靶机IP:172.16.10.105
攻击机IP:172.16.10.108
1、扫描靶机端口和服务
2、匿名连接一下samba服务器,有一个txt文件和wp网站备份压缩文件。
3、查看一下txt文件,是agi发给daisa的一封邮件,告诉daisa网站已经搭建好,不要忘记你的密码。
4、访问80端口,是一个静态页面,没什么东西
5、再访问一下8000端口,识别出是koken cms
6、漏洞库搜索一下cms漏洞,发现有一个任意文件上传漏洞
7、利用这个漏洞需要登录后台,后台路径是/admin
8、访问8000端口首页有daisa的名字,根据之前的txt文件,邮箱可能是daisa@photographer.com,密码应该是babygirl,尝试登录成功。
9、准备一个php反弹shell的脚本,在kali找一个,修改ip和端口
10、点击页面有下角import conten,会弹出窗口,可以上传文件。
11、上传反弹shell脚本并进行抓包,删除后缀名.jpg发送请求包
12、开启本地监听
nc -lvnp 8888
点击上传的文件反弹成功
13、在家目录daisa目录下找到第一个flag
14、使用find命令查找拥有suid权限的文件,发现有个php7.2的二进制文件
15、使用php命令提权,最后在root目录找到第二个flag。