对510cms进行渗透测试，找到其中的3个flag _渗透测试

拿到网站
简单观察后发现url区域存在传参
简单测试找到存在注入的界面（此网站多处网址存在注入）
这里我们通过输入一个单引号找到“企业介绍”—>“企业文化”界面存在注入
我们针对此界面（180.76.226.182/about.php?=6）使用进行爆破
-u 180.76.226.182/about.php?=6 ---db
爆当前数据库名
得到数据库名为“”
然后指定该数据库爆它的所有表
-u 180.76.226.182/about.php?=6 -D--得到如下一些表
根据经验我们爆表的所有内容
【对510cms进行渗透测试，找到其中的3个flag】 -u 180.76.226.182/about.php?=6 -D-T--dump
需要等待较长时间
这里找到第一个flag
并找到登录后台的name和
admin—（采用md5加密）
但是我们没有发现登录后台的地址
所以我们尝试使用御剑扫描此网站
发现很多网站后台
逐一打开查看能够找到管理登录的界面和一些没有权限登录的界面
其中没有权限登录的界面点击提示后同样打开管理登录界面
返回浏览器使用前面获取到的用户名和密码尝试登录
(注意登录界面的验证码需要区分大小写)
登录成功
发现大量信息
我们可以尝试挂马
-u 180.76.226.182/about.php?=6 --os-shell --batch -- 5

文章插图
挂马成功
同时给我们两个页面
第二个是挂的马的界面
第一个是给了我们一个上传的页面
我们通过第一个上传的界面在网站的根目录上传一个马
（要能被网站的中间件解析、能被执行）
此马为冰蝎下的shell.php（为防止重复将其改了名为.php）
如下图
访问该界面发现已经上传成功
然后使用冰蝎尝试连接此马
密码在我们上传的马里
连接成功
然后我们就可以通过冰蝎对此网站进行一些简单的操作
最后我们在网站的根目录下找到了第二个flag
也能在此目录下看到我们挂的马
经过查找
在此主机的根目录下发现第三个flag
但是我们没有权限打开，需要进行提权
此时想到前面我们登录网站管理后台发现的一些信息
我们可以利用这些信息去搜索相关服务器、数据库等版本的提权漏洞信息进行提权
最后我们发现需要利用MySQL数据库此版本的一个udf提权漏洞
(此漏洞的利用需要知道MySQL数据库的端口、用户名和密码等信息)
我们尝试使用namap工具扫描端口开放情况
nmap 180.76.226.182 -p 1-65535
(需要等待一段时间，可点击回车键查看进度)
指定该端口添加参数进行详细扫描

文章插图
nmap 180.76.226.182 -p3306 -A
确定该端口就是masql数据库的端口，且处于开放状态
Mysql数据库的用户名和密码默认存放在首页地址的.php中
我们可以去看一看
我们在首页地址下并没有找到该文件，但是发现了一个
打开发现.php存在此文件里
找到用户名和密码均为root、采用GBK编码等信息
接下来我们尝试采用两种方式进行udf提权
1.使用工具远程连接数据库
连接成功
使用查询语句找出写入目录
查询—>新建查询—>输入语句—>运行
showlike '%%';
将udf.dll代码的16进制数写入
(可搜索udf.dll源码通过在线工具转换为16进制)
创建函数
这里函数已被创建过了所以会报错显示函数已存在
既然已经有了这个函数，我们就可以通过利用函数读取根目录下的flag
('cat /flag.txt');
得到第三个flag
接下来我们使用第二种方式找到第三个flag
2.使用提权
(这里最好使用kali下的，下的可能缺少某些库导致报错)
-d "mysql://root:root@180.76.226.182:3306/mysql" --os-shell
注意这里要输入2来选择64-bit
进入shell
ls查看目录下的文件找到第三个flag
cat /flag.txt查看flag
完成