前言
这是打靶训练的第11周,靶机下载,难度低
信息搜集
nmap扫描信息
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.13 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.10 ((Ubuntu)) 网站首页
进行目录扫描,存在http://10.16.122.23/adminstration/网页,但提示没有权限
使用burp,开启拦截后,请求头添加X-Forwarded-For: 127.0.0.1,放过数据包
网站发生不一样的变化,成功绕过403
使用admin admin进行登录,后续过程一样要使用burp抓包,每个请求头添加X-Forwarded-For: 127.0.0.1,放过数据包
getshell
进入后台后,来到文件上传处
上传一个webshell,直接发包,提示禁止上传此文件
将Content-Type: application/octet-stream改为Content-Type: image/png,绕过上传。给出文件路径files/16369822941.php
完整的webshell为http://10.16.122.23/adminstration/upload/files/16369822941.php,使用蚁剑进行连接
提权
/home/user.txt发现存放了base64加密字符串,c3NoIDogCnVzZXIgOiB5b3VzZWYgCnBhc3MgOiB5b3VzZWYxMjM=
解密后的内容为
ssh :
user : yousef
pass : yousef123 使用ssh 登录用户名:yousef 密码:yousef123,成功登录
sudo -l,运行所有程序都有root权限
sudo -s直接切换到root用户
在/root/root.txt存放flag文件
一样使用base64解密WW91J3ZlIGdvdCB0aGUgcm9vdCBDb25ncmF0dWxhdGlvbnMgYW55IGZlZWRiYWNrIGNvbnRlbnQgbWUgdHdpdHRlciBAeTB1c2VmXzEx后得到,You've got the root Congratulations any feedback content me twitter @y0usef_11
这是本人在所有打靶中最简单的一个