，所以就必须我们主动连接被攻击机了。

但是这里经常遇到的问题是，被攻击机上开了防火墙，只允许访问指定的端口，

比如被攻击机只对外开放了80端口。那么，我们就只能设置正向连接80端口了，这里很有可能失败，因为80端口上的流量太多了

反向连接使用场景：我们的主机和被攻击机都是在外网或者都是在内网，

这样被攻击机就能主动连接到我们的主机了。如果是这样的情况，建议使用反向连接，

因为反向连接的话，即使被攻击机开了防火墙也没事，防火墙只是阻止进入被攻击机的流量，而不会阻止被攻击机主动向外连接的流量。

 

反向连接80和443端口使用场景：被攻击机能主动连接到我们的主机，还有就是被攻击机的防火墙设置的特别严格，

就连被攻击机访问外部网络的流量也进行了严格的限制，只允许被攻击机的80端口或443端口与外部通信

上面几类说法源自，想了解更多走你：Metasploit Framework(MSF)的使用 - 墨鱼菜鸡 - 博客园 (cnblogs.com)

 

看required中你需要设置的值，设置完，然后执行。

试试suid提权，可参考下面链接：

linux提权方法(不断总结更新) - 冬泳怪鸽 - 博客园 (cnblogs.com)：

find / -perm -u=s -type f 2>/dev/null

 

strings输出（查看）文件，包含一些可以执行的命令

使用 PATH 变量的 Linux 权限提升 - 黑客文章 (hackingarticles.in)

 

/usr/bin/healthcheck | more

发现程序会调用/tmp目录

find -name root.txt ---可能因为在root里，所以没反应（permissiondeny都没有，或者我等不及额）。

 

渗透总结（周报里也有）：

信息收集（注意审计，养成好习惯，有的为了帮助你在十个源代码里的一个留了flag）、

目录爆破（字典资源不够）--Sec、

sqlmap流程要更加熟悉（练习&实践，用的多自然就熟）、

木马的制作不熟（版本及类型、编码（免杀bypass））、

上传监听的载荷设置（对应类型）、

提权！！！（这次好像都是利用path变量提权，还不太明白）、

还有基础：shell的基本操作需熟悉。

 

__EOF__

本文作者：LFD_dnbh
本文链接：https://www.cnblogs.com/lfd-dnbh/p/16699879.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！