0x01 主机发现
0x02 端口扫描
常见端口开放服务如下:
- 80端口:http服务
- 443端口:https服务
- 3306端口:mysql数据库
访问页面搜集信息
抓包查看
0x03 SQL注入登录
方法一:注入数据库获取登录凭证
最终拿到两个用户名和密码密文
方法二:万能密码登录
登录成功
0x04 RCE
页面功能为能输入一个地址提交,系统将ping此地址
此结果和kali的ping结果相同,猜测该应用系统在后端将提交的参数使用终端执行,因为终端中可用 ; 将两条 命令整合为一条,因此我们输入 ping 192.168.6.129;whoami 查看是否执行了 whoami 命令
nc监听并利用RCE反弹shell
找到可写入目录使用脚本扫描
可内核提权(真实环境不推荐该方法,容易造成宕机崩溃等风险情况)
0x05 内核提权
选择版本针对性强的exp降低风险
针对当前版本的exp结果成功获得root权限
普适版本的exp直接造成崩溃
0x06 总结
- 发现注入,使用注入获取合法凭证或利用注入绕过登录
- 利用应用系统功能进行RCE获取终端权限
- 利用LinEnum对系统信息进行进一步搜集以便提权
- 利用内核提权漏洞提权
- 尽量使用针对版本的而不是普适的,容易造成目标机器崩溃死机等,应降低该情况的发生。