DarkHole_1
一 資訊收集
IP掃描
埠掃描
訪問80
目錄掃描
檢視目錄
80網頁 -->login 註冊使用者
我的 id 是 2,那麼應該有個賬號是 id=1,嘗試越權修改 id=1 的密碼
把id改為1
發現登陸成功,多了一個上傳檔案的地方,前面的目錄掃描中我們也發現了 /upload 路徑,嘗試上傳反彈 shell
上傳一句話木馬
蟻劍連線
上傳shell.php
kali監聽
訪問網頁觸發shell.php
互動式shell
提權
檢視一下系統中的檔案:
發現一個可疑檔案 toto,是個二進位制檔案,執行一下
發現是二進位制檔案是 id 的副本,它以使用者 john 的身份執行,那可以建立一個具有相同名稱的自定義二進位制檔案將目錄匯出到 PATH:
echo 'bash' > /tmp/id; chmod +x /tmp/id; export PATH=/tmp:$PATH
切到了 john 使用者,檢視系統檔案:
發現 john 的密碼,檢視下許可權:
以 root 身份執行 file.py,並且我們有許可權對其進行更改,那就直接寫入shell:
echo 'import os;os.system("/bin/bash")' > file.py
sudo python3 /home/john/file.py
獲得 root 許可權,檢視 flag