信息收集

主机发现和端口扫描只开放了80的web服务

WEB打点

访问首页有文件上传,肯定可以利用一波。language那个页面甚至文件包含都写脸上了。

root@Lockly tmp/kiractf » curl http://192.168.56.112

<input type="submit" value="upload" onclick="window.location='/upload.php';"/>

<input type="submit" value="language" onclick="window.location='/language.php';"/>

root@Lockly tmp/kiractf » curl http://192.168.56.112/upload.php

<html>

<head>

<title>PHP File type check example</title>

</head>

<body>

<form action="upload.php" enctype="multipart/form-data" method="post">

Select image :

<input type="file" name="file"><br/>

<input type="submit" value="Upload" name="Submit1">

</form>

</body>

</html>#           

root@Lockly ~ » curl http://192.168.56.112/language.php

<!DOCTYPE html>

<html>

<head>

        <title>LFI</title>

</head>

<body>

<input type="submit" value="language"

    onclick="window.location='/language.php?lang=en.php';" />

</form>

</body>

</html>

root@Lockly tmp/kiractf »

抓包看文件上传,这里限制图片文件上传,但是简单的%oo截断,图片前缀等等尝试了一下都不行。

文件包含

在language.php这个页面点击之后跳转en.php,参数都不用fuzz了直接测文件包含。

文件上传

利用文件包含和上传打组合拳,传png上去但通过文件包含解析。修改成png文件上传。

weevely连接成功:

横向

在supersecret-for-aziz中有个密码,应该是属于/home/bassam的。但是提示必须是交互式终端,奇怪的是明明有python环境,但是升级交互式shell会卡住。

www-data@bassam-aziz:/var/www/html $ ls

index.html

language.php

supersecret-for-aziz

upload.php

uploads

www-data@bassam-aziz:/var/www/html $ cat supersecret-for-aziz

cat: supersecret-for-aziz: Is a directory

www-data@bassam-aziz:/var/www/html $ cd supersecret-for-aziz

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ ls

bassam-pass.txt

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ cat bassam-pass.txt

Password123!@#

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ su bassam

su: must be run from a terminal

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ whereis python

python: /usr/bin/python3.6 /usr/bin/python3.6m /usr/lib/python3.7 /usr/lib/python3.8 /usr/lib/python2.7 /usr/lib/python3.6 /etc/python2.7 /etc/python3.6 /usr/local/lib/python3.6 /usr/include/python3.6m /usr/share/python

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ python -c 'import pty;pty.spawn("/bin/bash")'

sh: 1: python: not found

www-data@bassam-aziz:/var/www/html/supersecret-for-aziz $ python3 -c 'import pty;pty.spawn("/bin/bash")'

id

whoami

换上哥斯拉的也一样,甚至提示语法错误。

反弹到msf尝试居然可以,不清楚是为什么。

提权

切换到bassam之后在这个用户的目录下找到了一个flag。sudo -l 有find可以利用来提权。

www-data@bassam-aziz:/$ su bassam

su bassam

Password: Password123!@#

bassam@bassam-aziz:/$ ls

ls

bin    dev   initrd.img      lib64       mnt   root  snap      sys  var

boot   etc   initrd.img.old  lost+found  opt   run   srv       tmp  vmlinuz

cdrom  home  lib             media       proc  sbin  swapfile  usr

bassam@bassam-aziz:/$ cd /home/bassam

cd /home/bassam

bassam@bassam-aziz:~$ ls

ls

Desktop    Downloads         Music     Public     user.txt

Documents  examples.desktop  Pictures  Templates  Videos

bassam@bassam-aziz:~$ cat user.txt

cat user.txt

THM{Bassam-Is-Better_Than-KIRA}

bassam@bassam-aziz:~$ sudo -l

sudo -l

[sudo] password for bassam: Password123!@#

Matching Defaults entries for bassam on bassam-aziz:

    env_reset, mail_badpass,

    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User bassam may run the following commands on bassam-aziz:

    (ALL : ALL) /usr/bin/find

bassam@bassam-aziz:~$

老地方找payload:

拿下root权限和最后的flag。

随机推荐

  1. 编译器优化记录(Mem2Reg+SSA Destruction)

    编译器优化记录(2) Mem2Reg+SSA Destruction 写的时候忽然想起来,这部分的内容恰好是在我十八岁生日的前一天完成的.算是自己给自己的一份成长的纪念吧. 0. 哪些东西可以Mem2 ...

  2. HOMER7配置告警

    概述 HOMER是一款100%开源的针对SIP/VOIP/RTC的抓包工具和监控工具. HOMER是一款强大的.运营商级.可扩展的数据包和事件捕获系统,是基于HEP/EEP协议的VoIP/RTC监控应 ...

  3. Linux系列教程——Linux发展介绍、Linux系统安装、查看Linux内核版本和系统版本、Centos7安装jdk1.8

    文章目录 1 Linux发展介绍 零 什么是Linux 一 Linux前身 二 Linux诞生 三 开源文化 四 Linux系统特点 五 Linux分支 2 Linux系统安装 Linux虚拟机安装 ...

  4. Vue之属性

    Vue中的属性:举例 看一下就明白了 <!DOCTYPE html> <html lang="en"> <head> <meta char ...

  5. QT打开摄像头(自定义取景器)

    自建取景器 .h #ifndef CAMERASURFACE_H #define CAMERASURFACE_H #include<QAbstractVideoSurface> #incl ...

  6. 为何 DevOps 会给开发人员带来压力和倦怠?

    企业正在享受 DevOps 实施带来的好处,但这也是有代价的.开发人员需要承担额外的责任,可能会导致他们感到疲惫不堪.因此我们可以采取一些方法来确保 DevOps 工程师的满意度. DevOps 的支 ...

  7. 数据库系列:InnoDB下实现高并发控制

    数据库系列:MySQL慢查询分析和性能优化 数据库系列:MySQL索引优化总结(综合版) 数据库系列:高并发下的数据字段变更 数据库系列:覆盖索引和规避回表 数据库系列:数据库高可用及无损扩容 数据库 ...

  8. Senparc 基础库全面适配 .NET 8.0

    概要 Senparc 全家桶中的基础库已经全面适配 .NET 8.0,目前随着 .NET 8.0 的 RC 版本不断发布,对应的版本号也将同步进行更新,直到本月 Ignite 大会微软官方发布 .NE ...

  9. 又拍云+PicGo搭建图床教程

    具体搭建方法 https://blog.csdn.net/qq_41684621/article/details/114068076 这里有个细节 注意这里一定要加上 http:// 否则在自动生成 ...

  10. Qt源码解析——元对象系统热身

    关键词:Qt 源码 QObject QMetaObject 元对象系统 属性 事件 信号 槽 概述 原系列文章地址 官方文档第二章内容就是元对象系统,它在介绍里描述到: Qt的元对象系统提供了信号和槽 ...