HTB-Popcorn

信息收集

前1000个常用端口

全体端口

• 22 ssh OpenSSH 5.1p1
• 80 http Apache httpd 2.2.12

80端口的页面如下。

dirmap
gobuster

dirbuster

得出如下结果：

当前可访问

• http://10.10.10.6/index
• http://10.10.10.6/test
• http://10.10.10.6/torrent
• http://10.10.10.6/rename

当前不可访问

• http://10.10.10.6/cgi-bin/

http://10.10.10.6/test
phpinfo()，还可以从中收集信息。

http://10.10.10.6/rename

http://10.10.10.6/torrent

创建了一个用户来尝试文件上传功能。

搜索torrent hoster可以发现一篇文章。

文章如下。

在kali官网下载一个torrent文件上传。

上传后找到屏幕截图，当前是空的。

上传一个屏幕截图文件

OK，现在有两个上传的地方，一个是torrent文件，一个是屏幕快照。

在屏幕快照哪里上传webshell.php的时候抓包修改MIME。

刷新界面复制文件上传的连接。

webshell.php能够使用。

开机

不过在webshell里面尝试了几次反弹据失败告终，所以决定直接上传reshell。

提权

/var/www/torrent/目录里面有一个config.php文件。内容如下：

获得admin的hash。


在对hash进行爆破的同时继续收集信息。查找属于george的文件的时候发现了一个文件名motd.legal-displayed。

查看ubuntu版本正好符合。

就是这个运行，给我整不会了。

用bash又说39行有问题。

去看了39行。

我也没看出毛病啊

升级stty再来试试。

重新下载了文件试了试。

把所有~替换为/var/www在运行，又出现问题。

为什么会出现这么多问题，到底是什么地方导致这次问题，再次重新来过。

波浪号"~"会被自动扩展成当前用户的家目录，在/bin/sh下并未进行扩展，而在/bin/bash下进行了扩展。那么波浪号"~"进行扩展的条件什么？在bash中，如果只有一个波浪号~，比如cd ~，shell会将其扩展为$HOME，如果$HOME没设置会扩展为当前用户主目录。

再去看看sh的波浪号扩展。shell会将其扩展为$HOME，如果$HOME没设置就没有下一步操作了。

所以导致/bin/sh使用cd ~失败的原因可能是因为$HOME并没有，而sh不会像bash一样会继续扩展为当前用户主目录。所以export导入$HOME再次运行。

所以为什么又有问题了啊，大概率又是扩展问题。

暂时挖个坑在这，以后有时间再来看看为什么。