信息收集

主机发现和端口扫描只开放了80的web服务

WEB打点

访问首页有文件上传,肯定可以利用一波。language那个页面甚至文件包含都写脸上了。

root@Lockly tmp/kiractf » curl http://192.168.56.112

<input type="submit" value="upload" onclick="window.location='/upload.php';"/>

<input type="submit" value="language" onclick="window.location='/language.php';"/>

root@Lockly tmp/kiractf » curl http://192.168.56.112/upload.php

<html>

<head>

<title>PHP File type check example</title>

</head>

<body>

<form action="upload.php" enctype="multipart/form-data" method="post">

Select image :

<input type="file" name="file"><br/>

<input type="submit" value="Upload" name="Submit1">

</form>

</body>

</html>#           

root@Lockly ~ » curl http://192.168.56.112/language.php

<!DOCTYPE html>

<html>

<head>

        <title>LFI</title>

</head>

<body>

<input type="submit" value="language"

    onclick="window.location='/language.php?lang=en.php';" />

</form>

</body>

</html>

root@Lockly tmp/kiractf »

抓包看文件上传,这里限制图片文件上传,但是简单的%oo截断,图片前缀等等尝试了一下都不行。

文件包含

在language.php这个页面点击之后跳转en.php,参数都不用fuzz了直接测文件包含。

文件上传

利用文件包含和上传打组合拳,传png上去但通过文件包含解析。修改成png文件上传。

weevely连接成功:

横向

在supersecret-for-aziz中有个密码,应该是属于/home/bassam的。但是提示必须是交互式终端,奇怪的是明明有python环境,但是升级交互式shell会卡住。

www-data@bassam-aziz:/var/www/html $ ls

index.html

language.php

supersecret-for-aziz

upload.php

uploads

www-data@bassam-aziz:/var/www/html $ cat supersecret-for-aziz

cat: supersecret-for-aziz: Is a directory

www-data@bassam-aziz:/var/www/html $ cd supersecret-for-aziz

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ ls

bassam-pass.txt

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ cat bassam-pass.txt

Password123!@#

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ su bassam

su: must be run from a terminal

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ whereis python

python: /usr/bin/python3.6 /usr/bin/python3.6m /usr/lib/python3.7 /usr/lib/python3.8 /usr/lib/python2.7 /usr/lib/python3.6 /etc/python2.7 /etc/python3.6 /usr/local/lib/python3.6 /usr/include/python3.6m /usr/share/python

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ python -c 'import pty;pty.spawn("/bin/bash")'

sh: 1: python: not found

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ python3 -c 'import pty;pty.spawn("/bin/bash")'

id

whoami

换上哥斯拉的也一样,甚至提示语法错误。

反弹到msf尝试居然可以,不清楚是为什么。

提权

切换到bassam之后在这个用户的目录下找到了一个flag。sudo -l 有find可以利用来提权。

www-data@bassam-aziz:/$ su bassam

su bassam

Password: Password123!@#

bassam@bassam-aziz:/$ ls

ls

bin    dev   initrd.img      lib64       mnt   root  snap      sys  var

boot   etc   initrd.img.old  lost+found  opt   run   srv       tmp  vmlinuz

cdrom  home  lib             media       proc  sbin  swapfile  usr

bassam@bassam-aziz:/$ cd /home/bassam

cd /home/bassam

bassam@bassam-aziz:~$ ls

ls

Desktop    Downloads         Music     Public     user.txt

Documents  examples.desktop  Pictures  Templates  Videos

bassam@bassam-aziz:~$ cat user.txt

cat user.txt

THM{Bassam-Is-Better_Than-KIRA}

bassam@bassam-aziz:~$ sudo -l

sudo -l

[sudo] password for bassam: Password123!@#

Matching Defaults entries for bassam on bassam-aziz:

    env_reset, mail_badpass,

    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User bassam may run the following commands on bassam-aziz:

    (ALL : ALL) /usr/bin/find

bassam@bassam-aziz:~$

老地方找payload:

拿下root权限和最后的flag。

随机推荐

  1. 树莓派4b装系统到运行 Blazor Linux 本地程序全记录

    在Linux下运行gui程序,咱也是第一次做,属于是瞎子过河乱摸一通,写得有什么不对和可以优化的地方,希望各位看官斧正斧正. 1. 下载烧录器 https://www.raspberrypi.com/ ...

  2. IPv6的基本认识

    IPv6 1.IPv6的基本认识 IPv4 位数是 32位,4字节,能够提供的IP地址大约是42亿,但你知道的,如今一个人都不止一个IP地址,看看如今设备的数量及发展速度就知道,所以有了IPv6,IP ...

  3. Spring扩展接口(1):ApplicationContextInitializer

    在此系列文章中,我总结了Spring扩展接口,以及各个扩展点的使用场景.并整理出一个bean在spring中从被加载到初始化到销毁的所有可扩展点的顺序调用图.这样,我们也可以看到bean是如何一步步加 ...

  4. MySQL实战实战系列 06 全局锁和表锁 :给表加个字段怎么有这么多阻碍?

    今天我要跟你聊聊 MySQL 的锁.数据库锁设计的初衷是处理并发问题.作为多用户共享的资源,当出现并发访问的时候,数据库需要合理地控制资源的访问规则.而锁就是用来实现这些访问规则的重要数据结构. 根据 ...

  5. Git——Git 常用命令

    文章目录 仓库 配置 增加/删除文件 代码提交 分支 标签 查看信息 远程同步 撤销 其他 仓库 # 在当前目录新建一个Git代码库 $ git init # 新建一个目录,将其初始化为Git代码库 ...

  6. 基于GPS定位和人脸识别的作业识别管理系统

    一.技术参数 mysql5.5 asp.net jquery 高德地图api 百度人脸识别api 二.功能简介 实现简单的施工项目管理,包括项目地点,工期,名称,编号等 实现作业人员的档案信息管理,包 ...

  7. Vue之属性

    Vue中的属性:举例 看一下就明白了 <!DOCTYPE html> <html lang="en"> <head> <meta char ...

  8. "科来杯"第十届山东省大学生网络安全技能大赛决赛复现WP

    从朋友那里得来的附件,感觉题目有意思,简单复现一下 MISC 简单编码 1.题目信息 0122 061 1101011 0172 0122 0105 061 1011010 0127 0154 014 ...

  9. Unity - Win平台修改窗口标题

    原文参考 主要是通过user32.dll获取窗口句柄, 和Unity没有什么关系 using System; using System.Diagnostics; using System.Runtim ...

  10. seed 随机种子的作用

    在随机数生成中,种子(seed)是一个起始值,用于确定随机数生成器的初始状态.通过设置相同的种子,可以确保每次运行程序时生成的随机数序列都是相同的.这种确定性的随机数生成可以带来以下几个好处: 可复现 ...