难度 高（个人感觉属于中）

目标 root权限+2个flag

基于VMware启动（我这里启动只能选择我wifi的那个网卡才能获取到ip地址，nat的没获取到不知道为什么。）

 

kali 192.168.1.122 靶机 192.168.1.170

信息收集

端口扫描

只开放了两个端口，不过80端口检测到了git泄露

访问80端口

web测试

右上角有个登录，不过需要邮箱和密码

先使用工具将泄露的信息获取一下

Git泄露

使用git-dumper（虽然我平时也使用的是GitHack但是GItHack不好进行git查看曾经的操作，这个git-dumper方便一点）

项目地址：GitHub - arthaud/git-dumper: A tool to dump a git repository from a website

使用前需要安装一下库的依赖

成功拿到部分源码，首先是查看了一下一些文件发现config文件中有数据库的账户和空密码

然后查看一下git的变更

发现曾经add和change过login.php，login.php中就是登录的功能代码

然后使用git diff看修改了哪里，通过指定上面的文件hash来查看

可以看到在查看到add那个时间之前使用的是账号和密码登录，于是获取到了账号密码

lush@admin.com 321 

成功使用账号密码登录后台

SQL注入

看到url有个id=1经典sql注入点可以在源码中看看是不是存在注入，源码中id部分都被写死了并没有看到有可以注入的地方，倒是mobile没有做过滤应该存在过滤

不过问题不大手测一下

id=1'and '1'='1 

id=1'and '1'='2 

 

OK存在，其他地方不用测了，用bp抓个包保存为1.txt然后使用sqlmap一把梭

sqlmap -r 1.txt

当前库

sqlmap -r 1.txt --dbs --batch

进darkhole_2 看表

sqlmap -r 1.txt -D darkhole_2 --tables --batch

两个表全部dump看看

sqlmap -r 1.txt -D darkhole_2 --tables --dump --batch

看样子第一个应该是ssh的账密

jehad fool

提权

ssh jehad@192.168.1.170 成功登录

先看一下/etc/passwd发现还存在另一个用户losy

同时查看history发现一些奇怪的命令，可能和下一步有关

netstat -tuln 本机确实开放了9999端口

这个9999端口的服务是losy起的

第一个flag在losy的家目录下

模拟history的命令成功执行

不管怎么样先把提权脚本拿上来进行信息收集一下

没啥有用的信息倒是前面漏了还有一个lama用户同时此用户的家目录下面可以直接sudo到admin

不管怎么样先登上losy看上面有没有什么信息，尝试常见的反弹方式都失败了不知道为什么

那么直接用命令查看一下losy的家目录下的history记录

curl "http://127.0.0.1:9999/?cmd=cat%20/home/losy/.bash_history"

history中有密码泄露gang ，也不知道这是怎么泄露的我记得passwd修改ssh密码也不会显示出来的。

那么直接su losy切换用户

查看losy是不是有SUID提权和sudo提权

发现可以直接以root权限执行pytohn3 再联想之前的history中有个

sudo /usr/bin/python3 -c 'import os; os.system("/bin/sh")'

估计就是用的这个提权。。。怎么都是提示

成功拿到root权限

拿到最后一个flag

后记：

        全是提示而且都是比较常见的漏洞类型的利用，属于中等难度吧