大佬給了個這個靶機給我玩,我就試着打了一下,學到了很多東西,就記錄下來了
首先,用netdiscover先看看主機的ip是啥:
試試第一個
圖中可以看到,只開了個80端口,apache的中間件,其中的文件有robots.txt,下面兩個目錄不允許進入,這應該就是靶機的IP了。
瀏覽器打開看看:
試試id=1:
估計有注入,祭出神器sqlmap:
但是,好像沒有意義,因爲這個是sql用戶,我們要的是靶機的用戶,注入沒用啊
在查閱了其他大佬的題解之後,我知道了突破點:
在另一個目錄下,有個info.php文件可以看到絕對路徑:
而且,sqlmap還有個這個命令:
好了,看看我是誰
看看該文件夾的文件權限:
好了,下一步就是反彈shell,獲得一個交互式的shell,我們看到這麼多文件,一個一個的訪問一下,可以發現有sqlmap得到shell留下的文件上傳
上傳一個後門:
監聽了8888端口之後,可以反彈到一個shell
接下來,讓這個shell成爲交互式shell,用python命令:
python -c 'import pty;pty.spawn("/bin/bash")'
剩下一步,提權:
一般來說是創建一個新的777用戶或者提升自己賬戶的權限,這裏我們創建一個新用戶
查看/etc/passwd,這個文件的規則如下:
發現我們居然有寫入它的權限,於是我們用openssl來加密我們的密碼:
用戶名隨便(我這是hack),然後用echo命令寫入文件中:
然後切換用戶,切換成用戶hack:
然後就成功成爲root用戶了。