具体步骤
通过nmap扫描我们所在的网段探测一下存活的主机,发现目标主机开放了80端口可以去访问一下
在访问的同时通过dirb去爆破一下目录,这边发现有一个john的目录不知道是什么可以去
这边在用dirsearch去扫一下防止有漏掉的页面我们没有访问到,这边还真有一个database.sql的页面
可以看到这边是创建了一个表,可以知道那这个john应该就是一个用户名了
得到用户名后我们在登陆页面尝试一下登录,看来是修改密码了,那这种情况下可以试试sql注入了
那这边有两种办法一种是通过工具来跑一种是我们手动来测,这边我测试的111' or 1=1#成功获取了john的密码
接下来回到kali中用ssh进行连接,这里告诉我有一些咕噜咕噜的问题,上网搜了一下应该是对方的ssh版本太低了需要加新的指令,这边也是成功连接上,但是发现shell好像受到限制
那么就要进行shell逃逸了,但是这个john的用户的权限不太够
这边想到有mysql那看看root的运行程序有哪些,还真有这个mysql
那我们cat一下www目录的john有没有用户名和密码,这边可以看到账号是root密码是空的直接连
mysql的话我们应该想到的就是udf提权,可以看到是有这个sys_exec的
那我们构造语句给john用户加上权限
推出mysql后sudo su成功提权
---------------------------------------------------------------------------------------------------------------------------------
声明!
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)