fristilake靶机

fristilake靶机
1.扫网段，扫端口，扫服务

2.发现80 端口打开，首先去网页看看

发现下面有很多@人名 想到是不是这些人名就是用户名还有待商榷。整个页面都点了一遍没有可用的东西。
3.于是使用dirb扫一扫

整个dirb扫描出来有一个403不做考虑，有一个index是粉红色主页面，能看的只有robots.txt

于是访问，发现三个界面都是下图如此。

4.dirb扫描出来的结不尽人意，转而去网页源码看看：

发现也没有什么可以利用的路径。
5，接着想到网页上找找思路
想到刚刚那么多@人名，那么每个人名是不是对应的思路呢？

两种路径都试了一遍，发现都失败，整个下面的人名都试了一遍，全都失败
5.这时候看到网页大大的keep calm，给了我希望

然后就试了一下：![在这里插入图片描述](https://img-blog.csdnimg.cn/20200828172317212.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9

接着试：

终于成功。
6.接下来可以试试使用那些刚刚试过的用户名做成一个字典，常用的密码做成字典进行暴破，但是暴破总是很废时间，不到万不得已不做暴破。
想到再用dirb跑一跑192.168.154.158/fristi下的目录：

发现有个上传，发现不行

7.想到去这个登陆界面的网页源码去看看
下图说道“我们base64编码的这张登陆图片”

发现一段base64编码

所以要把这段编码解码，看看到底是什么图片
9.

然后解码这段base64

查看解出来的图片

这个就是密码的图片，那么用户名是啥呢？
其实就在源码中 这里说了by eezeepz，那么有理由怀疑这个就是用户名。

登陆成功：

10.发现有个上传，于是上传一个文件。
先尝试直接上传php抓包，在抓到的包里改变成png格式

发现上传成功，并且告诉我们路径为 /uploads
掏刀

发现失败。因为它不能被识别成PHP代码
11.再换一种上传方式 ，先上传带一句话木马的图片png格式，再在中途抓包改成php
结果被拦截，以为只能上传图片格式的文件
12.将改成这样的文件上传

上传成功
菜刀连接：

成功连接，说明服务器有文件解析漏洞

本来的想法是打开模拟终端，在终端里边写入反弹shell的命令，将shell反弹到kali中去，后来发现模拟中段里边不能写入东西，于是将php脚本通过上传传到服务器去。

改成即可
上传成功之后开启kali的6969端口监听，然后访问这个文件的路径
http://192.168.154.158/fristi/uploads/reverse_shell.php.png

发现：

连接了一下就断了，原因是这个路径只是访问了一下这个脚本，并没有持久的执行，要需要持久的执行的话，是不能在url里通过访问去执行的，必须执行这个脚本，如下图：

这下就能连接上了：

然后开始把这个shell变成一个交互式：

然后脏牛提权