THM - dav

日月的阿金發表於2024-11-08

IP : 10.10.1.177
需要將IP和URL對應起來,有些靶機的web服務只允許域名訪問。
windows11無法透過管理員許可權開啟記事本的方式修改Hosts檔案,因此我透過使用管理員許可權的powershell來新增Hosts記錄。

Add-Content -Path "C:\Windows\System32\drivers\etc\hosts" -Value "`n10.10.1.177 dav.thm"

新增完Hosts記錄之後使用nmap進行埠探測

發現只有80埠開放,開啟80埠之後發現是一個apache預設頁

訪問了robots.txt,沒有該檔案,那麼只能進行一個目錄的掃。
通常CTF的靶機不需要太大的字典,選擇只有兩個“common.txt”“directory-list-2.3-small.txt”,這次我選擇"common.txt"。

掃到了兩個結果
/server-status
/webdav
server-status無法訪問,webdav需要賬號和密碼
在透過google查詢 “webdav default login”得到了預設的使用者名稱和密碼
wampp/xampp
輸入使用者名稱和密碼後成功登入

passwd檔案是已知的使用者名稱和密碼wampp/xampp
再次訪問server-status還是無法訪問,那麼只能嘗試webdav的exp了。
我在metasploit當中找到了上傳檔案的exp,就使用它了。

設定好相關引數後,開始執行。
上傳檔案之後可以在目錄當中檢視到,然後開始監聽埠。

開始監聽後,點選上傳的PHP反彈shell

連線到之後開始找user.flag

在merlin使用者家目錄當中找到flag
接下來是root目錄,開始嘗試提權。
切換到shell,然後用sudo -l 命令檢視有那些命令有root許可權。

獲取root的flag值。